隨著企業(yè)業(yè)務數(shù)據的云端遷移，數(shù)據安全問題日益突出。企業(yè)不僅要滿足網絡安全法規(guī)要求，還要能有效應對外部持續(xù)威脅和內部違規(guī)導致的數(shù)據安全風險。騰訊云數(shù)據安全審計（DSAudit）專門為企業(yè)數(shù)據的使用和運營設計，是企業(yè)合規(guī)、數(shù)據安全管理的必備選擇。

挑戰(zhàn)一：業(yè)務等保合規(guī)挑戰(zhàn)

網絡安全等級保護是國家網絡安全保障的基本制度、基本策略、基本方法，開展網絡安全等級保護工作是保護信息化發(fā)展、維護網絡安全的根本保障。網絡安全等級保護工作包括定級、備案、專家評審、主管部門審核（有主管部門的）、建設整改、等級測評、監(jiān)督檢查。定級對象建設完成后，運營、使用單位或者其主管部門應當選擇符合國家要求的測評機構，依據《網絡安全等級保護測評要求》等技術標準，定期對定級對象安全等級狀況開展等級測評。

依據等保“一個中心，三重防護”的核心理念，構建網絡邊界安全、網絡通信安全、計算環(huán)境安全和安全管理的等保合規(guī)防護體系。

在安全計算環(huán)境-安全審計要求中明確到，“應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；并記錄和保護審計信息；應對審計進程進行保護，防止未經授權的中斷。” 針對以上場景，需采用數(shù)據安全審計產品來滿足對用戶行為和重要安全事件審計和記錄要求。

挑戰(zhàn)二：外部風險和內部違規(guī)導致數(shù)據泄漏

高價值的數(shù)據本身是企業(yè)的核心資產和安身立命之本，也是黑客組織主要的覬覦目標。近年來，數(shù)據安全事件層出不窮，其中不乏威脅國民數(shù)字經濟和公眾信息安全的大型數(shù)據泄露事件。事故主體輕則被處罰影響公司聲譽和運營，重則導致公司破產。部分案例如下： 

  ●2023年6月，北京昌平網安部門發(fā)現(xiàn)某生物技術有限公司存在數(shù)據泄露并處罰。該公司因未落實安全保護措施，導致“基因外顯子數(shù)據分析系統(tǒng)”中的數(shù)據泄露，總量達19.1GB，包含大量公民信息和技術信息。被網安依法警告并罰款。 

  ●2023年12月，美國國家公共數(shù)據公司（National Public Data, NPD）因數(shù)據泄露事件而破產。NPD為美國最大的背景調查公司之一。因被黑客入侵，導致數(shù)億人的數(shù)據被泄漏，包括姓名、社會安全號碼、電話號碼、地址和出生日期等敏感信息的數(shù)據。這些數(shù)據隨后在非法市場上被出售，引發(fā)了廣泛的關注和擔憂。NPD最終因面臨多方訴訟壓力，而申請破產。 

  ●2024年3月，美國電話電報公司（AT&T）數(shù)據泄漏。公司發(fā)現(xiàn)其7000多萬現(xiàn)任和前任客戶的個人數(shù)據在暗網上出售。泄漏的用戶個人數(shù)據包括姓名、家庭住址、電話號碼、社會安全號碼等個人信息。至今AT&T仍然沒有發(fā)現(xiàn)這些數(shù)據是如何泄露的。 

  ●2024年5月，英國倫敦證券交易所集團數(shù)據泄露。倫敦證券交易所集團的World-Check數(shù)據庫因黑客入侵，超過500萬條敏感數(shù)據記錄被竊取并泄露至網絡。泄露數(shù)據內容廣泛，涉及多國政要、外交官、司法人士及犯罪嫌疑人的隱私資料，包括社會安全號、銀行賬戶、護照信息及詳盡的個人履歷等。

