今日实施|解读新国标对数据库审计的能力要求

数据库审计是数据安全建设不可或缺的技术工具之一,无论是国家级的法律或标准,还是等保以及行业级的安全标准均对使用数据库审计有明确要求。据相关数据统计显示,数据库审计产品的市场需求已占据中国数据库安全市场容量的6成以上。

12月1日,GB/T 20945-2023《信息安全技术 网络安全审计产品技术规范》正式实施。

该标准全面替代GB/T 20945-2013《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》,将审计产品按照产品部署位置和审计对象划分为主机审计、网络审计、数据库审计、应用审计和综合审计,并明确了各类审计产品的定义、审计范围、部署方式和技术要求、测试评价方法及安全等级划分。

GB/T20945-2022中正式对数据库审计的定义:

数据库审计产品部署于数据库服务器或网络边界处,针对数据库的用户授权、数据的增加/删除/修改/查询等进行审计。

美创科技积极参与新国标数据库审计内容的研究与制定。本文将对新老标准进行对比,结合数据库审计产品行业应用实践对GB/T20945-2023中数据库审计所定义的安全功能要求、自身安全保护要求、环境适应性要求、性能要求进行解读。

安全功能要求

功能

GB/T20945-2023

GB/T20945-2013

数据采集

审计内容

审计分析—事件审计

审计记录生成

审计分析—统计分析

审计数据分析统计

审计数据展示

管理控制

整体上,新标准将审计分析功能进行拆分,更加贴合审计产品的框架和实际应用流程。在具体功能项上:

数据采集

标准要求:审计产品应具备数据采集功能,并能根据审计目标、审计内容等设置采集策略。

解读:新增依据审计内容的采集策略设置,扩展了设置采集策略的依据对象。

审计内容 

功能

GB/T20945-2023

GB/T20945-2013

内容

数据库用户操作:用户登录、登出、切换、用户增/删/改

数据库数据操作:数据库内数据的增/删/改/查

数据库结构操作:数据库或表的增/删/改/查

非关系型数据库的以上操作         

新增项,对应增强型

审计记录生成

数据库审计产品应具备数据库审计记录生成功能,记录内容包括但不限于:

功能

GB/T20945-2023

GB/T20945-2013

录生成

时间、客户端标识、客户端IP地址、用户名、数据库标识、数据库类型、数据库端口、操作命令

操作结果,包括操作成功或失败,影响行数

新增项,对应基础型

操作返回内容,包括查询结果

新增项,对应增强型

审计数据分析统计

功能

GB/T20945-2023(基础级)

GB/T20945-2013

事件分类分级 

新增项,原来增强级变更为基础型

关联分析

✔ 增强级必须功能

异常事件分析

✔ 增强级必须功能

统计

解读:重点将事件分类分级纳入到基础级的功能内。去除增强级中扩展分析接口的能力。扩展了关联分析和异常事件分析的功能点:

a. 【事件分类分级】

  • 根据一定特征对事件进行分类

  • 区分事件的安全级别,且可自定义安全级别

b.【关联分析】从宽泛的“对相互关联的事件进行综合分析”明确到:

  • 对相同事件发生的次数或频率达到一定阈值进行关联分析

  • 对相互关联的不同事件进行关联分析

  • 通过以上条件组合自定义分析策略

c.【异常事件分析】从至少包括一种,到包括但不限于以下分析能力:

  • 用户行为异常

  • 系统资源滥用或耗尽

  • 网络流量异常

  • 网络连接异常

  • 应用服务异常

d.【统计】从宽泛的“能以目标标识和事件类型等条件统计”细化到要包括:

  • 按照时间、审计目标标识、事件类型等条件进行事件统计

  • 按照时间、事件安全级别等条件进行风险统计

  • 按照时间、协议类型、应用类型等条件进行网络流量统计

  • 按照时间、审计目标标识等条件进行网络连接数统计

审计数据展示

功能

GB/T20945-2023(基础级)

GB/T20945-2013

审计数据展示

审计记录查阅

统计报表

告警

增强级必须功能

解读:将增强级的报表功能进行升级,包括自定义报表模板能力。增强级功能:告警进行补充升级。

a.【报表】补充自定义报表模板的功能

b.【告警】从原来的功能点补充自定义告警事件,所有功能如下,包括但不限于:

  • 能够自定义告警事件

  • 能够将高频发生的相同告警事件进行合并

  • 告警方式包括但不限于:界面提醒、邮件、即时通信、短信、snmp trap消息、声光电信号等方式中的一种

  • 记录告警事件,内容包括:时间、事件主体、事件描述、事件级别、发生次数

管理控制

功能

GB/T20945-2023(基础级)

GB/T20945-2013

管理界面

配置备份和恢复

新增项

数据外发

新增项,对应增强级

自定义事件

新增项,对应增强级

产品升级

新增项,对应增强级

时间同步

新增项

解读:基础级新增配置备份和恢复和时间同步。增强级新增:数据外发、自定义事件、产品升级:

a.【管理界面】从宽泛的“提供配置管理图形界面“到详细要求包括”审计功能启/停、审计策略配置、审计数据分析/统计/展示、自身安全管理“等所有功能

b.【配置备份和恢复】要求具备配置备份恢复功能,能备份和恢复自身配置

c.【数据外发】要求通过标准接口、协议将审计数据外发

d.【自定义事件】要求具备自定义事件功能,能自定义的事件进行审计

e.【产品升级】要求具备升级功能,能升级产品的版本和事件识别库

f.【时间同步】要求具备时间同步功能,能够从NTP服务器同步系统时间

自身安全保护要求

功能

GB/T20945-2023(基础级)

GB/T20945-2013

身份标识与鉴别

管理权限安全

管理方式安全

审计探针安全

新增项

用户信息安全

新增项

传输安全

存储安全

自身管理审计

支撑系统安全

新增项

新标准对原有数据库自身安全保护要求进行更合理的归类和补充,特别补充审计探针安全和用户信息安全这两块:

探针安全          

功能

GB/T20945-2023(基础级)

GB/T20945-2013

探针识别

新增项,对应基础级

探针状态监测

新增项,对应基础级

集中管理

新增项,对应基础级

探针程序和进程安全

新增项,对应增强级

解读:新增探针安全模块,包括探针识别、探针状态监测、集中管理、探针程序和进程安全,补充完整探针进程的功能和管控要求。

  • 探针识别:审计中心和探针分开部署时,能对审计探针进行识别,防止审计探针假冒

  • 探针状态监测:监测探针的运行状态集中

  • 管理包括:数据采集策略下发、审计日志收集、探针分组管理等

  • 探针程序和进程安全:探针进程在审计目标启动时自动加载、探针进程能防止被强制终止、程序具备协助保护措施、程序具备完整性措施

用户信息安全

补充用户信息安全,要求审计产品在用到个人信息时要符合国家个人信息安全标准,主要包括:

  • 保障用户信息在传输和存储过程中的保密性和完整性

  • 个人信息的收集、存储、使用要符合GT/B 35273—2020的相关规定

环境适应性要求

功能

GB/T20945-2023(基础级)

GB/T20945-2013

环境适应

IPv6支持

新增项

虚拟化支持

新增项

解读:新增IPv4、IPv6应用环境和审计产品支持IPv4、IPv6自身管理;新增虚拟化环境适配,包括部署于虚拟化平台、审计虚拟化平台上的审计目标、结合虚拟化实现自身资源的弹性伸缩和故障迁移。可以看出,审计产品行业标准与时俱进,贴合云时代和IPv6时代同步进行环境适配和功能升级。

性能要求

功能

GB/T20945-2023(基础级)

GB/T20945-2013

性能要求

数据采集速度

新增项

事件记录速度

新增项

解读:在数据上云之后,面对海量数据资产产生的海量日志,审计产品需提升数据采集速度和日志生成速度,以满足业务升级带来的大流量下的审计需求。明确标明:

  • 审计流量采集接口速率30%~50%的背景流量下不漏审

  • 事件记录速度达到每秒5000~10000条

美创数据库安全审计系统以安全事件为中心,从资产、身份、风险的维度出发,对数据库的各类操作行为进行监控和记录, 实现全面审计和精确审计,通过丰富的审计策略对内外部风险操作进行实时监控与告警,并建立健全综合资产、身份维度 的行为分析模型,通过多维度报表进行总览分析,直观呈现风险情况,帮助客户构建数据安全管理制度和规范。

今日实施|解读新国标对数据库审计的能力要求_第1张图片

你可能感兴趣的:(数据库,php,开发语言)