为什么数据库审计必须单独拿出来讲

在数据安全的主线里，DLP、分类分级、合规治理往往聚焦在“文件”和“外发”层面。但数据库完全是另一个层级：很多敏感数据根本还没有导出成文件，泄露可能就发生在一次查询、一次批量导出、一次越权授权当中。数据不是在“发出去”那一刻才开始泄露的，而是在库里被非法触碰的那一刻就已经开始了。

所以，数据库审计不是要替代 DLP，而是把风险识别的位置前移到数据真正被访问和操作的最前沿。两者分工如下：

只有把数据库这一层卡住，才能真正从源头上捕捉那些最原始、最隐蔽的数据风险。

二、先审什么：把操作分层，盯住最危险的动作

数据库审计最常见的失败，就是“什么都审，最后什么都看不过来”。更务实的做法是先将操作按风险高低分层，把有限的注意力集中在最需要警惕的行为上。

第一层：必须重点审计的高危操作

这些操作一旦发生，就可能直接导致数据泄露、丢失或整体安全防线崩塌。

• 权限变更：GRANT、REVOKE、新增高权限账号。这会直接改变谁能触碰数据，属于“锁的钥匙被配了一把”。
• 数据导出：大批量SELECT、导出到文件、异地批量下载。大量真实泄露的起点，就是一条看似普通的全表查询。
• 数据删除/修改：DELETE、UPDATE、TRUNCATE、DROP。不仅影响完整性，还常常伴随破坏或误操作，甚至恶意删库跑路。
• 结构变更：改表、改字段、改索引、改审计配置。既可能破坏业务，也可能刻意绕过控制系统。
• 系统级配置变更：关闭日志、修改审计策略、缩短保留周期。一旦这类操作被利用，后续很多关键证据会直接消失。

第二层：应该持续观察的异常行为

有些操作单看本身未必高危，但如果出现在不该出现的时间、地点或上下文中，就是典型的风险信号。

• 非工作时间访问：凌晨批量查询、节假日高频导出。
• 非常规来源：来自跳板机之外的终端、陌生 IP、异常应用账户。
• 越权访问：开发账号直接查生产敏感表，测试账号触碰业务底账。
• 访问模式突变：平时只查几十行，突然一次拉取几十万行。

第三层：平时保留但不必高频告警

正常的只读查询、已授权的日常报表任务、应用自身的常规读写等，可以保留记录以满足回溯要求，但不应当触发告警，避免淹没真正的风险。

一句话原则：先紧盯权限、导出、破坏性变更和异常访问，再考虑逐步扩大审计覆盖面。

三、先审哪些账号：别只盯着 DBA

很多企业一提数据库审计，默认就只盯着 DBA。这其实远远不够。真正需要纳入重点审计视野的，至少是四类账号：

• DBA / 超级管理员：权限最高，能直接改数据、改结构、关审计，是最后一道防线。
• 应用账号：量大、调用频繁，一旦被注入或滥用，异常行为很容易混在海量正常请求中。
• 开发 / 测试账号：最常见的越权来源，经常直接碰生产数据，甚至误操作破坏业务表。
• 第三方运维 / 外包账号：责任边界复杂，出事之后最难说清谁干的，且长期不回收的情况非常普遍。

现实中，真正危险的场景很少是“某个黑客突然打进库里”，而是：高权限账号被借走使用，应用账号被拖库滥用，第三方账号离职后仍未回收，开发人员顺手在生产环境跑了一条全表查询。所以，数据库审计的对象不能只按“账号级别”来看，必须结合“账号用途”和“数据范围”综合判断。

四、先审哪些对象：表、字段、库要分优先级

《中华人民共和国数据安全法》第二十一条明确要求国家建立数据分类分级保护制度，根据数据的重要程度及遭受破坏后的危害程度，对数据实行分类分级保护。数据库审计也必须呼应这一要求，将有限的审计策略优先覆盖核心、敏感的数据对象。

