(5)操作過程回放

讓安全運(yùn)維技術(shù)與管理等相關(guān)人員可以看到真實(shí)輸入及屏幕顯示內(nèi)容，對于遠(yuǎn)程操作實(shí)現(xiàn)對精細(xì)內(nèi)容的檢索，如執(zhí)行刪除表、文件命令、數(shù)據(jù)搜索等。

對于Windows中的安全檢查事件，你可以選擇記錄成功的嘗試，或者記錄失敗的嘗試。 如果你僅選擇記錄失敗的訪問文件和文件夾的數(shù)據(jù)，記錄的數(shù)據(jù)就不會顯示這個(gè)文件是什么時(shí)候被成功破解的。如果你僅記錄成功地訪問一個(gè)用戶賬號的嘗試，記錄的數(shù)據(jù)就不會向你顯示一個(gè)黑客50次沒有猜對那個(gè)賬號的用戶名和密碼。

無論你是在使用Winclows操作系統(tǒng)還是任何其它的設(shè)備和程序，你必須花費(fèi)一些時(shí)間和努力事先了解你擁有的安全日志功能，并且為你的需要恰當(dāng)?shù)卦O(shè)置好日志選項(xiàng)。雖然簡單地把一切都記錄下來似乎是合乎邏輯的，但是，監(jiān)測和記錄安全事件會給處理器增加工作負(fù)擔(dān)并且要使用內(nèi)存和硬盤的空間。你需要了解可用的日志選項(xiàng)，在記錄一切和全不記錄之間選擇最佳的平衡點(diǎn)，以便記錄對你有價(jià)值的數(shù)據(jù)。

網(wǎng)絡(luò)和安全管理員經(jīng)常花費(fèi)時(shí)間建立日志數(shù)據(jù)收集，但是，他們沒有處理這些數(shù)據(jù)或者沒有現(xiàn)成的資源來監(jiān)測和分析那些數(shù)據(jù)。因?yàn)闆]有人監(jiān)測這些日志數(shù)據(jù)，有關(guān)網(wǎng)絡(luò)偵察或者潛在的攻擊的信息也許會被忽略而失去時(shí)效。當(dāng)安全事件發(fā)生時(shí)，查看日志數(shù)據(jù)也許可以確定事件發(fā)生的時(shí)間。但是，在很多情況下，需要查看的數(shù)據(jù)量太大，人們沒有經(jīng)過技術(shù)培訓(xùn)或者不會查看這些數(shù)據(jù)，有日志數(shù)據(jù)也沒有意義了。

現(xiàn)在，有安全事件管理( SEM)應(yīng)用軟件等一些工具專門用于監(jiān)測安全事件并且使用某些邏輯或者過濾器幫助管理員獲取有意義的數(shù)據(jù)。然而‘，這些工具仍需要設(shè)置和除當(dāng)?shù)厥褂貌拍苡行剩藗円獙^濾的數(shù)據(jù)有所了解并且采取措施。

數(shù)據(jù)庫安全審計(jì)系統(tǒng)是通過對網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中數(shù)據(jù)庫的所有訪問操作，發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為，及時(shí)報(bào)警響應(yīng)操作還原，實(shí)現(xiàn)數(shù)據(jù)庫安全事件的準(zhǔn)確跟蹤定位，保障數(shù)據(jù)庫系統(tǒng)安全。

數(shù)據(jù)庫安全審計(jì)系統(tǒng)模型包括兩個(gè)部分：一是審計(jì)數(shù)據(jù)采集器，用于采集審計(jì)數(shù)據(jù)，并存儲為審計(jì)L志；二是審計(jì)數(shù)據(jù)分析器，負(fù)責(zé)分析審計(jì)數(shù)據(jù)采集器發(fā)送的數(shù)據(jù)；審計(jì)數(shù)據(jù)字典則是數(shù)據(jù)庫審計(jì)規(guī)則庫。下圖是一個(gè)安全審計(jì)系統(tǒng)模型示意圖。