各位数据库安全审计大牛们，小可目前正在学习数据库审计技术，看了imperva、安恒、启明、思福迪等厂商介绍，感觉对类似B/S架构应用，均采用对中间件前端+后端镜像，然后按照时间片等技术关联，但这种方式并不能保证审计信息完全准确，据说准确度在80-90%左右，如何保证该类应用数据库审计准确性？有没有好的方法或者产品呢？请各位大牛赐教。

针对B/S架构的为什么要在中间件前端+后端做镜像？
直接在交换机上做端口镜像，捕获的都是最终与数据库通信的流量，准确度绝对超过90%吧。产品的话，IBM的Guardium可以了解下。

就是在用户端与应用之间、应用与数据库之间部署审计探针，然后两端审计信息做关联（如三层关联功能等，网上介绍挺多），这种方式关键是准确度问题，如果审计信息不能做到完全准确，如何谈责任追溯呢？

按照时间片或者时间戳等方式，虽然通过学习模式等方式，基本可以把用户-应用-数据库关联起来，但是一旦业务访问并发问并发量大，这种方式的前后关联不能保证100%准确。一旦不能保证全准确，那所有审计记过都得考虑是否可靠、准确！失去了三层关联的意思！
而据我了解，采取针对中间件(如tomcat)插件的方式，从技术理论上能达到100%的准确。而据传启明已经开始在市场上小范围推广了。好像技术关键点是用户-应用的操作的id(中间件记录)和应用-数据库的id(中间件记录)，根据这个关键的前后场唯一相关的id做唯一关联，达到100%准确！个人理解，如有误见谅！

具体你从启明那边了解准确的信息吧！希望对你有帮助！(题外话：启明的审计产品去年的排名很高呦，可以关注下)

感谢elson的回复！启明的三层关联技术前两年就有了，和他们交流下说准确率在80~90%左右，目前不太了解“中间件插件”技术，我觉得“中间件(如tomcat)插件”技术应需对应用进行开发，实际上大部分用户是不愿整改应用的，这就对产品推广产生一定的影响。不知是否有其他技术解决该类数据库审计问题呢？（满足：不改变现有应用系统，100%准确等）

几年前的三层关联，都是通过时间戳的方式关联耦合，准确性不能保证；
插件的方式需要和中间件配合，读取中间件的信息，理论上不会修改应用，但毕竟是碰了用户的菜，就看用户什么意思了。
如果不采取插件的方式，据了解世面上还没有太好的产品能解决这块的三层审计问题。期待旁路审计-精确关联的产品横空出世吧，一定很有市场的前景。

如果在中间件与数据库存在负载均衡的设备，审计的准确性就更难保证。

确实存在问题。负载均衡就是链路或者服务器选择问题，其他业务访问并没有改变，而审计理论上也没有改变的。只不过源地址转换了，用户id信息应该可以审计。

不过这种场景，暂时从技术角度也没太好的解决办法。

请指教！

在中间件与数据库存在负载均衡，很难把前端操作的ip地址，负载ip地址，操作数据库ip做准确关联起来，这样就导致审计出来的结果不准确或审计不到相关记录。

理论上，应用负载无论部署在应用（中间件）前端还是后端，都增加了审计环节，给准确关联带来困难。从网上搜索得知，有厂商采用“流会话”审计技术（帕拉迪，非广告），能解决这个问题，看了网站介绍没有深入了解该技术，不知道效果如何，有用过的朋友吗？
总之，关于数据库审计问题，想知道大家都是如何解决的？谢谢。（开启数据库自身审计功能除外，性能问题）

信息防泄漏不是通过安全审计百分之百能做到的,信息泄露能缓解。信息泄露作为用户面临的问题,对企业来说是属于企业内部控制的一部分。

谢谢大家发表高见！To “weihuihawk”，首先同意你的看法，信息防泄露需考虑多个层面，我认为重点在“事前预防”和“事中监控”这两个阶段，而审计是“事后”行为，虽能起到追溯作用，但到这个阶段信息很可能已泄露了。这里主要想关注下数据库安全审计问题，是如何做到审计准确的？请大家继续参入讨论~~~谢谢！

这是一个我个人认为是不可能完成的任务，做过开发的都知道，现在中间件都是用数据库连接池进行数据库连接的，而且商用的大多数是weblogic，webshere之类的产品，这种产品一般不会让安装插件的。就算安装了，数据库连接池中的数据库连接也没办法和web的会话对应，连接池的原理是谁空闲就用谁来连接。对并发比较小的用时间是可以做部分关联的，对大一点的并发是没有办法做到的，而且还有一个问题就是中间件大多都采用缓存机制，很多时候前面如果有人查询过一样的，根本后面就不走数据库了。

开发技术不太了解，但是个人认为既然weblogic、webshere之类的中间件能处理web事物和发起数据库请求，插件方式就应该能处理前后台关联问题；即使是缓存技术的存在，能反馈给app正确后台数据库信息，我想就应该存在user-app-db的唯一关联信息。作为插件方式读取weblogic的底层信息并不是不可能的事情，只不过需要插件的底层技术足够强大。

所以插件方式精确审计的核心就是插件读取中间件底层信息的能力。

个人理解，还望有懂这方面的大牛给予指点。

看了帕拉迪的产品介绍：
三层应用审计
DbXpert在流技术、深度全解码的基础上，通过SQL语句和变量绑定的完整审计，可以重溯整个业务流程，追踪信息的来龙去脉。

不太了解具体如何，请问有大神使用或者了解过吗？能不能给介绍下。