数据库审计是数据安全建设不可或缺的技术工具之一,无论是国家级的法律或标准,还是等保以及行业级的安全标准均对使用数据库审计有明确要求。据相关数据统计显示,数据库审计产品的市场需求已占据中国数据库安全市场容量的6成以上。
12月1日,GB/T 20945-2023《信息安全技术 网络安全审计产品技术规范》正式实施。
该标准全面替代GB/T 20945-2013《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》,将审计产品按照产品部署位置和审计对象划分为主机审计、网络审计、数据库审计、应用审计和综合审计,并明确了各类审计产品的定义、审计范围、部署方式和技术要求、测试评价方法及安全等级划分。
GB/T20945-2022中正式对数据库审计的定义:
数据库审计产品部署于数据库服务器或网络边界处,针对数据库的用户授权、数据的增加/删除/修改/查询等进行审计。
美创科技积极参与新国标数据库审计内容的研究与制定。本文将对新老标准进行对比,结合数据库审计产品行业应用实践对GB/T20945-2023中数据库审计所定义的安全功能要求、自身安全保护要求、环境适应性要求、性能要求进行解读。
安全功能要求
|---------|----------------|----------------|
| 功能 | GB/T20945-2023 | GB/T20945-2013 |
| 安 全 功 能 | 数据采集 | ✔ |
| 安 全 功 能 | 审计内容 | 审计分析---事件审计 |
| 安 全 功 能 | 审计记录生成 | 审计分析---统计分析 |
| 安 全 功 能 | 审计数据分析统计 | 审计分析---统计分析 |
| 安 全 功 能 | 审计数据展示 | ✔ |
| 安 全 功 能 | 管理控制 | ✔ |
整体上,新标准将审计分析功能进行拆分,更加贴合审计产品的框架和实际应用流程。在具体功能项上:
数据采集
标准要求:审计产品应具备数据采集功能,并能根据审计目标、审计内容等设置采集策略。
解读:新增依据审计内容的采集策略设置,扩展了设置采集策略的依据对象。
审计内容
|--------|----------------------------|----------------|
| 功能 | GB/T20945-2023 | GB/T20945-2013 |
| 审 计 内容 | 数据库用户操作:用户登录、登出、切换、用户增/删/改 | ✔ |
| 审 计 内容 | 数据库数据操作:数据库内数据的增/删/改/查 | ✔ |
| 审 计 内容 | 数据库结构操作:数据库或表的增/删/改/查 | ✔ |
| 审 计 内容 | 非关系型数据库的以上操作 | 新增项,对应增强型 |
审计记录生成
数据库审计产品应具备数据库审计记录生成功能,记录内容包括但不限于:
|-----------|---------------------------------------------|----------------|
| 功能 | GB/T20945-2023 | GB/T20945-2013 |
| 审 计 记 录生成 | 时间、客户端标识、客户端IP地址、用户名、数据库标识、数据库类型、数据库端口、操作命令 | ✔ |
| 审 计 记 录生成 | 操作结果,包括操作成功或失败,影响行数 | 新增项,对应基础型 |
| 审 计 记 录生成 | 操作返回内容,包括查询结果 | 新增项,对应增强型 |
审计数据分析统计
|---------|---------------------|-----------------|
| 功能 | GB/T20945-2023(基础级) | GB/T20945-2013 |
| 分 析 统 计 | 事件分类分级 | 新增项,原来增强级变更为基础型 |
| 分 析 统 计 | 关联分析 | ✔ 增强级必须功能 |
| 分 析 统 计 | 异常事件分析 | ✔ 增强级必须功能 |
| 分 析 统 计 | 统计 | ✔ |
解读:重点将事件分类分级纳入到基础级的功能内。去除增强级中扩展分析接口的能力。扩展了关联分析和异常事件分析的功能点:
a. 【事件分类分级】
-
根据一定特征对事件进行分类
-
区分事件的安全级别,且可自定义安全级别
b.【关联分析】从宽泛的"对相互关联的事件进行综合分析"明确到:
-
对相同事件发生的次数或频率达到一定阈值进行关联分析
-
对相互关联的不同事件进行关联分析
-
通过以上条件组合自定义分析策略
c.【异常事件分析】从至少包括一种,到包括但不限于以下分析能力:
-
用户行为异常
-
系统资源滥用或耗尽
-
网络流量异常
-
网络连接异常
-
应用服务异常
d.【统计】从宽泛的"能以目标标识和事件类型等条件统计"细化到要包括:
-
按照时间、审计目标标识、事件类型等条件进行事件统计
-
按照时间、事件安全级别等条件进行风险统计
-
按照时间、协议类型、应用类型等条件进行网络流量统计
-
按照时间、审计目标标识等条件进行网络连接数统计
审计数据展示
|--------|---------------------|----------------|
| 功能 | GB/T20945-2023(基础级) | GB/T20945-2013 |
| 审计数据展示 | 审计记录查阅 | ✔ |
| 审计数据展示 | 统计报表 | ✔ |
| 审计数据展示 | 告警 | 增强级必须功能 |
解读:将增强级的报表功能进行升级,包括自定义报表模板能力。增强级功能:告警进行补充升级。
a.【报表】补充自定义报表模板的功能