建议在落地时将对象分为三级：

如果企业尚未完成完整的数据分级，可以先问一个简单的问题来判断：“这张表一旦被大批量导出、删除或篡改，会不会引发业务中断、合规风险或声誉危机？”如果答案是“会”，它就应当无条件进入第一批重点审计对象。

五、数据库审计到底要记住哪些字段

高质量的审计日志，必须能够完整还原事件全貌。推荐的最小字段集，能够回答“谁、何时、从哪里、做了什么、对什么做的、结果怎样”：

• 用户 / 账号：明确谁执行的
• 来源 IP / 主机：判断是否为可信来源
• 时间戳：准确还原事件时间线
• 数据库 / 表 / 对象：明确触碰了哪些资产
• 操作类型：SELECT、DELETE、UPDATE、GRANT、EXPORT等
• 执行结果：成功还是失败、影响行数
• 会话 / 应用标识：区分人工操作与程序调用

如果日志里长期缺失这些关键字段，后续的高危识别、复盘和问责几乎无从谈起。

六、从记录到闭环：落地起步的几条建议

有了分层思路和字段规范之后，要避免“只部署不运营”。可以从这几步先跑起来：

1. 打开必要审计：确保至少对高危操作和核心对象开启审计插件或原生审计，不要依赖默认关闭的配置。
2. 集中存储与防篡改：日志从数据库服务器实时外发到独立的日志平台或审计系统，禁止 DBA 账号私自删除或关闭。
3. 先上关键告警：第一轮告警只针对“非授权权限变更”“核心表大批量导出”“非工作时间结构变更”等少数致命场景，避免告警疲劳。
4. 建立处置闭环：每一条告警都要有人认领、核查、处置和复盘，形成工单记录。这才是从“记下来”到“管起来”的跨越。

《数据安全法》第二十七条要求，开展数据处理活动应当采取相应的技术措施和其他必要措施保障数据安全；第二十九条进一步强调应加强风险监测，发现安全缺陷、漏洞时立即采取补救措施。数据库审计正是完成这些法定义务的关键技术手段之一。

七、深入数据集：如何针对关键数据对象实施精细审计

当全局审计策略跑通后，下一步就应该把资源聚焦到真正的“皇冠资产”——具体的数据集上。所谓数据集审计，就是将审计策略从“全库全表”收窄到一组最需要保护的敏感表、视图乃至列上，进行持续性、精细化的访问监控。没有这一步，审计就很容易沦为“大海捞针”。

1. 数据集审计的核心思路

• 以分类分级为基础：先识别出哪些数据集包含个人信息、商业秘密、财务核心数据等，将它们标记为“受保护数据集”。
• 定义逐数据集审计策略：对每个受保护数据集，明确需要记录哪些操作、触发什么级别的告警。例如，对“客户个人信息表”要求审计所有查询（含SELECT），并设置“单次查询超过1000行即告警”的阈值。
• 关注列级别敏感访问：有些表整体不敏感，但其中某几列（如身份证号、金额）高度敏感，应配置列级审计，专门记录对这些列的读写行为。
• 与正常访问基线对比：应用系统的例行查询通常是规律且参数化的，突然出现的“全表扫”“导出全部列”“非程序账户直接访问”就应立即触发异常告警。

2. 建立数据集审计策略的落地步骤

• 定义受保护数据集清单：从分类分级结果中导出，并赋予唯一标识（如db_customer.tb_personal_info）。
• 配置审计规则：在审计工具中设定基于对象的规则，例如：
  • 审计对象 = 客户主表且操作 = SELECT且来源程序 ≠ 已授权应用→ 记录并告警。
  • 审计对象 = 财务底账且操作 = UPDATE/DELETE且非工作时间→ 实时告警。
• 设定风险阈值：针对每个数据集定义“异常体量”，如“1分钟内查询行数>5000”“单次导出字段包含身份证列且行数>100”等，避免仅靠人工无法处理的巨量日志。
• 关联脱敏与访问控制：数据集审计应与其他数据保护措施联动。例如，当审计发现某账户频繁直接查询敏感列时，可自动触发临时脱敏或通知管理员复核该账户权限。这种联动能在事后止损的同时，为事前预防提供依据。

