点击右上角
微信好友
朋友圈
请使用浏览器分享功能进行分享
数据库审计是对数据库中所有行为和事件进行审查、记录、告警、分析和展示的技术。
随着信息技术在各行业的普遍运用,数据库已日渐成为信息系统不可或缺的核心资产,其存储的大量信息关系着企业和社会的根本利益。同时网络技术不断发展,数据库系统中关键信息资产的高度集中化,使得数据库成为内部违规人员、外部不法分子攻击和获取敏感信息的主要目标,数据篡改、泄密等事件频繁爆发,社会各界已经普遍意识到数据库访问疏于监管所带来的巨大危害,数据库审计技术受到空前关注。通过数据库审计系统,可以及时发现数据库系统存在的安全隐患,降低数据在企业内部误用和误传的风险,在发生数据泄露事件时,发现和定位泄露点,将事故的影响降到最低。
从用户需求角度来看,数据库审计系统应满足的主要技术需求包括如下几点:
一是满足不同业务场景下的数据库审计需求。为了保护数据库中存储的数据,数据库审计工作要与企业的合规策略、数据处理活动紧密关联,满足不同业务场景下的数据库审计需求。因此,数据库审计系统需要支持多种数据库类型、文件类型,支持大数据等复杂运算环境,以及具备针对不同行业数据特征进行审计的策略模板,同时,兼容性、可扩展性也是重要的技术指标。
二是满足数据安全事件的灵活追踪溯源需求。企业数据安全管理或运维人员,未必掌握数据库审计技术专业知识,造成追责溯源过程中的困扰,因此需要数据库审计系统的提供结果展示、统计分析、告警处置等辅助功能,例如审计和溯源结果进行多维度统计分析并进行图形化展现。
三是满足不同行业的特色审计要求。合理的默认配置也十分有必要,可以帮助不同行业的使用者完成敏捷部署。
此外,随着数据安全需求的升级,数据库审计系统除了基本的数据库审计功能之外,也逐渐增加了人工智能分析、关联审计、即时阻断等功能。
为了对数据库审计系统应具备的技术能力进行规范,为企业数据库安全审计系统研发、测试、提供依据,并为企业采购数据库审计产品时提供标准参考,中国信通院安全所于2020年7月在中国通信标准化协会(CCSA)TC8TF1数据安全特设项目组成功立项《电信网和互联网数据库审计技术要求与测试方法》行业标准,此后联合中国移动、中国电信、中国联通、绿盟、天融信、安华金和、观安、思维世纪等23家单位共同完成了标准研制工作,目前标准文稿已经报批,等待发布。
《电信网和互联网数据库审计技术要求与测试方法》行业标准在概述部分提出了数据库审计技术应用架构,在安全功能、审计能力、自身安全三个方面对数据库审计技术进行具体要求,并且总结了在实际应用数据库审计技术过程中,主要涉及的三个要素:风险行为、事件类型、审计记录。此外,标准还提出了数据库审计后的效果评估策略。
风险行为:在审计过程中检测异常行为和安全风险的能力,例如检测异常登录行为、暴力破解行为、SQL注入行为、高危操作行为、漏洞攻击行为等。
事件类型:在审计过程中检测安全事件类型,例如检测用户变更事件、存储结构变更事件、身份认证事件、数据操作事件、错误和异常事件等。
审计记录:根据风险行为和事件类型,审计日志需记录的主要内容包括但不限于客户端信息、数据库信息、访问信息、返回结果信息、告警信息、扩展信息等。
在安全功能要求部分,标准从数据库审计工具/系统/平台/产品应当具备的功能角度出发,从数据源管理、审计策略、告警响应、接口调用、结果查询与展示等方面提出了具体要求。
数据源管理
数据库审计工具/系统/平台/产品被部署到具体应用场景时,往往面对的并非单一系统类型或数据类型,这就需要数据库审计工具在数据源管理方面,不仅能够实现多种发现方式(主动嗅探和被动监测)对输入数据源的校验,还能够支持多种数据库类型、文件类型等。
