一個典型的網(wǎng)絡(luò)環(huán)境有網(wǎng)絡(luò)設(shè)備�����、服務(wù)器、用戶電腦�����、數(shù)據(jù)庫��、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備等組成部分��,我們把這些組成部分稱為審計(jì)對象����。要對該網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)安全審計(jì)就必須對這些審計(jì)對象的安全性都采取相應(yīng)的技術(shù)和措施進(jìn)行審計(jì)����,對于不同的審計(jì)對象有不同的審計(jì)重點(diǎn)。
今天小編就易混淆的網(wǎng)絡(luò)審計(jì)系統(tǒng)與數(shù)據(jù)庫審計(jì)系統(tǒng)進(jìn)行辨析����。從網(wǎng)絡(luò)審計(jì)系統(tǒng)和數(shù)據(jù)庫審計(jì)系統(tǒng)的國家標(biāo)準(zhǔn)切入,來分析網(wǎng)絡(luò)審計(jì)系統(tǒng)與數(shù)據(jù)庫審計(jì)系統(tǒng)區(qū)別����,請大家與小編一起探討交流。
關(guān)于網(wǎng)絡(luò)審計(jì)系統(tǒng)
《GAT 695-2014 信息安全技術(shù) 網(wǎng)絡(luò)通信審計(jì)產(chǎn)品技術(shù)要求》中,對網(wǎng)絡(luò)通信審計(jì)產(chǎn)品(通常指網(wǎng)絡(luò)審計(jì)系統(tǒng))的產(chǎn)品描述如下:
網(wǎng)絡(luò)通信審計(jì)產(chǎn)品通過采集和分析網(wǎng)絡(luò)通信數(shù)據(jù)����,對審計(jì)目標(biāo)網(wǎng)絡(luò)內(nèi)用戶網(wǎng)絡(luò)行為(如網(wǎng)頁瀏覽、FTP和TELNET通信����、收發(fā)郵件、IM上下線等)�����、網(wǎng)絡(luò)流量�、網(wǎng)絡(luò)攻擊等行為進(jìn)行記錄和分析。網(wǎng)絡(luò)通信審計(jì)產(chǎn)品能夠幫助使用者記錄被審計(jì)網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)通信行為��,追溯違反安全策略要求的用戶責(zé)任��,此外���,網(wǎng)絡(luò)通信審計(jì)產(chǎn)品還負(fù)責(zé)保護(hù)產(chǎn)品自身及其內(nèi)部重要數(shù)據(jù)的安全�。
從以上描述可以看出���,網(wǎng)絡(luò)審計(jì)系統(tǒng)的產(chǎn)品設(shè)計(jì)之初���,并非針對數(shù)據(jù)庫進(jìn)行安全審計(jì)���,主要是基于網(wǎng)絡(luò)通信協(xié)議的審計(jì)。
《GAT 695-2014 信息安全技術(shù) 網(wǎng)絡(luò)通信審計(jì)產(chǎn)品技術(shù)要求》中���,網(wǎng)絡(luò)審計(jì)系統(tǒng)的安全功能要求包括:數(shù)據(jù)采集�、數(shù)據(jù)還原�����、統(tǒng)計(jì)�、分析處理等��。其中數(shù)據(jù)采集的內(nèi)容至少包括以下一種:采集目標(biāo)的IP地址或IP地址段策略�����、采集網(wǎng)絡(luò)協(xié)議或應(yīng)用類型策略�、采集時間段策略、其他策略�����。
網(wǎng)絡(luò)通信審計(jì)產(chǎn)品應(yīng)能夠還原網(wǎng)絡(luò)通訊事件,至少包括以下四種:
a)HTTP通信:目標(biāo)URL
B)FTP通信:使用的賬號��、輸入命令
C)TELNET通信:使用的賬號���、輸入命令
D)SMTP和POP3通信:源郵箱
E)IM通信:IM軟件名稱和賬號……等
通覽網(wǎng)絡(luò)通信審計(jì)產(chǎn)品技術(shù)要求�����,并未有針對數(shù)據(jù)庫安全的審計(jì)要求����。然而市場中的網(wǎng)絡(luò)審計(jì)系統(tǒng)往往將數(shù)據(jù)庫的安全審計(jì)納入自身產(chǎn)品的功能之中�,數(shù)據(jù)庫審計(jì)系統(tǒng)也涉及了網(wǎng)絡(luò)審計(jì)系統(tǒng)的部分功能,這也造成了大家對網(wǎng)絡(luò)審計(jì)系統(tǒng)與數(shù)據(jù)庫審計(jì)系統(tǒng)的混淆�����。
