一個典型的網絡環境有網絡設備、
服務器、用戶電腦、數據庫、應用系統和網絡安全設備等組成部分,我們把這些組成部分稱爲審計對象。要對該網絡進行網絡安全審計就必須對這些審計對象的安全性都采取相應的技術和措施進行審計,對于不同的審計對象有不同的審計重點。
今天筆者就易混淆的網絡審計系統與數據庫審計系統進行辨析。從網絡審計系統和數據庫審計系統的國家标準切入,來分析網絡審計系統與數據庫審計系統區别,請大家與筆者一起探讨交流。
關于網絡審計系統
《GAT 695-2014 信息安全技術 網絡通信審計産品技術要求》中,對網絡通信審計産品(通常指網絡審計系統)的産品描述如下:
網絡通信審計産品通過采集和分析網絡通信數據,對審計目标網絡内用戶網絡行爲(如網頁浏覽、FTP和TELNET通信、收發郵件、IM上下線等)、網絡流量、網絡攻擊等行爲進行記錄和分析。網絡通信審計産品能夠幫助使用者記錄被審計網絡内網絡通信行爲,追溯違反安全策略要求的用戶責任,此外,網絡通信審計産品還負責保護産品自身及其内部重要數據的安全。
從以上描述可以看出,網絡審計系統的産品設計之初,并非針對數據庫進行安全審計,主要是基于網絡通信協議的審計。
《GAT 695-2014 信息安全技術 網絡通信審計産品技術要求》中,網絡審計系統的安全功能要求包括:數據采集、數據還原、統計、分析處理等。其中數據采集的内容至少包括以下一種:采集目标的IP地址或IP地址段策略、采集網絡協議或應用類型策略、采集時間段策略、其他策略。
數據還原的内容,至少包括以下四種:
a)HTTP通信:目标URL
b)FTP通信:使用的賬号、輸入命令
c)TELNET通信:使用的賬号、輸入命令
d)SMTP和POP3通信:源郵箱
e)IM通信:IM軟件名稱和賬号
……等
通覽網絡通信審計産品技術要求,并未有針對數據庫安全的審計要求。然而市場中的網絡審計系統往往将數據庫的安全審計納入自身産品的功能之中,數據庫審計系統也涉及了網絡審計系統的部分功能,這也造成了大家對網絡審計系統與數據庫審計系統的混淆。
但是術業有專攻,不用的審計重點需要不同的審計産品。
《GBT 20945-2013信息安全技術 信息系統安全審計産品技術要求和測試評價方法》中,對不同類型的安全審計産品的主要事件審計進行了标注。其中對網絡審計型信息系統安全審計産品以及數據庫型信息系統安全審計産品的要求如下:
網絡審計型信息系統安全審計産品應能夠審計以下事件:
a)FTP通訊;
b)HTTP通訊;
c)SMTP/POP3通訊;
d)TELNET通訊;
e)其他網絡協議或應用通訊。
數據庫審計型信息系統安全審計産品應能夠審計以下事件:
a)數據庫用戶操作,包括用戶登錄鑒别、切換用戶、用戶授權等;
b)數據庫數據操作,包括數據的增加、删除、修改、查詢等;
c)數據庫結構操作,包括新建、删除數據庫或數據表等。
從以上要求中可以看出,網絡審計系統與數據庫審計系統在功能偏重上有所不同,網絡審計系統以網絡通訊協議審計爲主,數據庫審計系統以數據庫操作行爲審計爲主。
關于數據庫審計系統
《GA/T 913-2010 信息安全技術 數據庫安全審計産品安全技術要求》中,指出數據庫審計系統的安全功能要求包括:審計生成單元組件要求、審計相應單元組件要求、審計處理單元組件要求等。
其中審計生成單元組件要求具備以下采集能力:
事件主題:用戶和源地址;
事件客體:對象(包括數據庫服務器、庫、表、存儲過程、函數、包等)和目的地址;
事件發生的日期和時間
事件類型:用戶對數據庫的各種操作
事件描述:操作具體内容
事件結果:數據庫返回結果
審計相應單元組件要求具備對指定事件(如數據庫返回數量超出阈值等)設置危險級别并提供報警功能。報警信息至少包括:事件主體、事件客體、事件描述、事件發生的日期和時間、事件危險級别等。
從産品技術要求可以看出來,數據庫審計系統主要針對數據庫中的操作行爲進行審計,并提供威脅響應告警、報表分析等功能,作爲數據庫的安全審計産品更加專業更有針對性。昂楷數據庫審計系統采用領先的應用層穿透技術,解決了困擾業内難以精準定位的難題,是專業的數據庫審計系統的典型代表。
最後,引用一段話進行總結:一個完整的審計體系,可滿足所有審計對象的安全審計需求。就目前而言,實現的産品類型有:日志審計系統、數據庫審計系統、桌面管理系統、網絡審計系統、入侵檢測和防護系統等,這些産品都實現了安全審計的一部分功能,隻有實現全面的網絡安全審計體系,安全審計才是完整的。