  ●2024年6月，云存儲巨頭Snowflake大規(guī)模數(shù)據泄露。Snowflake客戶招受大規(guī)模的忘網絡攻擊，至使全球超過165家知名企業(yè)發(fā)生大規(guī)模數(shù)據泄露。包括票務巨頭Ticketmaster被盜5.6億條記錄，汽車零件商AdvanceAutoParts被盜7900萬條記錄，票務巨頭TEG被竊3000萬條記錄，以及Ticketmaster、桑坦德銀行、Pure Storage、及Cylance等在內的一大批知名企業(yè)。該事件被稱為“云計算歷史上最嚴重的數(shù)據泄漏事件之一”。 

除了外部攻擊外，企業(yè)內部的員工違規(guī)也帶來了巨大的數(shù)據泄漏風險。如下圖所示，在《2024 Data Breach Investigations Report | Verizon》調研報告中，因內部原因導致的數(shù)據泄露事件占比近40%，同比增加約一倍。

圖源：2024 數(shù)據泄露調研報告

挑戰(zhàn)三：傳統(tǒng)數(shù)據庫審計無法滿足當下數(shù)據安全合規(guī)要求

在數(shù)字化轉型加速的今天，企業(yè)數(shù)據資產跨地域、跨云、跨VPC成為常態(tài)。數(shù)據的存儲形態(tài)多種多樣：云數(shù)據庫、自建數(shù)據庫、關系型數(shù)據庫(DB)、非關系型數(shù)據庫(NoSQL)、大數(shù)據平臺等。

企業(yè)業(yè)務應用面臨著對業(yè)務、多數(shù)據庫資產、大數(shù)據資產的跨平臺數(shù)據源統(tǒng)一管理、面對復雜的攻擊和漏洞進行威脅識別、以及快速滿足法律合規(guī)以及日志分析的多重挑戰(zhàn)，數(shù)據庫內置的審計無法滿足當下業(yè)務數(shù)據安全要求。如：

  ●沒有預置安全能力：數(shù)據庫內置的審計模塊僅僅記錄數(shù)據庫訪問和操作記錄，沒有預置的安全檢測規(guī)則和UEBA行為分析模型。即使少量產品支持用戶自定義規(guī)則，用戶投入巨大的資源后仍然難以彌補差距。在面對當前外部風險和內部違規(guī)時，不具備安全監(jiān)測和異常行為審計能力，無法有效阻止數(shù)據泄露事件發(fā)生。

  ●部署使用困難：數(shù)據庫內置的審計模塊僅支持數(shù)據庫自身日志審計，無法適用于IDC/私有化部署環(huán)境，無法支持公有云、多云、混合云環(huán)境，也無法適配數(shù)據存儲服務和大數(shù)據服務。

  ●僅支持傳統(tǒng)數(shù)據庫：數(shù)據庫內置的審計模塊僅具備對自身協(xié)議數(shù)據庫審計能力。無法支持非關系型數(shù)據庫(NoSQL)和大數(shù)據平臺，如：Redis、MongoDB、HIVE等。

因此亟需一款云原生、基于人工智能，預置體系化安全能力的數(shù)據安全審計系統(tǒng)，可實時監(jiān)測和審計業(yè)務數(shù)據訪問、操作過程中各類潛在風險和隱患。快速便捷滿足企業(yè)的等保合規(guī)需求，并高效應對內外部安全威脅。

騰訊數(shù)據安全審計（DSAudit）

為了更有效地應對以上安全風險與挑戰(zhàn)，騰訊安全傾力打造數(shù)據安全審計（DSAudit）產品，聯(lián)合數(shù)據安全治理中心（DSGC）和數(shù)據安全網關（CASB），構建了覆蓋事前、事中、事后的完善數(shù)據安全全生命周期防護方案。

