数据库审计系统测评基准中国数据安全及隐私保护项目组目录前言引言范围引用文件功能要求基础功能管理平台角色管理登录认证自身审计监控审计日志维护系统管理功能系统维护系统升级数据维护数据库自动发现系统日志恢复出厂策略管理功能审计对象管理审计策略管理审计管理功能审计效果智能识别风险态势感知审计报表审计日志检索告警方式旁路阻断事件回放管理白名单管理审计日志导出流量统计安全要求管理端安全黑白名单管理攻击测试支持日志存储耗尽处理机制性能要求处理性能误报率漏报率流量测试会话并发数日志检索性能部署要求旁路部署虚拟化平台部署云平台部署前言本基准由中国提出并归口本基准参与单位深圳昂楷科技有限公司深圳市网域科技股份有限公司北京星网锐捷网络技术有限公司中新网络信息安全股份有限公司中安威士北京科技有限公司排名不分先后本基准参与人员邓丽华张勤保邓凯赵春燕赵玉燕刘晨项小升蔡佩宸郭艳杰夏敏徐晓微吕铳戴林周礼赵伟全王颉排名不分先后引言随着互联网技术的发展数据库的核心地位越来越凸显作为商业和公共安全中最具有战略价值的资产通常都保存着国家企业个人的信息而这些信息需要被保护起来而数据库的安全一直都围绕冗灾备份渗透测试安全加固主机加固授权控制等方向这类安全管控方式都是间接对数据进行保护不直接不直观随着大数据库的分析和应用的增加安全的重点越来越趋向数据本身如何有效监控数据的应用成为当下关注的重点数据库审计系统旨在帮助存储和使用数据的单位对核心数据进行全面监控和安全审计真实掌握数据动态直观清晰的定位什么人什么时间什么工具什么地方对数据做了哪些操作目前行业中已形成了相应的数据库审计解决方案但由于缺乏恰当的评估基准数据库审计的效果无法得到有效的评估本基准是建设评估数据库审计系统的基础性和框架性基准给出了对数据库审计系统的通用要求制定本基准的意义在于为数据库审计系统的设计实施建设测评审核提供规范的通用的描述语言有利于数据库审计系统所有者编制其系统的要求有利于数据库审计系统提供商提供更为科学规范化的设计和服务促进行业的发展有利于有关行政管理部门测评认证机构对数据库审计系统进行安全检查检测审计评估和认证范围本基准适用于数据库审计系统引用文件下列文件中的条款通过本基准的引用而成为本标准的条款凡是注日期的引用文件其随后所有的修改单不包括勘误的内容或修订版均不适用于本标准然而鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件其最新版本适用于本标准信息安全技术信息系统安全审计产品技术要求和测试评价方法信息安全技术网络通信审计产品技术要求信息技术安全技术信息技术安全性评估准则涉及国家秘密的信息系统安全审计产品技术要求信息安全技术信息系统安全审计产品技术要求和测试评价方法信息安全管理体系计算机信息系统安全专用产品检测和销售许可证管理办法公安部信息安全等级保护要求工信部信息安全风险评估方法功能要求基础功能数据库审计系统应提供对审计和事务日志进行审查的能力跟踪各种对数据库的实时在线操作行为审计主要记录对数据库的操作改变执行该操作的人以及其他属性针对数据库活动或状态进行实时在线监控实时反馈数据库的各种变化具备较高的准确性和完整性管理平台数据库审计系统必须提供安全的管理平台且为不同的管理人员提供功能各异的管理平台通过该平台管理人员可以操控其所属管理界面的所有功能以行使相应的管理权限平台至少包括三类系统管理平台规则管理平台审计管理平台三者之间权限应相互隔离相互监督且有操作日志记录以保障审计产品自身安全可根据管理内容划分用户权限角色管理数据库审计系统应具有为用户提供角色分配等管理权限功能为不同的角色用户设定对应的操作权限登录认证数据库审计系统的登录认证至少包含两种认证方式以保证其登录身份合法有效密码复杂度至少包含字母大小写数字特殊符号登录后可进行窗口锁定自身审计监控数据库审计系统要求除了具备对外审计和事务日志进行审查的能力还需具备对自身审计监控的能力并提供系统运行日志确保实时在线监控系统运行状况审计日志维护数据库审计系统应具备给管理员提供用于查询审计安全相关事件的必要信息或方法捕捉到的审计日志数据能够给管理员提供足够的审计安全信息以此来判定和维护审计产品自身安全和审计数据安全的完整性事件以供管理员调查分析与之相关的事件系统管理功能系统维护系统状态数据库审计系统支持对系统本身运行状态的监控监控内容有使用率内存使用率每秒系统接收到的语句数量网口接收的数据流量网络接口管理数据库审计系统必须支持与外部网络对接的网络接口其作为数据的传输发出指令或者接收指令完成与外部设备的相互相通时间管理数据库审计系统作为一种网络设备必须要有时间设置功能保证与标准时间同步保证数据的实时性系统升级数据库审计系统必须能够提供软件升级的功能可在操作平台上直接通过软件包形式升级产品或是修复产品数据维护数据备份数据库审计系统对系统本身的数据有备份的能力备份数据包括系统配置信息系统日志信息审计日志数据备份数据要进行特殊加密不允许其他非法工具直接进行读取数据恢复数据库审计系统在系统正常或者异常原因导致系统出厂设置之外的数据丢失可以按照系统本身备份出来的数据进行数据的恢复数据恢复可通过平台直接对备份数据进行导入数据清理数据库审计系统在检测到磁盘满时可自动触发数据清理从而保障最新的审计数据能及时入库数据库自动发现数据库审计可以通过流量识别自动发现网络中的数据库也可以通过主动探测发现网络中的数据库支持