3. 数据集审计的产出

做到这一步，安全团队就不再面对混沌的全量 SQL 流，而是能够直接说出：“今天谁碰了财务底账？有没有人批量拉取客户手机号？开发环境有没有扫描生产订单表的全列？”这些正是审计最需要回答的高价值问题。

八、工具支撑：如果没有商业产品，如何用开源工具搭建审计链

落实上述审计策略，离不开工具。很多企业一看到商业数据库审计产品的报价就望而却步，但完全可以利用成熟的开源方案，以较低成本达到相当的效果。

1. 开源审计插件：数据库层的第一道记录器

不同数据库有各自的开源审计插件，它们负责在数据库引擎内部按规则生成结构化审计日志，是数据集审计最直接的实现方式。

• MySQL / MariaDB 环境：

  • Percona Audit Log Plugin（开源）：最推荐。它为 MySQL 提供细粒度审计，可以过滤特定数据库、表、用户或操作类型，输出为标准 JSON 或 XML 日志。完美支持数据集审计规则的配置，性能影响可控。
  • MariaDB Audit Plugin：MariaDB 自带的审计插件，功能与 Percona 版类似，可记录连接、查询和表级事件，直接在配置文件中指定审计对象和规则。
  • MySQL Enterprise Audit：仅限商业版，但对社区版用户，Percona 方案是完美的替代品。

• PostgreSQL 环境：

  • pgAudit（开源）：PostgreSQL 审计的事实标准，支持会话级和对象级审计，能够针对特定表、特定操作设置精细审计策略，日志可包含绑定参数，对数据集审计支持极好。

• 其他数据库：

  • Oracle：原生细粒度审计（FGA）非常强大，可对表、列、条件实施审计，但属商业功能。开源替代较为困难，一般建议直接使用其内置功能并集中采集日志。
  • SQL Server：可利用服务器审核规范及数据库审核规范，将审计日志写入 Windows 事件日志或文件，再通过开源日志采集器收集。

2. 自建审计栈：用 ELK 或等效组合把日志盘活

仅靠数据库插件生成的日志文件，还远远谈不上可运营的审计系统。需要将日志集中、解析、存储、可视化和告警，经典的开源组合即可胜任。

推荐技术栈：Elasticsearch + Logstash/Fluentd/Filebeat + Kibana（ELK 生态）

• 采集层：在数据库服务器上部署 Filebeat，实时读取 Percona Audit / pgAudit 等插件生成的日志文件，打上标签后发送出去。
• 加工层：Logstash（或用 Filebeat 直接入）对日志进行结构化解析，从 JSON 中提取用户、表、操作、行数、IP 等关键字段，并可根据数据集清单打标（如添加dataset_type: "PII"）。
• 存储与索引层：Elasticsearch 按天或按大小建立索引，保留周期至少满足合规要求（如 6 个月以上），并配置基于角色的访问控制防止篡改。
• 展示与告警层：在 Kibana 中创建“数据集审计”看板，集中展现各敏感表的访问量、导出趋势、异常账户活动。利用 Elastic Watcher（免费基础版可有限使用）或通过 ElastAlert 等开源组件实现基于规则的告警，如：“客户表 SELECT 行数 > 5000且非应用账号”即时发送邮件或 Webhook 到安全运营平台。

3. 没有插件或不便安装时的轻量级替代方案

某些极简环境或老旧数据库不允许安装审计插件，可以考虑以下的过渡手段：

• 开启数据库原生查询日志并解析：如 MySQL 的general_log或slow_query_log，PostgreSQL 的log_statement参数。将日志输出到文件，用 Filebeat 采集到 ELK。缺点非常突出：性能损耗大，且日志为文本格式不易解析，安全可靠性差（高权限账户可轻易关闭）。仅可作为临时方案。