  ●事前數(shù)據分類分級、敏感數(shù)據識別，全面而系統(tǒng)的風險評估、策略管控閉環(huán)、和風險修復收斂。

  ●事中對敏感數(shù)據流轉、訪問、操作，以及數(shù)據安全策略狀態(tài)進行持續(xù)監(jiān)測運營，基于日志匯聚、行為基線、UEBA用戶行為分析，實時感知敏感數(shù)據資產安全風險，并對風險活動進行及時告警處置。

  ●事后對全量數(shù)據行為進行細粒度審計溯源，全場景還原用戶行為軌跡，有效追蹤溯源數(shù)據的訪問行為。

相比傳統(tǒng)數(shù)據庫審計和部分數(shù)據庫內置審計模塊，僅記錄數(shù)據庫日志供查詢和檢索。騰訊數(shù)據安全審計（DSAudit）產品提供了全面、深度的事中數(shù)據風險監(jiān)測和事后異常行為審計能力，并切實有效地保護數(shù)據的安全，防止數(shù)據泄露和濫用。產品自研三大安全引擎，預置了700+規(guī)則模型，基于大數(shù)據+AI，構建一個全面的數(shù)據安全監(jiān)控、異常行為分析和細粒度安全審計體系，幫助企業(yè)保護其最寶貴的數(shù)據資產。三大安全引擎包括：規(guī)則引擎、語義引擎、和UEBA行為分析引擎。

1.規(guī)則引擎

規(guī)則引擎是數(shù)據安全審計的一個關鍵組件，它能夠根據預設的規(guī)則進行實時的數(shù)據活動監(jiān)控。當監(jiān)測到的操作或行為與規(guī)則相匹配時，引擎會觸發(fā)相應的告警動作。規(guī)則引擎基于多維度參數(shù)配置，可以靈活設置黑白名單、風險操作、SQL注入和數(shù)據庫漏洞等多種維度的審計規(guī)則。并支持用戶自定義。

2.語義引擎

語義引擎深度解析SQL語句，理解數(shù)據操作的真實意圖和目的，從而更準確地識別潛在的安全威脅、不合規(guī)操作。相比傳統(tǒng)方案，能更有效的減少誤報和漏報。如：SQL注入、拖庫、刪庫、數(shù)據破壞等高危敏感數(shù)據庫操作場景等威脅。如：

  ●SQL注入：如UNION型NULL注入攻擊、MYSQL-解釋注釋繞過、空格繞過注入、引號型注入等。

  ●漏洞攻擊：如非法使用XP_CMDSHELL執(zhí)行系統(tǒng)命令（SQLServer語法）、SQLServer-執(zhí)行危險的存儲過程、DBMS_AQADM_SYS緩沖區(qū)溢出漏洞（Oracle語法）等。

  ●操作規(guī)則：無where更新或刪除、MySQL-數(shù)據庫用戶密碼泄露。

  ●數(shù)據泄漏：使用DUMPFILE導出、使用OUTFILE導出。

3.UEBA異常行為檢測引擎

UEBA異常行為分析引擎彌補了數(shù)據庫審計產品和數(shù)據庫內置審計模塊的“AI+安全”能力的不足，是有效應對外部威脅和內部違規(guī)導致數(shù)據泄漏的神器。UEBA異常行為分析引擎使用機器學習、AI和大數(shù)據分析技術，對用戶和終端的行為進行建模和分析，以識別異�；蚩梢傻男袨��？梢宰詣訉W習用戶和業(yè)務正常的行為模式，當檢測到偏離正常模式的行為時觸發(fā)告警�？梢杂行У貦z測到外部漏洞攻擊和內部違規(guī)導致的賬戶劫持、高危操作、數(shù)據竊取、數(shù)據泄露、刪庫、數(shù)據破壞等異常行為。如下表：

目前騰訊數(shù)據安全審計（DSAudit）產品預置700+規(guī)則模型，覆蓋SQL注入、漏洞攻擊、賬號爆破、以及拖庫、刪庫、數(shù)據破壞、數(shù)據竊取等高危敏感數(shù)據庫操作場景。如下圖所示：

