隨著企業業務數據的云端遷移，數據安全問題日益突出。企業不僅要滿足網絡安全法規要求，還要能有效應對外部持續威脅和內部違規導致的數據安全風險。騰訊云數據安全審計（DSAudit）專門為企業數據的使用和運營設計，是企業合規、數據安全管理的必備選擇。

挑戰一：業務等保合規挑戰

網絡安全等級保護是國家網絡安全保障的基本制度、基本策略、基本方法，開展網絡安全等級保護工作是保護信息化發展、維護網絡安全的根本保障。網絡安全等級保護工作包括定級、備案、專家評審、主管部門審核（有主管部門的）、建設整改、等級測評、監督檢查。定級對象建設完成后，運營、使用單位或者其主管部門應當選擇符合國家要求的測評機構，依據《網絡安全等級保護測評要求》等技術標準，定期對定級對象安全等級狀況開展等級測評。

依據等保“一個中心，三重防護”的核心理念，構建網絡邊界安全、網絡通信安全、計算環境安全和安全管理的等保合規防護體系。

在安全計算環境-安全審計要求中明確到，“應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；并記錄和保護審計信息；應對審計進程進行保護，防止未經授權的中斷。” 針對以上場景，需采用數據安全審計產品來滿足對用戶行為和重要安全事件審計和記錄要求。

挑戰二：外部風險和內部違規導致數據泄漏

高價值的數據本身是企業的核心資產和安身立命之本，也是黑客組織主要的覬覦目標。近年來，數據安全事件層出不窮，其中不乏威脅國民數字經濟和公眾信息安全的大型數據泄露事件。事故主體輕則被處罰影響公司聲譽和運營，重則導致公司破產。部分案例如下： 

  ●2023年6月，北京昌平網安部門發現某生物技術有限公司存在數據泄露并處罰。該公司因未落實安全保護措施，導致“基因外顯子數據分析系統”中的數據泄露，總量達19.1GB，包含大量公民信息和技術信息。被網安依法警告并罰款。 

  ●2023年12月，美國國家公共數據公司（National Public Data, NPD）因數據泄露事件而破產。NPD為美國最大的背景調查公司之一。因被黑客入侵，導致數億人的數據被泄漏，包括姓名、社會安全號碼、電話號碼、地址和出生日期等敏感信息的數據。這些數據隨后在非法市場上被出售，引發了廣泛的關注和擔憂。NPD最終因面臨多方訴訟壓力，而申請破產。 

  ●2024年3月，美國電話電報公司（AT&T）數據泄漏。公司發現其7000多萬現任和前任客戶的個人數據在暗網上出售。泄漏的用戶個人數據包括姓名、家庭住址、電話號碼、社會安全號碼等個人信息。至今AT&T仍然沒有發現這些數據是如何泄露的。 

  ●2024年5月，英國倫敦證券交易所集團數據泄露。倫敦證券交易所集團的World-Check數據庫因黑客入侵，超過500萬條敏感數據記錄被竊取并泄露至網絡。泄露數據內容廣泛，涉及多國政要、外交官、司法人士及犯罪嫌疑人的隱私資料，包括社會安全號、銀行賬戶、護照信息及詳盡的個人履歷等。

  ●2024年6月，云存儲巨頭Snowflake大規模數據泄露。Snowflake客戶招受大規模的忘網絡攻擊，至使全球超過165家知名企業發生大規模數據泄露。包括票務巨頭Ticketmaster被盜5.6億條記錄，汽車零件商AdvanceAutoParts被盜7900萬條記錄，票務巨頭TEG被竊3000萬條記錄，以及Ticketmaster、桑坦德銀行、Pure Storage、及Cylance等在內的一大批知名企業。該事件被稱為“云計算歷史上最嚴重的數據泄漏事件之一”。 

除了外部攻擊外，企業內部的員工違規也帶來了巨大的數據泄漏風險。如下圖所示，在《2024 Data Breach Investigations Report | Verizon》調研報告中，因內部原因導致的數據泄露事件占比近40%，同比增加約一倍。

