一個典型的網(wǎng)絡(luò)環(huán)境有網(wǎng)絡(luò)設(shè)備、服務(wù)器�、用戶電腦、數(shù)據(jù)庫����、應用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備等組成部分,我們把這些組成部分稱為審計對象�。要對該網(wǎng)絡(luò)進行網(wǎng)絡(luò)安全審計就必須對這些審計對象的安全性都采取相應的技術(shù)和措施進行審計,對于不同的審計對象有不同的審計重點����。
四川翱領(lǐng)科技有限公司就易混淆的網(wǎng)絡(luò)審計系統(tǒng)與數(shù)據(jù)庫審計系統(tǒng)進行辨析。從網(wǎng)絡(luò)審計系統(tǒng)和數(shù)據(jù)庫審計系統(tǒng)的國家標準切入�,來分析網(wǎng)絡(luò)審計系統(tǒng)與數(shù)據(jù)庫審計系統(tǒng)區(qū)別。
關(guān)于網(wǎng)絡(luò)審計系統(tǒng)
《GAT 695-2014 信息安全技術(shù) 網(wǎng)絡(luò)通信審計產(chǎn)品技術(shù)要求》中����,對網(wǎng)絡(luò)通信審計產(chǎn)品(通常指網(wǎng)絡(luò)審計系統(tǒng))的產(chǎn)品描述如下:
網(wǎng)絡(luò)通信審計產(chǎn)品通過采集和分析網(wǎng)絡(luò)通信數(shù)據(jù)��,對審計目標網(wǎng)絡(luò)內(nèi)用戶網(wǎng)絡(luò)行為(如網(wǎng)頁瀏覽�、FTP和TELNET通信����、收發(fā)郵件����、IM上下線等)、網(wǎng)絡(luò)流量��、網(wǎng)絡(luò)攻擊等行為進行記錄和分析�。網(wǎng)絡(luò)通信審計產(chǎn)品能夠幫助使用者記錄被審計網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)通信行為,追溯違反安全策略要求的用戶責任����,此外,網(wǎng)絡(luò)通信審計產(chǎn)品還負責保護產(chǎn)品自身及其內(nèi)部重要數(shù)據(jù)的安全��。
從以上描述可以看出����,網(wǎng)絡(luò)審計系統(tǒng)的產(chǎn)品設(shè)計之初,并非針對數(shù)據(jù)庫進行安全審計,主要是基于網(wǎng)絡(luò)通信協(xié)議的審計����。
《GAT 695-2014 信息安全技術(shù) 網(wǎng)絡(luò)通信審計產(chǎn)品技術(shù)要求》中,網(wǎng)絡(luò)審計系統(tǒng)的安全功能要求包括:數(shù)據(jù)采集��、數(shù)據(jù)還原��、統(tǒng)計�、分析處理等。其中數(shù)據(jù)采集的內(nèi)容至少包括以下一種:采集目標的IP地址或IP地址段策略�、采集網(wǎng)絡(luò)協(xié)議或應用類型策略、采集時間段策略�、其他策略。
網(wǎng)絡(luò)通信審計產(chǎn)品應能夠還原網(wǎng)絡(luò)通訊事件�,至少包括以下四種:
a)HTTP通信:目標URL
B)FTP通信:使用的賬號、輸入命令
C)TELNET通信:使用的賬號����、輸入命令
D)SMTP和POP3通信:源郵箱
E)IM通信:IM軟件名稱和賬號……等
通覽網(wǎng)絡(luò)通信審計產(chǎn)品技術(shù)要求,并未有針對數(shù)據(jù)庫安全的審計要求��。然而市場中的網(wǎng)絡(luò)審計系統(tǒng)往往將數(shù)據(jù)庫的安全審計納入自身產(chǎn)品的功能之中��,數(shù)據(jù)庫審計系統(tǒng)也涉及了網(wǎng)絡(luò)審計系統(tǒng)的部分功能��,這也造成了大家對網(wǎng)絡(luò)審計系統(tǒng)與數(shù)據(jù)庫審計系統(tǒng)的混淆。
但是術(shù)業(yè)有專攻��,不用的審計重點需要不同的審計產(chǎn)品����。
《GBT 20945-2013信息安全技術(shù) 信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和測試評價方法》中,對不同類型的安全審計產(chǎn)品的主要事件審計進行了標注����。其中對網(wǎng)絡(luò)審計型信息系統(tǒng)安全審計產(chǎn)品以及數(shù)據(jù)庫型信息系統(tǒng)安全審計產(chǎn)品的要求如下:
網(wǎng)絡(luò)審計型信息系統(tǒng)安全審計產(chǎn)品應能夠?qū)徲嬕韵率录?/p>
a)FTP通訊�;
b)HTTP通訊;
c)SMTP/POP3通訊��;
d)TELNET通訊��;
e)其他網(wǎng)絡(luò)協(xié)議或應用通訊�。
數(shù)據(jù)庫審計型信息系統(tǒng)安全審計產(chǎn)品應能夠?qū)徲嬕韵率录?/p>
a)數(shù)據(jù)庫用戶操作,包括用戶登錄鑒別�、切換用戶、用戶授權(quán)等��;
b)數(shù)據(jù)庫數(shù)據(jù)操作��,包括數(shù)據(jù)的增加�、刪除、修改、查詢等�;
c)數(shù)據(jù)庫結(jié)構(gòu)操作,包括新建�、刪除數(shù)據(jù)庫或數(shù)據(jù)表等。
從以上要求中可以看出�,網(wǎng)絡(luò)審計系統(tǒng)與數(shù)據(jù)庫審計系統(tǒng)在功能偏重上有所不同,網(wǎng)絡(luò)審計系統(tǒng)以網(wǎng)絡(luò)通訊協(xié)議審計為主��,數(shù)據(jù)庫審計系統(tǒng)以數(shù)據(jù)庫操作行為審計為主�。
關(guān)于數(shù)據(jù)庫審計系統(tǒng)
《GA/T 913-2010 信息安全技術(shù) 數(shù)據(jù)庫安全審計產(chǎn)品安全技術(shù)要求》中,指出數(shù)據(jù)庫審計系統(tǒng)的安全功能要求包括:審計生成單元組件要求�、審計相應單元組件要求、審計處理單元組件要求等��。
其中審計生成單元組件要求具備以下采集能力:
事件主題:用戶和源地址�;
事件客體:對象(包括數(shù)據(jù)庫服務(wù)器、庫����、表、存儲過程�、函數(shù)、包等)和目的地址����;
事件發(fā)生的日期和時間
事件類型:用戶對數(shù)據(jù)庫的各種操作
事件描述:操作具體內(nèi)容
事件結(jié)果:數(shù)據(jù)庫返回結(jié)果
審計相應單元組件要求具備對**事件(如數(shù)據(jù)庫返回數(shù)量超出閾值等)設(shè)置危險級別并提供報警功能����。報警信息至少包括:事件主體��、事件客體����、事件描述、事件發(fā)生的日期和時間����、事件危險級別等。
