一个典型的网络环境有网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备等组成部分,我们把这些组成部分称为审计对象。要对该网络进行网络安全审计就必须对这些审计对象的安全性都采取相应的技术和措施进行审计,对于不同的审计对象有不同的审计重点。
今天笔者就易混淆的网络审计系统与数据库审计系统进行辨析。从网络审计系统和数据库审计系统的国家标准切入,来分析网络审计系统与数据库审计系统区别,请大家与笔者一起探讨交流。
关于网络审计系统
《GAT 695-2014 信息安全技术 网络通信审计产品技术要求》中,对网络通信审计产品(通常指网络审计系统)的产品描述如下:
网络通信审计产品通过采集和分析网络通信数据,对审计目标网络内用户网络行为(如网页浏览、FTP和TELNET通信、收发邮件、IM上下线等)、网络流量、网络攻击等行为进行记录和分析。网络通信审计产品能够帮助使用者记录被审计网络内网络通信行为,追溯违反安全策略要求的用户责任,此外,网络通信审计产品还负责保护产品自身及其内部重要数据的安全。
从以上描述可以看出,网络审计系统的产品设计之初,并非针对数据库进行安全审计,主要是基于网络通信协议的审计。
《GAT 695-2014 信息安全技术 网络通信审计产品技术要求》中,网络审计系统的安全功能要求包括:数据采集、数据还原、统计、分析处理等。其中数据采集的内容至少包括以下一种:采集目标的IP地址或IP地址段策略、采集网络协议或应用类型策略、采集时间段策略、其他策略。
数据还原的内容,至少包括以下四种:
a)HTTP通信:目标URL
b)FTP通信:使用的账号、输入命令
c)TELNET通信:使用的账号、输入命令
d)SMTP和POP3通信:源邮箱
e)IM通信:IM软件名称和账号
……等
通览网络通信审计产品技术要求,并未有针对数据库安全的审计要求。然而市场中的网络审计系统往往将数据库的安全审计纳入自身产品的功能之中,数据库审计系统也涉及了网络审计系统的部分功能,这也造成了大家对网络审计系统与数据库审计系统的混淆。
但是术业有专攻,不用的审计重点需要不同的审计产品。
《GBT 20945-2013信息安全技术 信息系统安全审计产品技术要求和测试评价方法》中,对不同类型的安全审计产品的主要事件审计进行了标注。其中对网络审计型信息系统安全审计产品以及数据库型信息系统安全审计产品的要求如下:
网络审计型信息系统安全审计产品应能够审计以下事件:
a)FTP通讯;
b)HTTP通讯;
c)SMTP/POP3通讯;
d)TELNET通讯;
e)其他网络协议或应用通讯。
数据库审计型信息系统安全审计产品应能够审计以下事件:
a)数据库用户操作,包括用户登录鉴别、切换用户、用户授权等;
b)数据库数据操作,包括数据的增加、删除、修改、查询等;
c)数据库结构操作,包括新建、删除数据库或数据表等。
从以上要求中可以看出,网络审计系统与数据库审计系统在功能偏重上有所不同,网络审计系统以网络通讯协议审计为主,数据库审计系统以数据库操作行为审计为主。
关于数据库审计系统
《GA/T 913-2010 信息安全技术 数据库安全审计产品安全技术要求》中,指出数据库审计系统的安全功能要求包括:审计生成单元组件要求、审计相应单元组件要求、审计处理单元组件要求等。
其中审计生成单元组件要求具备以下采集能力:
事件主题:用户和源地址;
事件客体:对象(包括数据库服务器、库、表、存储过程、函数、包等)和目的地址;
事件发生的日期和时间
事件类型:用户对数据库的各种操作
事件描述:操作具体内容
事件结果:数据库返回结果
审计相应单元组件要求具备对指定事件(如数据库返回数量超出阈值等)设置危险级别并提供报警功能。报警信息至少包括:事件主体、事件客体、事件描述、事件发生的日期和时间、事件危险级别等。
从产品技术要求可以看出来,数据库审计系统主要针对数据库中的操作行为进行审计,并提供威胁响应告警、报表分析等功能,作为数据库的安全审计产品更加专业更有针对性。昂楷数据库审计系统采用领先的应用层穿透技术,解决了困扰业内难以精准定位的难题,是专业的数据库审计系统的典型代表。
最后,引用一段话进行总结:一个完整的审计体系,可满足所有审计对象的安全审计需求。就目前而言,实现的产品类型有:日志审计系统、数据库审计系统、桌面管理系统、网络审计系统、入侵检测和防护系统等,这些产品都实现了安全审计的一部分功能,只有实现全面的网络安全审计体系,安全审计才是完整的。