UEBA異常行為分析引擎，系統(tǒng)性構建數(shù)據庫異常行為分析能力，包括：登錄場景、訪問場景、查詢場景、操作場景等。

產品優(yōu)勢

騰訊云原生數(shù)據安全審計能夠對云上應用系統(tǒng)網絡中的數(shù)據庫各類會話信息、訪問操作、SQL語句進行全量審計入庫。獲得審計數(shù)據后，數(shù)據安全審計能夠根據多種規(guī)則庫和威脅檢測引擎識別操作中的惡意行為，并且及時通知管理員采取相應的安全防護措施，滿足合規(guī)要求。對于已發(fā)生的安全事件，數(shù)據安全審計支持對審計日志進行深度分析還原安全事故全貌并定位責任人。相比于數(shù)據庫自帶的審計功能，數(shù)據安全審計具有以下優(yōu)勢：

1.等保專項審計報表助力

  ●符合法規(guī)要求：DSAudit助力企業(yè)滿足網絡安全法、等保三級要求，提供符合法規(guī)的審計報表，幫助企業(yè)在合規(guī)性檢查中順利通過。 

  ●專項審計報表：DSAudit能夠生成專項審計報表，詳細記錄和分析數(shù)據庫操作，為企業(yè)提供數(shù)據操作的透明度，便于企業(yè)進行內部審計和合規(guī)性評估。 

  ●責任定位：對于已發(fā)生的安全事故，DSAudit支持對數(shù)年的日志進行審計和分析，為企業(yè)還原安全事故全貌并定位責任人提供參考依據。

2.支持多種數(shù)據源的統(tǒng)一審計

  ●跨平臺兼容性：數(shù)據安全審計（DSAudit）支持對多種數(shù)據源進行統(tǒng)一審計，包括云數(shù)據庫、自建數(shù)據庫和大數(shù)據組件。這意味著無論是在騰訊云、其他云服務商還是本地數(shù)據中心，企業(yè)都能實現(xiàn)數(shù)據資產的集中管理和審計。 

  ●簡化管理：通過跨云多地域集中審計功能，DSAudit能夠簡化管理流程，無需在不同平臺間切換，即可實現(xiàn)對所有數(shù)據資產的監(jiān)控和審計，大大提高了審計效率和準確性。 

  ●自動化發(fā)現(xiàn)：DSAudit的云數(shù)據庫自動發(fā)現(xiàn)功能，可以在用戶授權后自動獲取云數(shù)據庫列表，減少人工錄入的工作量，同時避免資產遺漏，確保審計的全面性。 

3.豐富的規(guī)則引擎識別風險

  ●AI驅動的威脅識別：依托騰訊云專業(yè)的深度學習技術和豐富的樣本訓練環(huán)境，DSAudit內置的AI引擎能夠應對多變的威脅場景，具備多達700+個內置規(guī)則的規(guī)則庫，有效識別安全事件，如威脅攻擊、惡意操作和SQL注入。 

  ●自定義規(guī)則審計：DSAudit支持按照庫、表、字段、訪問源、數(shù)據庫實例等多種維度進行審計規(guī)則設置，使企業(yè)能夠根據具體需求定制審計策略，實現(xiàn)精細化監(jiān)控。 

  ●實時響應：當DSAudit識別到威脅操作時，能夠立即向管理員發(fā)送告警信息，支持企業(yè)微信、短信、郵件等多種告警方式，確保及時響應和處理安全事件。 

騰訊云原生數(shù)據安全審計DSAudit已通過《信息安全技術 網絡安全專用產品安全技術要求》等相關國家標準的強制性要求測試，安全認證合格。滿足等保要求，為企業(yè)合規(guī)提供強有力的支撐。

申領試用機會請關注騰訊安全公眾號，了解更多產品詳情。