本文探讨数据库活动监控在法规遵从解决方案中的作用。

　　数据库活动监控和法规遵从

　　组织会因各种原因部署DAM解决方案，包括法规遵从到提升自身整体安全状况等。越来越多的法律、法规和规章要求组织更严格地控制他们自身的数据，如有需要，可以为执法机构提供有效的证据。

　　萨班斯法案对在美国的机构或发生在美国的交易具有很大的影响力，它要求财务信息是准确无误的，并要求公司管理人员签署一项声明，虽然没有具体规定，但对于记录数据库活动是有意义的，尤其是当数据涉及到财务信息时。数据库活动监控对于法规遵从而言只是一个有益的补充，也有助于职责分离，如阻止DBA在备份过程中查看本不应看到的数据。

　　支付卡行业数据安全标准PCI-DSS明确要求信用卡机构保护客户的信用卡详细信息，但PCI-DSS的规定不受法律保护，数据库监控工具反倒会更有用，未经授权的访问请求将被检测并被阻止掉，例如，某个用户一次最多只能访问10个信用卡信息，但在一个查询中却超过了这个数量，数据库活动监控工具就会发现这样的活动并产生一个警告。

　　数据库活动监控技术架构

　　每个数据库活动监控厂商都有自己喜欢的一套数据库活动跟踪方式，因此各种解决方案之间的架构可能稍有不同。

　　单设备/单服务器架构提供一个一对一的数据库服务器和监控设备之间的映射，它即要充当传感器又要负责相关数据的收集，这种架构只适合部门级数据库监控。

　　两层架构由一个中央管理服务器和一组远程传感器或收集点组成，这种架构提供了更好的可扩展性。

　　构建在两层架构上的多层架构支持跨整个企业或组织的传感器。

　　高级数据库活动监控技术

　　网络监控可以监控所有到数据库的SQL通信，其优势是可以同时监控多个数据库，并可以跟踪多个SQL命令，同时还可以监控加密的连接(如VPN)，SQL命令将以明文显示，但它不能监控直接登录到数据库本机进行的操作，网络监控也不会给数据库造成任何影响，因此性能是最好的。

　　远程监控是在数据库服务器上放一个具有管理员权限的SQL收集程序，同时开启了本地数据库的审计功能，收集程序就会收集所有数据库审计工具产生的信息，这种类型的监控会增加数据库的负担，因为数据库日志功能必须全部开启，这种监控方式的好处是所有数据库活动都可以收集起来，包括直接登录到数据库本机的操作。

　　本地代理可以安装到每个数据库上用于监控，但这种监控方式可能会监控到所有数据库活动，也可能会失败，取决于它的配置，同样这种监控方式也会增加数据库服务器的开销，它唯一的好处是可以不用开启数据库审计工具就可以监控到所有数据库活动，但由于对数据库服务器的性能影响较大，很少有人使用这种方式。

　　每个组织都应该仔细评估哪个监控方案最适合自身的需要，在安全和性能之间是否有一个平衡点，实际上，很多组织都采用了混合的数据库监控架构。

　　越来越多的数据库活动监控解决方案会进入到应用程序监控和数据库监控解决方案中，这就要求对应用程序架构要有深入的了解。另外在客户端程序中嵌入一个钩子监控客户端的数据库操作也是一个不错的办法。

　　原文出处：http://www.it-analysis.com/business/quality/content.php?cid=11984

　　原文名：Database Activity Monitoring Part 4 - Compliance and Technical Architecture

　　作者：Nigel Stanley