近年來數據泄露事件頻發，尤其是《網絡安全法》的正式實施，安全問題被提到了法律層面，很多企業被迫整改，這些都一再印證了數據安全的重要性。擁有強大的數據庫安全系統，尤其是數據庫審計系統顯得尤為重要。而數據庫審計發展到今天，基礎的功能各家都具備，但對一些高級功能的實現上就有明顯差距了。我們今天要說的是數據庫審計中的一個高級功能—雙向審計。

那么什么是雙向審計呢？

雙向審計就是數據庫審計系統通過雙向數據包的解析、識別、還原，不僅對數據庫操作請求進行審計，而且還可以對數據庫系統返回結果進行完整的還原和審計，包括數據庫命令執行時長、執行狀態、返回行數、執行的結果集等內容。

如執行語句：SELECT /*OracleDictionaryQueries.ALL_ROLES_QUERY*/ ROLE FROM SYS.SESSION_ROLES

如果沒有雙向審計，則只記錄該語句以及相關訪問信息，如下圖：

雖然上圖內容已經很詳盡，但仍不能了解到用戶訪問的實際內容，而雙向審計，則可以完整的記錄：

由雙向解析我們可以：

（一）根據解析出的影響／返回行數，可以制定審計策略，如影響／返回行數超過100（可根據需要修改）的進行高風險告警。
（二）確認泄漏或修改了哪些數據，同一張表存儲的數據在不同的時間段有可能是不一樣的，則同樣的操作語句查詢或刪除的內容也可能不一樣。沒有雙向審計，只知道當時執行了什么，但不知道查詢到了什么，所以無法確定泄漏的具體數據。

數據庫審計中的雙向解析功能需要長期的技術積累，對數據庫通信協議進行精確的解析才能實現，但是在實際的應用中對提高審計效果，縮小疑點范圍起的作用非常顯著，給用戶帶來了更多的便捷，所以備受客戶青睞。