3.基于网络监听的审计技术，该技术是通过将对数据库系统的访问流镜像到交换机某一个端口，然后通过专用硬件设备对该端口流量进行分析和还原，从而实现对数据库访问的审计。其典型部署示意图如图三所示：

▲图三：网络监听审计技术部署示意图

　　该技术最大的优点就是与现有数据库系统无关，部署过程不会给数据库系统带来性能上的负担，即使是出现故障也不会影响数据库系统的正常运行，具备易部署、无风险的特点;但是，其部署的实现原理决定了网络监听技术在针对加密协议时，只能实现到会话级别审计(即可以审计到时间、源IP、源端口、目的IP、目的端口等信息)，而没法对内容进行审计。不过在绝大多数业务环境下，因为数据库系统对业务性能的要求是远高于对数据传输加密的要求，很少有采用加密通讯方式访问数据库服务端口的情况，故网络监听审计技术在实际的数据库审计项目中应用非常广泛。

　　4.基于网关的审计技术，该技术是通过在数据库系统前部署网关设备，通过在线截获并转发到数据库的流量而实现审计，其典型部署示意图如图四所示：

▲图四：网关审计技术部署示意图

　　该技术是起源于安全审计在互联网审计中的应用，在互联网环境中，审计过程除了记录以外，还需要关注控制，而网络监听方式无法实现很好的控制效果，故多数互联网审计厂商选择通过串行的方式来实现控制。在应用过程中，这种技术实现方式开始在数据库环境中使用，不过由于数据库环境存在流量大、业务连续性要求高、可靠性要求高的特点，与互联网环境大相径庭，故这种网关审计技术往往主要运用在对数据库运维审计的情况下，不能完全覆盖所有对数据库访问行为的审计。

　　通过对以上四种技术的分析，在进行数据库审计技术方案的选择时，我们遵循的根本原则是：

　　1、业务保障原则：安全建设的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，必须保障业务的正常运行和运行效率。

　　2、结构简化原则：安全建设的直接目的和效果是要将整个网络变得更加安全，简单的网络结构便于整个安全防护体系的管理、执行和维护。

　　3、生命周期原则：安全建设不仅仅要考虑静态设计，还要考虑不断的变化;系统应具备适度的灵活性和扩展性。

　　根据通常情况下用户业务系统7*24小时不间断运行的特点，从稳定性、可靠性、可用性等多方面进行考虑，特别是技术方案的选择不应对现有系统造成影响，故优选采用网络监听审计技术来实现对数据库的审计。