防止审计表被篡改

Question

我们的数据库中有审计表。 该表的记录是使用触发器完成的。

目前，没有什么可以阻止用户登录数据库服务器、从 Management Studio 打开表以及更改审计表中的数据。

有哪些可能的机制可以防止（或至少检测）审计数据篡改情况？

我正在考虑在审核表中添加一列，其中应包含一些根据该行中输入的值计算的哈希值。但是，由于审核是使用触发器完成的，因此恶意用户可以打开任何触发器并查看计算此哈希的逻辑。

编辑：

我还不够清楚。应用程序用户无权访问数据库。我指的是像数据库管理员这样的用户，对数据库具有适当的权限。不过，如果这个数据库管理员登录并有权修改审计表，我希望至少有一些机制来检测这种篡改。

Answer 1

没有什么可以阻止某人通过 SQL 管理器访问您的数据库来更改内容。不过你可以让它显露出来。

基本上，您需要使用 HMAC，它们是带密钥的哈希值。不幸的是，这会导致您需要密钥管理来确保密钥保密，而这在触发器中可能是不可能的。我们使用加密服务来提供密钥管理，但这是通过代码访问的。

您还需要考虑用户删除记录而不是更改其内容的能力。我们最终得到了两个 HMAC，一个使用记录的内容计算（以使对记录的更改变得明显），第二个使用当前记录 HMAC 和前一行的 HMAC 来使任何行删除篡改变得明显。

然后你需要担心删除第一条或最后一条记录。为此，我们使用始终具有相同内容的预告片和标题记录，如果这些内容不存在，则表的顶部或底部已被删除。标头的组合 HMAC 使用其后的记录而不是之前的记录（因为之前没有记录）。

当然，如果您要删除旧记录来管理存储的数据量，您将需要一种机制来在删除后添加新的标头记录。

Answer 2

以下是一些可能性：

• 您无法阻止或检测具有 sysadmin (sa) 权限的人进行的篡改。如果您不信任系统管理员，那么您可能会遇到比这一特定问题更严重的问题。
• 很难防止或检测域或本地管理员的篡改。这样的人可以在单用户模式下重新启动 SQL Server，并使用 SQL 作为系统管理员获得访问权限。
• 要检测数据库所有者 (dbo) 的篡改，您可以使用 服务器审核 SQL Server 早期版本中的 SQL 跟踪。
• 您可以通过限制其他用户对相关触发器和审核表的权限来防止其他用户的篡改。

Answer 3

您可以启用更改跟踪，这样您就可以进行“审计表上的审计”。

如果您的基础设施管理得当，我猜用户没有 sa 权限，他们使用 Management Studio 查看使用其 Windows 帐户登录的数据库，在这种情况下，您可以在该审核表上设置安全性，只有 sa 和其他管理帐户会被访问。能够更改内容，但不能更改普通用户/开发人员帐户。

希望这有帮助。

Answer 4

您所描述的问题可能表明您的系统架构中存在更严重的问题。
通常，用户甚至不应该直接访问运行数据库的计算机。

您可能需要考虑一种架构，其中数据库计算机与业务逻辑计算机分开，并且只能由它们访问。

如果您的用户决定尝试不通过客户端访问您的服务器，那么他们应该能够做的就是访问您决定公开的明确定义的 Web 服务。

用户没有理由应该能够访问数据库计算机，或者拥有允许写入数据库的帐户的凭据。您似乎担心审计信息被篡改。如何阻止恶意用户删除表或篡改功能数据？

Answer 5

1. 将审核数据分离到其自己的架构中，然后设置权限，以便您关注的用户无权访问该架构。

2. 使用完全独立的数据库，甚至可以位于不同的计算机上。

   我经常看到某种类型的发布/订阅模型用于从关系数据库发布审计数据，然后将该审计数据异步写入审计存储。

   也许您可以让触发器将审核数据写入队列。然后，您可以安排一个每隔几分钟运行一次的作业，以从队列中获取审核数据并将其写入审核存储。