审计策略
数据库审计工具/系统/平台/产品的审计策略功能需要根据特定的业务场景与不同的行业(通信、金融、医疗等),手动或自动选择相对应的审计规则或算法进行审计。
告警响应
数据库审计工具/系统/平台/产品的告警响应功能要求包括告警内容、告警方式、响应处置方式这三个主要方面。及时准确的预警、告警和应急响应,可以有效降低或避免企业数据库面对的安全风险。
接口调用
数据库审计工具/系统/平台/产品的应用程序接口承担着不同网络环境、组织机构之间的数据传输重任,是Web应用、移动应用软件等进行数据传输的重要通道,需要支持在不同的应用场景中通过接口方式进行部署和数据交互。
结果查询与展示
数据库审计结果管理包括溯源查询与审计结果展示、统计报表、审计日志查询与展示。数据库审计工具/系统/平台/产品可以充分利用可视化技术来支持结果查询与展示。
除上述安全功能要求外,标准在审计能力要求部分,还针对5点数据库审计核心技术,提出了风险行为、事件类型、审计记录、日志分析方式、审计准确度等能力要求。同时,本标准还包含了对数据库审计工具/系统/平台/产品自身的安全要求。此外,对应前述每一项技术要求,标准中也明确了与之配套的测试方法。
自2021年1月起,中国信通院安全所大数据应用与安全创新实验室已经开展了四期数据安全产品评测工作,其中依据《电信网和互联网数据库审计技术要求与测试方法》已经对12家企业的14个数据库审计产品(工具)进行了评测,评测结果如下表所示。
|
序号 |
企业 |
产品 |
基础测试 |
进阶测试 |
|
1 |
北京安华金和科技有限公司 |
安华金和数据库安全审计系统 |
√ |
|
|
2 |
上海观安信息技术科技有限公司 |
观安观智数据安全管控平台 |
√ |
√ |
|
3 |
奇安信科技集团股份有限公司 |
奇安信网神数据库审计与防护系统 |
√ |
|
|
4 |
腾讯云计算(北京)有限责任公司 |
腾讯数据安全审计系统 |
√ |
|
|
5 |
阿里云计算有限公司 |
数据安全中心(DSC) |
√ |
|
|
6 |
杭州美创科技有限公司 |
美创数据库安全审计系统 |
√ |
|
|
7 |
北京天融信科技有限公司 |
天融信数据安全智能管理平台 |
√ |
|
|
8 |
绿盟科技集团股份有限公司 |
绿盟数据安全运营平台 |
√ |
|
|
9 |
闪捷信息科技有限公司 |
数据库审计和防护系统 |
√ |
|
|
10 |
上海缔赛信息技术有限公司 |
缔赛数据库安全防护系统 |
√ |
|
|
11 |
北京神州绿盟科技有限公司 |
绿盟数据库审计系统 |
√ |
√ |
|
12 |
北京天融信网络安全技术有限公司 |
天融信数据库审计系统 |
√ |
√ |
|
13 |
全知科技(杭州)有限责任公司 |
数据库安全审计系统 |
√ |
|
|
14 |
上海纽盾科技股份有限公司 |
数据库安全审计系统 |
√ |
小结
数据库审计技术通过部署在数据库、数据仓库、文件系统,大数据平台等载体中,减少和避免安全隐患对数据造成的破坏或者泄露。《电信网和互联网数据库审计技术要求与测试方法》行业标准从功能、性能等角度提出了数据库审计工具/系统/平台/产品须满足的技术要求及相应的测试验证方法,帮助企业合理、高效运用数据库审计技术,同时也在数据安全和个人信息保护合规方面提供强有力的支撑。
习近平主席乘专机离开巴西利亚
2024年世界互联网大会乌镇峰会闭幕新闻发布会