b.【告警】从原来的功能点补充自定义告警事件,所有功能如下,包括但不限于:
-
能够自定义告警事件
-
能够将高频发生的相同告警事件进行合并
-
告警方式包括但不限于:界面提醒、邮件、即时通信、短信、snmp trap消息、声光电信号等方式中的一种
-
记录告警事件,内容包括:时间、事件主体、事件描述、事件级别、发生次数
管理控制
|---------|---------------------|----------------|
| 功能 | GB/T20945-2023(基础级) | GB/T20945-2013 |
| 管 理 控 制 | 管理界面 | ✔ |
| 管 理 控 制 | 配置备份和恢复 | 新增项 |
| 管 理 控 制 | 数据外发 | 新增项,对应增强级 |
| 管 理 控 制 | 自定义事件 | 新增项,对应增强级 |
| 管 理 控 制 | 产品升级 | 新增项,对应增强级 |
| 管 理 控 制 | 时间同步 | 新增项 |
解读:基础级新增配置备份和恢复和时间同步。增强级新增:数据外发、自定义事件、产品升级:
a.【管理界面】从宽泛的"提供配置管理图形界面"到详细要求包括"审计功能启/停、审计策略配置、审计数据分析/统计/展示、自身安全管理"等所有功能
b.【配置备份和恢复】要求具备配置备份恢复功能,能备份和恢复自身配置
c.【数据外发】要求通过标准接口、协议将审计数据外发
d.【自定义事件】要求具备自定义事件功能,能自定义的事件进行审计
e.【产品升级】要求具备升级功能,能升级产品的版本和事件识别库
f.【时间同步】要求具备时间同步功能,能够从NTP服务器同步系统时间
自身安全保护要求
|-------------|---------------------|----------------|
| 功能 | GB/T20945-2023(基础级) | GB/T20945-2013 |
| 自 身 安 全 保 护 | 身份标识与鉴别 | ✔ |
| 自 身 安 全 保 护 | 管理权限安全 | ✔ |
| 自 身 安 全 保 护 | 管理方式安全 | ✔ |
| 自 身 安 全 保 护 | 审计探针安全 | 新增项 |
| 自 身 安 全 保 护 | 用户信息安全 | 新增项 |
| 自 身 安 全 保 护 | 传输安全 | ✔ |
| 自 身 安 全 保 护 | 存储安全 | ✔ |
| 自 身 安 全 保 护 | 自身管理审计 | ✔ |
| 自 身 安 全 保 护 | 支撑系统安全 | 新增项 |
新标准对原有数据库自身安全保护要求进行更合理的归类和补充,特别补充审计探针安全和用户信息安全这两块:
探针安全
|---------|---------------------|----------------|
| 功能 | GB/T20945-2023(基础级) | GB/T20945-2013 |
| 探 针 安 全 | 探针识别 | 新增项,对应基础级 |
| 探 针 安 全 | 探针状态监测 | 新增项,对应基础级 |
| 探 针 安 全 | 集中管理 | 新增项,对应基础级 |
| 探 针 安 全 | 探针程序和进程安全 | 新增项,对应增强级 |
解读:新增探针安全模块,包括探针识别、探针状态监测、集中管理、探针程序和进程安全,补充完整探针进程的功能和管控要求。
-
探针识别:审计中心和探针分开部署时,能对审计探针进行识别,防止审计探针假冒
-
探针状态监测:监测探针的运行状态集中
-
管理包括:数据采集策略下发、审计日志收集、探针分组管理等
-
探针程序和进程安全:探针进程在审计目标启动时自动加载、探针进程能防止被强制终止、程序具备协助保护措施、程序具备完整性措施
用户信息安全
补充用户信息安全,要求审计产品在用到个人信息时要符合国家个人信息安全标准,主要包括:
-
保障用户信息在传输和存储过程中的保密性和完整性
-
个人信息的收集、存储、使用要符合GT/B 35273---2020的相关规定
环境适应性要求
|------|---------------------|----------------|
| 功能 | GB/T20945-2023(基础级) | GB/T20945-2013 |
| 环境适应 | IPv6支持 | 新增项 |
| 环境适应 | 虚拟化支持 | 新增项 |
解读:新增IPv4、IPv6应用环境和审计产品支持IPv4、IPv6自身管理;新增虚拟化环境适配,包括部署于虚拟化平台、审计虚拟化平台上的审计目标、结合虚拟化实现自身资源的弹性伸缩和故障迁移。可以看出,审计产品行业标准与时俱进,贴合云时代和IPv6时代同步进行环境适配和功能升级。
性能要求
|------|---------------------|----------------|
| 功能 | GB/T20945-2023(基础级) | GB/T20945-2013 |
| 性能要求 | 数据采集速度 | 新增项 |
| 性能要求 | 事件记录速度 | 新增项 |
解读:在数据上云之后,面对海量数据资产产生的海量日志,审计产品需提升数据采集速度和日志生成速度,以满足业务升级带来的大流量下的审计需求。明确标明:
-
审计流量采集接口速率30%~50%的背景流量下不漏审
-
事件记录速度达到每秒5000~10000条
美创数据库安全审计系统以安全事件为中心,从资产、身份、风险的维度出发,对数据库的各类操作行为进行监控和记录, 实现全面审计和精确审计,通过丰富的审计策略对内外部风险操作进行实时监控与告警,并建立健全综合资产、身份维度 的行为分析模型,通过多维度报表进行总览分析,直观呈现风险情况,帮助客户构建数据安全管理制度和规范。