主流数据库国产数据库和数据库的自动发现在某些复杂的环境中无法获取数据库的精准数量和地址时可通过数据库自动发现功能获取到网络中的数据库地址用于配置对应的审计策略系统日志数据库审计系统捕捉到的日志数据能够给管理员提供足够的信息以此来检查有可能影响到被测数据库审计系统自身安全和数据完整性的事件恢复出厂数据库审计系统应具有在信息配置错误软件出现异常无法判断的情况下对系统进行恢复出厂设置达到初始正常状态策略管理功能审计对象管理数据库审计系统审计对象管理应支持各种常见主流数据库及相关应用协议审计审计数据库类型数据库审计系统应支持当前国内外各种主流数据库类型如达梦人大金仓南大通用等支持审计常见的工控数据库如支持云平台下和自建数据库的审计支持审计大数据平台下的数据库如数据库产品应支持数据库各种维护及相关开发工具审计如等支持审计不同的方式访问如等支持审计方式访问数据库支持常见的应用协议审计如审计数据库数量数据库审计系统至少支持个数据库同时审计支持多种不同数据库类型同时审计审计策略管理预定义策略管理数据库审计系统应支持预定义策略管理可以直接调用预定义策略而无需配置系统内置各类安全规则如注入跨站脚本口令猜测等攻击规则自定义策略管理数据库审计系统应支持自定策略管理根据不同规则条件制定不同的自定义策略如地址地址子对象关键字等条件支持自定义策略的选项不低于种组合策略管理数据库审计系统应支持组合策略管理能将不同的单个策略组合起来形成组合策略并能对同一策略的多次告警进行统计策略生效时间管理数据库审计系统应支持策略生效时间管理通过制定时间对象关联策略策略在关联时间段内生效审计管理功能审计效果审计内容数据库审计系统能审计出通过各种客户端访问数据库的操作审计内容包含访问者源源使用客户端进程数据库账户访问对象服务器地址端口号操作语句执行响应返回行数返回结果等操作语句包括简单语句和复杂语句如存储过程函数绑定变量等获取真实客户端数据库审计的部署方式一般是旁路部署通过端口镜像获取需要审计的流量镜像过来的流量源都是交换机的所以审计到的审计记录源是交换机不是客户端的真实为了精准定位到人数据库审计系统需要获取到真实的客户端替换交换机语句重述数据库审计系统审计到的语句过于专业直接展示审计结果比较难理解可通过别名的方式对审计结果进行重述成人使用的自然语句数据库攻击检测数据库审计系统支持对数据库的攻击检测包括常见的数据库漏洞攻击注入攻击和跨站脚本攻击超长语句审计数据库审计系统需要支持审计超长语句不截断单条语句长度至少支持字节单双向审计数据库审计系统支持对数据库流量进行单向和双向审计两种审计方式可配置由用户自行决定开启哪种方式应用审计关联数据库审计系统支持三层架构的审计在三层架构下能精准审计到人能审计到什么人操作了什么语句支持等主流的应用服务器支持插件形式和非插件形式隐秘数据数据库审计系统审计到返回结果可对返回结果自动进行敏感数据识别对敏感数据进行脱敏防止数据二次泄密加密审计数据库审计系统支持登录加密的审计在登录加密的情况下能解密审计到数据库账号和工具等信息绑定变量值提取数据库审计系统支持含绑定变量语句值提取执行语句时使用绑定变量在流量报文中语句和绑定变量的值分离审计日志最终应展示出绑定变量有效值智能识别风险数据库审计系统支持通过学习后对审计到的大量语句进行统计分析得出一个风险识别模型进而通过该模型对数据行为进行风险级别判定不需要配置规则也能识别出已知风险和未知风险态势感知数据库审计系统支持对审计到的数据进行数据分析和挖掘通过周期性学习能感知到陌生人对数据库的访问从而识别出风险支持对数据库整体安全状况进行评估和打分预知未来的安全风险审计报表预定义报表数据库审计系统根据数据库审计行业及产品标准有预定义报表通过各预定义报表统计分析当前数据库访问情况及风险分析有符合相关合规性检查的预定义报表自定义报表数据库审计可根据客户实际需求根据客户自身对数据库审计日常报表的需求自定义相关报表数据便于客户相关审计数据工作汇报及风险分析报表导出数据库审计系统可导出报表数据生成报告导出方式至少支持和支持自定义时间的报表导出审计日志检索精确检索被测产品能通过审计到的内容做精确检索可支持数据库操作命令包括等个命令语句长度语句执行回应语句执行时间数据库名数据库账户服务器端口客户端操作系统主机名客户端操作系统用户名客户端客户端客户端端口客户端进程名会话关键字时间含开始结束日期等模糊检索数据库审计能通过审计到的内容做模糊检索可支持数据库操作命令包括等个命令语句长度语句执行回应语句执行时间数据库名数据库账户服务器端口客户端操作系统主机名客户端操作系统用户名客户端客户端客户端端口客户端进程名会话关键字时间含开始结束日期等告警方式数据库审计系统可设置告警策略通过告警策略指定需要告警的内容和告警接收人告警方式至少支持邮件短信短信平台和告警内容包括审计内容告警和系统告警旁路阻断旁路部署方式下数据库审计系统支持旁路阻断功能在发现风险后可以阻断风险对正常业务零风险事件回放管理数据库审计可通过定向行为分析可以明确出某指定客户端在某段时间内所有的操作记录从而进行现场重建录像回放真实再现完整操作过程进行电子取证为溯源和取证提供有力的证据白名单管理数据库审计可通过预定义白名单进行监控对内部安全访问做白名单管理与设置提前防范真正做到事前事中事后全方位的防护体系审计日志导出数据库审计可根据查询的对应审计数据进行审计日志的导出导出文件类型包含但不限于