数据库审计产品关键指标与选型建议

正确的产品选型，意味着什么？

对于数据库审计产品而言，正确的选型将直接决定其在未来的应用过程中能否真正发挥出审计的价值！为了帮助广大用户更加合理地选择符合自身需要的数据库审计产品，针对四点关键技术性指标进行分析：

技术指标一：准确性

1、会影响数据库审计准确性的因素

· 数据库系统的复杂性

大型数据库系统的通讯协议是异常复杂的，为了进行准确的审计，审计产品需要对各种数据库通讯协议进行分析，以还原通讯包中的通讯协议结构，继而准确识别SQL语句、SQL句柄、参数、字符集等信息，技术的复杂性与困难度可想而知；

· 业务系统使用数据库技术的复杂性

以银行为例，其业务系统通常由很多参数化语句组成，且每个参数化语句对应一个SQL游标（又称SQL句柄），并使用SQL游标和参数绑定来执行命令；在这种情况下，审计产品必须准确还原数据库通讯协议包中的SQL游标和Bind Variable的值，同时将SQL游标和参数化SQL语句准确关联还原，才能够实现准确的审计；否则，会因为无法识别通讯协议导致数据漏审，而一旦出现审计数据的大量漏审，那么审计工作的价值便无从谈起了，就连合规监测也会受到严重影响。

技术指标二：性能

如果说“准确性”是数据库审计的“前提和基础”，那么“性能”就是衡量这一工作“完成效率”的重要指标。不过，判断一款数据库审计产品“性能”的好坏不能光看“表面”，真实情况可能没那么简单。

1、性能瓶颈下的“错觉”

首先要强调的是，任何一款数据库审计产品都存在性能瓶颈；正因如此，用户需要关注一种可能发生的情况，即有些数据库审计产品无论面对多么大的压力测试，其资源消耗始终维持在一个基本不变的水平，也未发出任何“压力告警”提示信息；然而真实情况却是，丢失审计数据的情况已经且正在发生，为什么会出现这种问题？往往是因为这类数据库审计产品通过某些技术配置，将超限的流量“默默丢弃掉”，以维持表面上的“性能错觉”。

2、不应缺失的“超限告警”

由于数据库审计产品采用旁路部署的方式，所以会在审计流量超限时，保护性地丢弃无法处理的流量；但是，如果产品本身不具备较为准确的超限告警能力，用户方面就无法及时知晓是否发生了流量超限的情况，也无从判断是否出现了大规模审计数据丢失的问题，更不可能依据流量超限的真实情况进行准确应对。所以说，是否具备准确的“超限告警”能力，对判断数据库审计产品真实性能的具有重要意义。