但是術(shù)業(yè)有專攻���,不用的審計(jì)重點(diǎn)需要不同的審計(jì)產(chǎn)品��。
《GBT 20945-2013信息安全技術(shù) 信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和測試評價方法》中�,對不同類型的安全審計(jì)產(chǎn)品的主要事件審計(jì)進(jìn)行了標(biāo)注�����。其中對網(wǎng)絡(luò)審計(jì)型信息系統(tǒng)安全審計(jì)產(chǎn)品以及數(shù)據(jù)庫型信息系統(tǒng)安全審計(jì)產(chǎn)品的要求如下:
網(wǎng)絡(luò)審計(jì)型信息系統(tǒng)安全審計(jì)產(chǎn)品應(yīng)能夠?qū)徲?jì)以下事件:
a)FTP通訊;
b)HTTP通訊����;
c)SMTP/POP3通訊;
d)TELNET通訊�;
e)其他網(wǎng)絡(luò)協(xié)議或應(yīng)用通訊。
數(shù)據(jù)庫審計(jì)型信息系統(tǒng)安全審計(jì)產(chǎn)品應(yīng)能夠?qū)徲?jì)以下事件:
a)數(shù)據(jù)庫用戶操作�����,包括用戶登錄鑒別�、切換用戶�����、用戶授權(quán)等�����;
b)數(shù)據(jù)庫數(shù)據(jù)操作�,包括數(shù)據(jù)的增加、刪除���、修改����、查詢等;
c)數(shù)據(jù)庫結(jié)構(gòu)操作�,包括新建、刪除數(shù)據(jù)庫或數(shù)據(jù)表等����。
從以上要求中可以看出,網(wǎng)絡(luò)審計(jì)系統(tǒng)與數(shù)據(jù)庫審計(jì)系統(tǒng)在功能偏重上有所不同�����,網(wǎng)絡(luò)審計(jì)系統(tǒng)以網(wǎng)絡(luò)通訊協(xié)議審計(jì)為主��,數(shù)據(jù)庫審計(jì)系統(tǒng)以數(shù)據(jù)庫操作行為審計(jì)為主��。
關(guān)于數(shù)據(jù)庫審計(jì)系統(tǒng)
《GA/T 913-2010 信息安全技術(shù) 數(shù)據(jù)庫安全審計(jì)產(chǎn)品安全技術(shù)要求》中�����,指出數(shù)據(jù)庫審計(jì)系統(tǒng)的安全功能要求包括:審計(jì)生成單元組件要求��、審計(jì)相應(yīng)單元組件要求�����、審計(jì)處理單元組件要求等。
其中審計(jì)生成單元組件要求具備以下采集能力:
事件主題:用戶和源地址�;
事件客體:對象(包括數(shù)據(jù)庫服務(wù)器、庫�����、表���、存儲過程����、函數(shù)���、包等)和目的地址;
事件發(fā)生的日期和時間
事件類型:用戶對數(shù)據(jù)庫的各種操作
事件描述:操作具體內(nèi)容
事件結(jié)果:數(shù)據(jù)庫返回結(jié)果
審計(jì)相應(yīng)單元組件要求具備對指定事件(如數(shù)據(jù)庫返回?cái)?shù)量超出閾值等)設(shè)置危險級別并提供報(bào)警功能���。報(bào)警信息至少包括:事件主體�����、事件客體��、事件描述��、事件發(fā)生的日期和時間�����、事件危險級別等���。
從產(chǎn)品技術(shù)要求可以看出來�����,數(shù)據(jù)庫審計(jì)系統(tǒng)主要針對數(shù)據(jù)庫中的操作行為進(jìn)行審計(jì)����,并提供威脅響應(yīng)告警�����、報(bào)表分析等功能����,作為數(shù)據(jù)庫的安全審計(jì)產(chǎn)品更加專業(yè)更有針對性。
最后,引用一段話進(jìn)行總結(jié):一個完整的審計(jì)體系�,可滿足所有審計(jì)對象的安全審計(jì)需求。就目前而言����,實(shí)現(xiàn)的產(chǎn)品類型有:日志審計(jì)系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)�、桌面管理系統(tǒng)、網(wǎng)絡(luò)審計(jì)系統(tǒng)��、入侵檢測和防護(hù)系統(tǒng)等����,這些產(chǎn)品都實(shí)現(xiàn)了安全審計(jì)的一部分功能,只有實(shí)現(xiàn)全面的網(wǎng)絡(luò)安全審計(jì)體系��,安全審計(jì)才是完整的�����。