圖源：2024 數據泄露調研報告

挑戰三：傳統數據庫審計無法滿足當下數據安全合規要求

在數字化轉型加速的今天，企業數據資產跨地域、跨云、跨VPC成為常態。數據的存儲形態多種多樣：云數據庫、自建數據庫、關系型數據庫(DB)、非關系型數據庫(NoSQL)、大數據平臺等。

企業業務應用面臨著對業務、多數據庫資產、大數據資產的跨平臺數據源統一管理、面對復雜的攻擊和漏洞進行威脅識別、以及快速滿足法律合規以及日志分析的多重挑戰，數據庫內置的審計無法滿足當下業務數據安全要求。如：

  ●沒有預置安全能力：數據庫內置的審計模塊僅僅記錄數據庫訪問和操作記錄，沒有預置的安全檢測規則和UEBA行為分析模型。即使少量產品支持用戶自定義規則，用戶投入巨大的資源后仍然難以彌補差距。在面對當前外部風險和內部違規時，不具備安全監測和異常行為審計能力，無法有效阻止數據泄露事件發生。

  ●部署使用困難：數據庫內置的審計模塊僅支持數據庫自身日志審計，無法適用于IDC/私有化部署環境，無法支持公有云、多云、混合云環境，也無法適配數據存儲服務和大數據服務。

  ●僅支持傳統數據庫：數據庫內置的審計模塊僅具備對自身協議數據庫審計能力。無法支持非關系型數據庫(NoSQL)和大數據平臺，如：Redis、MongoDB、HIVE等。

因此亟需一款云原生、基于人工智能，預置體系化安全能力的數據安全審計系統，可實時監測和審計業務數據訪問、操作過程中各類潛在風險和隱患。快速便捷滿足企業的等保合規需求，并高效應對內外部安全威脅。

騰訊數據安全審計（DSAudit）

為了更有效地應對以上安全風險與挑戰，騰訊安全傾力打造數據安全審計（DSAudit）產品，聯合數據安全治理中心（DSGC）和數據安全網關（CASB），構建了覆蓋事前、事中、事后的完善數據安全全生命周期防護方案。

  ●事前數據分類分級、敏感數據識別，全面而系統的風險評估、策略管控閉環、和風險修復收斂。

  ●事中對敏感數據流轉、訪問、操作，以及數據安全策略狀態進行持續監測運營，基于日志匯聚、行為基線、UEBA用戶行為分析，實時感知敏感數據資產安全風險，并對風險活動進行及時告警處置。

  ●事后對全量數據行為進行細粒度審計溯源，全場景還原用戶行為軌跡，有效追蹤溯源數據的訪問行為。

相比傳統數據庫審計和部分數據庫內置審計模塊，僅記錄數據庫日志供查詢和檢索。騰訊數據安全審計（DSAudit）產品提供了全面、深度的事中數據風險監測和事后異常行為審計能力，并切實有效地保護數據的安全，防止數據泄露和濫用。產品自研三大安全引擎，預置了700+規則模型，基于大數據+AI，構建一個全面的數據安全監控、異常行為分析和細粒度安全審計體系，幫助企業保護其最寶貴的數據資產。三大安全引擎包括：規則引擎、語義引擎、和UEBA行為分析引擎。

1.規則引擎

規則引擎是數據安全審計的一個關鍵組件，它能夠根據預設的規則進行實時的數據活動監控。當監測到的操作或行為與規則相匹配時，引擎會觸發相應的告警動作。規則引擎基于多維度參數配置，可以靈活設置黑白名單、風險操作、SQL注入和數據庫漏洞等多種維度的審計規則。并支持用戶自定義。

2.語義引擎

語義引擎深度解析SQL語句，理解數據操作的真實意圖和目的，從而更準確地識別潛在的安全威脅、不合規操作。相比傳統方案，能更有效的減少誤報和漏報。如：SQL注入、拖庫、刪庫、數據破壞等高危敏感數據庫操作場景等威脅。如：

  ●SQL注入：如UNION型NULL注入攻擊、MYSQL-解釋注釋繞過、空格繞過注入、引號型注入等。

  ●漏洞攻擊：如非法使用XP_CMDSHELL執行系統命令（SQLServer語法）、SQLServer-執行危險的存儲過程、DBMS_AQADM_SYS緩沖區溢出漏洞（Oracle語法）等。

