今日实施|解读新国标对数据库审计的能力要求

数据库审计是数据安全建设不可或缺的技术工具之一,无论是国家级的法律或标准,还是等保以及行业级的安全标准均对使用数据库审计有明确要求。据相关数据统计显示,数据库审计产品的市场需求已占据中国数据库安全市场容量的6成以上。

12月1日,GB/T 20945-2023《信息安全技术 网络安全审计产品技术规范》正式实施。

该标准全面替代GB/T 20945-2013《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》,将审计产品按照产品部署位置和审计对象划分为主机审计、网络审计、数据库审计、应用审计和综合审计,并明确了各类审计产品的定义、审计范围、部署方式和技术要求、测试评价方法及安全等级划分。

GB/T20945-2022中正式对数据库审计的定义:

数据库审计产品部署于数据库服务器或网络边界处,针对数据库的用户授权、数据的增加/删除/修改/查询等进行审计。

美创科技积极参与新国标数据库审计内容的研究与制定。本文将对新老标准进行对比,结合数据库审计产品行业应用实践对GB/T20945-2023中数据库审计所定义的安全功能要求、自身安全保护要求、环境适应性要求、性能要求进行解读。

安全功能要求

|---------|----------------|----------------|
| 功能 | GB/T20945-2023 | GB/T20945-2013 |
| 安 全 功 能 | 数据采集 | ✔ |
| 安 全 功 能 | 审计内容 | 审计分析---事件审计 |
| 安 全 功 能 | 审计记录生成 | 审计分析---统计分析 |
| 安 全 功 能 | 审计数据分析统计 | 审计分析---统计分析 |
| 安 全 功 能 | 审计数据展示 | ✔ |
| 安 全 功 能 | 管理控制 | ✔ |

整体上,新标准将审计分析功能进行拆分,更加贴合审计产品的框架和实际应用流程。在具体功能项上:

数据采集

标准要求:审计产品应具备数据采集功能,并能根据审计目标、审计内容等设置采集策略。

解读:新增依据审计内容的采集策略设置,扩展了设置采集策略的依据对象。

审计内容

|--------|----------------------------|----------------|
| 功能 | GB/T20945-2023 | GB/T20945-2013 |
| 审 计 内容 | 数据库用户操作:用户登录、登出、切换、用户增/删/改 | ✔ |
| 审 计 内容 | 数据库数据操作:数据库内数据的增/删/改/查 | ✔ |
| 审 计 内容 | 数据库结构操作:数据库或表的增/删/改/查 | ✔ |
| 审 计 内容 | 非关系型数据库的以上操作 | 新增项,对应增强型 |

审计记录生成

数据库审计产品应具备数据库审计记录生成功能,记录内容包括但不限于:

|-----------|---------------------------------------------|----------------|
| 功能 | GB/T20945-2023 | GB/T20945-2013 |
| 审 计 记 录生成 | 时间、客户端标识、客户端IP地址、用户名、数据库标识、数据库类型、数据库端口、操作命令 | ✔ |
| 审 计 记 录生成 | 操作结果,包括操作成功或失败,影响行数 | 新增项,对应基础型 |
| 审 计 记 录生成 | 操作返回内容,包括查询结果 | 新增项,对应增强型 |

审计数据分析统计

|---------|---------------------|-----------------|
| 功能 | GB/T20945-2023(基础级) | GB/T20945-2013 |
| 分 析 统 计 | 事件分类分级 | 新增项,原来增强级变更为基础型 |
| 分 析 统 计 | 关联分析 | ✔ 增强级必须功能 |
| 分 析 统 计 | 异常事件分析 | ✔ 增强级必须功能 |
| 分 析 统 计 | 统计 | ✔ |

解读:重点将事件分类分级纳入到基础级的功能内。去除增强级中扩展分析接口的能力。扩展了关联分析和异常事件分析的功能点:

a. 【事件分类分级】

  • 根据一定特征对事件进行分类

  • 区分事件的安全级别,且可自定义安全级别

b.【关联分析】从宽泛的"对相互关联的事件进行综合分析"明确到:

  • 对相同事件发生的次数或频率达到一定阈值进行关联分析

  • 对相互关联的不同事件进行关联分析

  • 通过以上条件组合自定义分析策略

c.【异常事件分析】从至少包括一种,到包括但不限于以下分析能力:

  • 用户行为异常

  • 系统资源滥用或耗尽

  • 网络流量异常

  • 网络连接异常

  • 应用服务异常

d.【统计】从宽泛的"能以目标标识和事件类型等条件统计"细化到要包括:

  • 按照时间、审计目标标识、事件类型等条件进行事件统计

  • 按照时间、事件安全级别等条件进行风险统计

  • 按照时间、协议类型、应用类型等条件进行网络流量统计

  • 按照时间、审计目标标识等条件进行网络连接数统计

审计数据展示

|--------|---------------------|----------------|
| 功能 | GB/T20945-2023(基础级) | GB/T20945-2013 |
| 审计数据展示 | 审计记录查阅 | ✔ |
| 审计数据展示 | 统计报表 | ✔ |
| 审计数据展示 | 告警 | 增强级必须功能 |

解读:将增强级的报表功能进行升级,包括自定义报表模板能力。增强级功能:告警进行补充升级。

a.【报表】补充自定义报表模板的功能

b.【告警】从原来的功能点补充自定义告警事件,所有功能如下,包括但不限于:

  • 能够自定义告警事件

  • 能够将高频发生的相同告警事件进行合并

  • 告警方式包括但不限于:界面提醒、邮件、即时通信、短信、snmp trap消息、声光电信号等方式中的一种

  • 记录告警事件,内容包括:时间、事件主体、事件描述、事件级别、发生次数

管理控制

|---------|---------------------|----------------|
| 功能 | GB/T20945-2023(基础级) | GB/T20945-2013 |
| 管 理 控 制 | 管理界面 | ✔ |
| 管 理 控 制 | 配置备份和恢复 | 新增项 |
| 管 理 控 制 | 数据外发 | 新增项,对应增强级 |
| 管 理 控 制 | 自定义事件 | 新增项,对应增强级 |
| 管 理 控 制 | 产品升级 | 新增项,对应增强级 |
| 管 理 控 制 | 时间同步 | 新增项 |

解读:基础级新增配置备份和恢复和时间同步。增强级新增:数据外发、自定义事件、产品升级:

a.【管理界面】从宽泛的"提供配置管理图形界面"到详细要求包括"审计功能启/停、审计策略配置、审计数据分析/统计/展示、自身安全管理"等所有功能

b.【配置备份和恢复】要求具备配置备份恢复功能,能备份和恢复自身配置

c.【数据外发】要求通过标准接口、协议将审计数据外发

d.【自定义事件】要求具备自定义事件功能,能自定义的事件进行审计

e.【产品升级】要求具备升级功能,能升级产品的版本和事件识别库

f.【时间同步】要求具备时间同步功能,能够从NTP服务器同步系统时间

自身安全保护要求

|-------------|---------------------|----------------|
| 功能 | GB/T20945-2023(基础级) | GB/T20945-2013 |
| 自 身 安 全 保 护 | 身份标识与鉴别 | ✔ |
| 自 身 安 全 保 护 | 管理权限安全 | ✔ |
| 自 身 安 全 保 护 | 管理方式安全 | ✔ |
| 自 身 安 全 保 护 | 审计探针安全 | 新增项 |
| 自 身 安 全 保 护 | 用户信息安全 | 新增项 |
| 自 身 安 全 保 护 | 传输安全 | ✔ |
| 自 身 安 全 保 护 | 存储安全 | ✔ |
| 自 身 安 全 保 护 | 自身管理审计 | ✔ |
| 自 身 安 全 保 护 | 支撑系统安全 | 新增项 |

新标准对原有数据库自身安全保护要求进行更合理的归类和补充,特别补充审计探针安全和用户信息安全这两块:

探针安全

|---------|---------------------|----------------|
| 功能 | GB/T20945-2023(基础级) | GB/T20945-2013 |
| 探 针 安 全 | 探针识别 | 新增项,对应基础级 |
| 探 针 安 全 | 探针状态监测 | 新增项,对应基础级 |
| 探 针 安 全 | 集中管理 | 新增项,对应基础级 |
| 探 针 安 全 | 探针程序和进程安全 | 新增项,对应增强级 |

解读:新增探针安全模块,包括探针识别、探针状态监测、集中管理、探针程序和进程安全,补充完整探针进程的功能和管控要求。

  • 探针识别:审计中心和探针分开部署时,能对审计探针进行识别,防止审计探针假冒

  • 探针状态监测:监测探针的运行状态集中

  • 管理包括:数据采集策略下发、审计日志收集、探针分组管理等

  • 探针程序和进程安全:探针进程在审计目标启动时自动加载、探针进程能防止被强制终止、程序具备协助保护措施、程序具备完整性措施

用户信息安全

补充用户信息安全,要求审计产品在用到个人信息时要符合国家个人信息安全标准,主要包括:

  • 保障用户信息在传输和存储过程中的保密性和完整性

  • 个人信息的收集、存储、使用要符合GT/B 35273---2020的相关规定

环境适应性要求

|------|---------------------|----------------|
| 功能 | GB/T20945-2023(基础级) | GB/T20945-2013 |
| 环境适应 | IPv6支持 | 新增项 |
| 环境适应 | 虚拟化支持 | 新增项 |

解读:新增IPv4、IPv6应用环境和审计产品支持IPv4、IPv6自身管理;新增虚拟化环境适配,包括部署于虚拟化平台、审计虚拟化平台上的审计目标、结合虚拟化实现自身资源的弹性伸缩和故障迁移。可以看出,审计产品行业标准与时俱进,贴合云时代和IPv6时代同步进行环境适配和功能升级。

性能要求

|------|---------------------|----------------|
| 功能 | GB/T20945-2023(基础级) | GB/T20945-2013 |
| 性能要求 | 数据采集速度 | 新增项 |
| 性能要求 | 事件记录速度 | 新增项 |

解读:在数据上云之后,面对海量数据资产产生的海量日志,审计产品需提升数据采集速度和日志生成速度,以满足业务升级带来的大流量下的审计需求。明确标明:

  • 审计流量采集接口速率30%~50%的背景流量下不漏审

  • 事件记录速度达到每秒5000~10000条

美创数据库安全审计系统以安全事件为中心,从资产、身份、风险的维度出发,对数据库的各类操作行为进行监控和记录, 实现全面审计和精确审计,通过丰富的审计策略对内外部风险操作进行实时监控与告警,并建立健全综合资产、身份维度 的行为分析模型,通过多维度报表进行总览分析,直观呈现风险情况,帮助客户构建数据安全管理制度和规范。

相关推荐
Ai 编码助手1 小时前
MySQL中distinct与group by之间的性能进行比较
数据库·mysql
陈燚_重生之又为程序员1 小时前
基于梧桐数据库的实时数据分析解决方案
数据库·数据挖掘·数据分析
caridle1 小时前
教程:使用 InterBase Express 访问数据库(五):TIBTransaction
java·数据库·express
白云如幻1 小时前
MySQL排序查询
数据库·mysql
萧鼎1 小时前
Python并发编程库:Asyncio的异步编程实战
开发语言·数据库·python·异步
学地理的小胖砸1 小时前
【一些关于Python的信息和帮助】
开发语言·python
疯一样的码农1 小时前
Python 继承、多态、封装、抽象
开发语言·python
^velpro^1 小时前
数据库连接池的创建
java·开发语言·数据库
荒川之神1 小时前
ORACLE _11G_R2_ASM 常用命令
数据库·oracle
秋の花1 小时前
【JAVA基础】Java集合基础
java·开发语言·windows