合规性审计有时候像是数据库管理员最糟糕的噩梦，但并不一定是这样。SQL Server数据库审计的关键是做好准备工作；提前计划并从一开始就仔细监控数据，这可减少审计过程中的一些麻烦。

这是数据库工具供应商Idera公司销售工程副总裁Bullett Manale的说法。在由该公司主持的网络研讨会中，Manale讨论了SQL Server审计最佳做法，特别是审计员真正想知道的内容以及回答他们的问题的最佳方法。

根据Manale的说法，审计员通常对数据库管理员（DBA）有三个主要问题：

1. 谁有权访问数据库中的敏感数据？
2. 是否是正确的人在访问数据？
3. 用于验证访问控制的审计跟踪是否可靠？

Manale指出，为了避免在合规性相关的数据库审计过程中出现问题，SQL Server DBA应该要能够回答所有这些问题，下面让我们更详细地探讨这些问题。

跟踪对敏感SQL Server数据的访问

Manale表示，在合规审计开始时，审计人员会想知道谁有权访问敏感数据，更重要的是，他们如何获得这种访问权限。他补充说，这实际上归结为知道谁应该和不应该访问数据。

根据Manale的说法，对于确定谁有权访问数据，关键是准确知道相关数据在数据库中的位置。作为SQL Server审计最佳做法的一部分，DBA需要了解如何将用户权限应用于敏感数据所在的数据库部分。

这里需要可用的工具。Manale指出，这些工具应该使DBA能够隔离和识别用户及其权利和权限，从而全面了解谁可以访问数据库中的内容。

Manale说，在进入第二个问题之前，审计人员通常需要知道所有这些信息都已得到企业内部合规官的验证。

仅为正确的人员提供数据访问权限

审计人员还希望确保员工正确使用敏感数据。Manale说，为了做到这一点，他们会要求证明数据只能由正确的人员访问，即工作需要相关数据的合适的人员。他补充说，当然，同样重要的是，证明错误的人无法访问数据。

为让审计人员相信数据访问在控制之中，SQL Server审计最佳做法包括能够提供详细记录和报告说明数据何时被访问以及由谁访问。Manale表示，DBA面临的主要挑战不仅是跟踪与特定数据集相关的人员、内容、时间和地点，还要维护这些记录并能够根据需要提取这些记录。

完整准确的审计跟踪

最后，审计员会希望确保用于验证数据访问控制的审计跟踪未被篡改。为了证明这一点，DBA需要能够证明审计数据没有改变。

这可以使用散列函数或循环冗余校验来完成，但Manale警告说，这可能是一项特别复杂的任务，因为数据库中数据的完整性对于SQL Server审计至关重要。 他指出：“即使审计跟踪显示合规，如果没有对审计本身进行某种形式的完整性检查，很多审计师也不会信任这些信息。”

为了遵守SQL Server审计最佳做法，Manale建议DBA收集并维护与数据库中敏感数据相关的事务的完整审计跟踪。他说，数据保留应该遵循标准数据保留政策- 通常至少需要七年。他补充说，当事务不符合企业数据使用标准时，还应该部署实时控制以提醒DBA，这样他们就可以制止可能产生合规风险的活动。