  ●操作規則：無where更新或刪除、MySQL-數據庫用戶密碼泄露。

  ●數據泄漏：使用DUMPFILE導出、使用OUTFILE導出。

3.UEBA異常行為檢測引擎

UEBA異常行為分析引擎彌補了數據庫審計產品和數據庫內置審計模塊的“AI+安全”能力的不足，是有效應對外部威脅和內部違規導致數據泄漏的神器。UEBA異常行為分析引擎使用機器學習、AI和大數據分析技術，對用戶和終端的行為進行建模和分析，以識別異常或可疑的行為。可以自動學習用戶和業務正常的行為模式，當檢測到偏離正常模式的行為時觸發告警。可以有效地檢測到外部漏洞攻擊和內部違規導致的賬戶劫持、高危操作、數據竊取、數據泄露、刪庫、數據破壞等異常行為。如下表：

目前騰訊數據安全審計（DSAudit）產品預置700+規則模型，覆蓋SQL注入、漏洞攻擊、賬號爆破、以及拖庫、刪庫、數據破壞、數據竊取等高危敏感數據庫操作場景。如下圖所示：

UEBA異常行為分析引擎，系統性構建數據庫異常行為分析能力，包括：登錄場景、訪問場景、查詢場景、操作場景等。

產品優勢

騰訊云原生數據安全審計能夠對云上應用系統網絡中的數據庫各類會話信息、訪問操作、SQL語句進行全量審計入庫。獲得審計數據后，數據安全審計能夠根據多種規則庫和威脅檢測引擎識別操作中的惡意行為，并且及時通知管理員采取相應的安全防護措施，滿足合規要求。對于已發生的安全事件，數據安全審計支持對審計日志進行深度分析還原安全事故全貌并定位責任人。相比于數據庫自帶的審計功能，數據安全審計具有以下優勢：

1.等保專項審計報表助力

  ●符合法規要求：DSAudit助力企業滿足網絡安全法、等保三級要求，提供符合法規的審計報表，幫助企業在合規性檢查中順利通過。 

  ●專項審計報表：DSAudit能夠生成專項審計報表，詳細記錄和分析數據庫操作，為企業提供數據操作的透明度，便于企業進行內部審計和合規性評估。 

  ●責任定位：對于已發生的安全事故，DSAudit支持對數年的日志進行審計和分析，為企業還原安全事故全貌并定位責任人提供參考依據。

2.支持多種數據源的統一審計

  ●跨平臺兼容性：數據安全審計（DSAudit）支持對多種數據源進行統一審計，包括云數據庫、自建數據庫和大數據組件。這意味著無論是在騰訊云、其他云服務商還是本地數據中心，企業都能實現數據資產的集中管理和審計。 

  ●簡化管理：通過跨云多地域集中審計功能，DSAudit能夠簡化管理流程，無需在不同平臺間切換，即可實現對所有數據資產的監控和審計，大大提高了審計效率和準確性。 

  ●自動化發現：DSAudit的云數據庫自動發現功能，可以在用戶授權后自動獲取云數據庫列表，減少人工錄入的工作量，同時避免資產遺漏，確保審計的全面性。 

3.豐富的規則引擎識別風險

  ●AI驅動的威脅識別：依托騰訊云專業的深度學習技術和豐富的樣本訓練環境，DSAudit內置的AI引擎能夠應對多變的威脅場景，具備多達700+個內置規則的規則庫，有效識別安全事件，如威脅攻擊、惡意操作和SQL注入。 

  ●自定義規則審計：DSAudit支持按照庫、表、字段、訪問源、數據庫實例等多種維度進行審計規則設置，使企業能夠根據具體需求定制審計策略，實現精細化監控。 

  ●實時響應：當DSAudit識別到威脅操作時，能夠立即向管理員發送告警信息，支持企業微信、短信、郵件等多種告警方式，確保及時響應和處理安全事件。 

騰訊云原生數據安全審計DSAudit已通過《信息安全技術 網絡安全專用產品安全技術要求》等相關國家標準的強制性要求測試，安全認證合格。滿足等保要求，為企業合規提供強有力的支撐。

申領試用機會請關注騰訊安全公眾號，了解更多產品詳情。