前言
隨著現代資訊系統的日益複雜,稽核系統的作用越來越重要,尤其在滿足合規性要求、確
保系統安全與分析使用者行為方面。然而,傳統稽核系統在面對龐大的數據量時,經常會
因為紀錄過多、重複或缺乏稽核意義的數據而導致稽核效率低下,甚至掩蓋了真正的安全
風險。為了解決這一挑戰,稽核系統需要引入聰明的過濾機制,將無意義的紀錄排除,從
而提高數據的價值密度。以下將以監控稽核系統專家的視角,論述智慧型稽核紀錄過濾的
必要性、以及DAM+的方法和優點。
智慧型稽核紀錄過濾的必要性
1. 稽核數據量爆炸的挑戰
現代應用系統每天產生的稽核紀錄數據非常龐大,包含大量例行性、重複性或低價
值的操作紀錄。例如,屬於系統內置的操作、環境配置、例行查詢和背景程序的活
動會產生大量的稽核數據。這些紀錄中有大部分是例行性操作或無風險的活動,但
它們占用了大量存儲空間,增加了稽核分析的負擔。如果不進行過濾,稽核人員需
要花費大量時間去篩選這些紀錄,無法有效聚焦於真正有價值的稽核紀錄。
2. 減少稽核過程中的干擾
稽核人員在分析稽核數據時,過多的無意義紀錄會干擾判斷,導致稽核過程延長且
容易忽略真正有價值的紀錄或真正的異常行為。例如,正常用戶的高頻查詢行為可
能會埋沒在海量的背景系統執行紀錄中,從而使得安全威脅不易被識別。因此,過
濾掉無意義紀錄是提升稽核工作效率與準確的關鍵。
3. 符合法規與數據儲存效率的要求
現行法規如《歐盟通用數據保護條例》(GDPR)或其他區域的數據安全規範,要求
企業對稽核紀錄進行有效管理,個資法更要求軌跡紀錄至少保存五年以上。存儲過
多不具稽核意義的紀錄,不僅增加了成本,也無法提升合規性價值。智能化過濾有
助於在保留有用數據的基礎上提高稽核紀錄的管理效率。
智慧型稽核紀錄過濾的實現方式
1. SQL 監控政策(SQL Logging Policy)定義
通過監控規則定義,選擇性過濾掉一些不具備稽核意義的軌跡紀錄。可通過以下條
件組合設定過濾掉軌跡紀錄,支援以下條件選項:
- 資料庫使用者
- 資料庫客戶端 IP/Port No.
- 前端使用者
- 前端使用者 IP/Port No.
- 表名稱
2. 自動過濾機制
具備支持前端使用者追蹤功能,通過前端使用者辨識與追蹤,可以分辨屬於前端用
戶登入後的操作,與不具稽核意義的非前端用戶操作(如應用系統前置作業,用戶登
入前任意瀏覽),系統默認會將這類型操作自動過濾掉,不做紀錄,也可以選擇保留
紀錄。
3. 機器學習分類模型
支援利用機器學習技術可以建立分類模型,根據歷史稽核紀錄學習哪些紀錄不具有
稽核價值。例如:環境定義、時間顯示定義、用戶喜好定義等或是SQL Parser 解析
剖析階段執行的陳述,模型將利用這些特徵來訓練,可自動分析計算紀錄的稽核價
值評分,過濾掉不具備稽核價值的紀錄。這種方法具有高度靈活性,能適應多變的
場景,但需要較高的前期數據訓練成本。
比較不具備稽核價值的SQL 語句,例如:
SET ANSI_NULLS ON
SET ANSI_PADDING ON
SET LANGUAGE
set newpage
set space
set pagesize
set echo on/off
select * from sys.time_zone_info
select DBTIMEZONE from dual
智慧型稽核紀錄過濾的優點
1. 提升稽核效率
稽核人員能專注於高風險紀錄分析,減少數據干擾與無效工作量,大幅提高效率。
2. 優化存儲資源
過濾掉不具備稽核價值的紀錄後,稽核系統的存儲壓力減小,數據處理與查詢速度
也會提升。
3. 強化異常檢測能力
通過紀錄過濾降低數據量干擾因素,稽核系統能更快速地識別潛在威脅並做出響
應。
4. 動態適應業務需求
基於機器學習的過濾邏輯能隨著業務模式變化而自動調整,提升系統的靈活性與智
能化程度。
5. 支持合規性要求
保留真正具有稽核價值的紀錄,不僅能滿足法規要求,也能幫助企業更有效地應對
稽核查核。
智慧型稽核紀錄過濾的安心方案
啟用稽核紀錄過濾功能後,可大幅減少稽核數據量。但若遇特殊情況需查詢因過濾條件而
過濾掉的訪問記錄,怎麼辦?DAM+提供一個安心的配套解決方案。用戶可選擇將所有未過
濾的訪問記錄加密壓縮後保存,並存儲於外部低成本設備。當需要查詢時,我們提供專業
服務,協助還原檔案並解析出所需的稽核紀錄。
結語
在現代稽核系統中,智慧型稽核紀錄過濾不僅是提升效率的技術需求,更是實現合規性與
安全性的核心策略。透過 SQL監控政策(SQL Logging Policy)、自動過濾機制、機器學習
分類模型等技術,稽核系統能有效過濾掉不具備稽核價值無意義的紀錄,專注於異常行為
與高風險操作,為企業提供更強大的安全保障與合規支持。在未來,智能化過濾技術將成
為監控稽核系統發展的重要方向,幫助企業在數字化的時代中應對更複雜的安全挑戰。