标准系列解读|服务商如何做好SQL审核与安全审计？

本期接着上期的文章继续为大家解读《数据库服务能力成熟度模型》运维运营能力域的SQL审核与安全审计两个能力项，备份恢复与应急方案演练将在下一期文章中进行解读。《数据库服务能力成熟度模型》的整体框架如下图所示：

《数据库服务能力成熟度模型》按照交付类型总体分为规划设计能力域、实施部署能力域和运维运营能力域，共包含27个能力项。每个能力项均从人员、工具、流程、制度、技术等维度，通过人员访谈、资料审查、工具演示等方式，对企业服务能力的评价从低到高依次划分为初始级、可重复级、稳健级、量化管理级和优化级五个等级。每个能力域的等级评定是由能力域所包含能力项的等级按照一定算法计算得出，每个能力项的等级评定是由该能力项五个等级的符合程度按照一定算法判定所得。

简单来说，SQL审核能力是指为数据库服务方通过SQL审核平台或工具对未上线、已上线的SQL代码进行代码语法、算法的安全性和质量审核检查，提前发现SQL编写、表和索引设计等方面的隐患问题，推动开发部门提前进行规避性优化处理。

SQL审核的主要过程描述如下：

a) 数据库服务方与用户沟通SQL审核的管理流程，确定其中关键角色；

b) 安装部署相关脚本或SQL审核工具；

c) 确定需要审核的数据库和相关人员；

d) 根据具体的审核需求，连接数据库采集SQL信息，或由用户提交审核信息，或者其他SQL来源；

e) 查看SQL审核结果，发现SQL代码存在的隐患；

f) 制定相关的优化建议并提交相关人员；

g) 由相关人员对存在隐患的SQL代码进行整改；

h) 对比整改前后的SQL运行情况，确认整改的执行性和优化的有效性。

按照服务能力成熟度的差异划分，SQL审核能力要求如表1所示：

表1 数据库服务能力成熟度-SQL审核能力等级标准

评估要点：

◆ SQL审核报告内容丰富度（SQL文本、违规情况、性能数据、优化建议等）、SQL审核流程、SQL审核模板等；

◆ SQL审核服务体系，人员是否拥有SQL优化经验和对象设计经验，能否支撑从研发、测试、上线发布、运行维护全生命周期的SQL质量管控；

◆ SQL审核工具/平台的功能丰富程度、易用性等。

介绍完SQL审核后，接下来解读运维运营的第七个能力项：安全审计。安全审计是指数据库服务方根据需求方的安全审计要求，通过数据库自带的审计功能，或独立的安全审计工具、平台实现数据库安全审计功能，记录符合审计选项的操作记录。通过对用户访问数据库行为的记录、分析和汇报，帮助用户事后生成合规报告、事故追根溯源，同时加强内外部数据库行为记录，提高数据资产安全。根据公安行业标准《信息安全技术 数据库安全审计产品安全技术要求》定义，数据库安全审计产品是指对用户访问数据库的操作行为进行记录、分析并响应的产品。主要支持数据采集、设置采集策略、生成审计记录、安全告警、设置告警方式和内容、查询和统计审计记录、生成和导出报表、安全存储审计记录、会话分析、安全管理、审计日志等功能。

安全审计的主要过程描述如下：

a) 调研和需求分析：对需求方的安全审计需求进行调研和分析，了解需求方的管理规范、管理流程和审计需求；

b) 制定方案：根据需求分析结果，制定安全审计方案。方案包括但不限于安全审计的配置操作手册、安全审计结果记录、安全审计结果呈现等；

c) 安全审计实施：根据制定的安全审计方案，对安全审计进行在线或离线的启用、关闭等，并对相关的审计规则、告警规则等进行配置。如果有安全审计的辅助平台，要一并部署并保证能顺利执行；

d) 安全审计验证：根据安全审计方案实施后，形成满足需求方的安全审计环境。与需求方一起选取代表性的业务场景，对安全审计功能进行验证，从而证明安全审计功能满足需求方的要求。

按照服务能力成熟度的差异划分，安全审计的等级要求如表2所示：

表2 数据库服务能力成熟度-安全审计能力等级标准

评估要点：

◆ 数据库安全审计工具功能完善性及易用性，审计对象和操作、告警方式和信息的丰富程度；

◆ 人员的数据库安全审计经验、项目丰富度；

◆ 安全审计方案、实施文档、管理规范等。

《数据库服务能力成熟度模型》标准是由中国信息通信研究院依托通信标准化协会大数据技术标准推进委员会（CCSA TC601），联合云和恩墨、腾讯云、星环科技、新炬网络、中兴通讯、爱可生、华为云、华胜信泰、科蓝软件、浪潮云、金山云、迪思杰、万里开源、百度智能云等企业于2020年联合编制而成，标准共包括900多个评估点，成为国内数据库服务领域最权威的行业标准，目前已累计完成3批6家共11次评估工作，包括云和恩墨、星环科技、腾讯云、科蓝软件、中移苏研和京东科技，为行业遴选优质服务商提供有力依据。

文章来源：大数据技术标准推进委员会 （如有侵权，请联系删除）