为了规范全国数据库安全审计产品的开发与应用,保障公共信息网络安全,根据公安部公共信息网络安全监察局的要求,本规范对数据库安全审计产品提出了自身安全功能要求、安全功能要求和保证要求,作为对其进行检测的依据。
本规范由中华人民共和国公安部公共信息网络安全监察局提出。
本规范起草单位:公安部计算机信息系统安全产品质量监督检验中心。
公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。
本规范规定了数据库安全审计产品的技术要求,提出了该类产品应具备的功能要求和安全保证要求。并根据功能和保证要求的不同将数据库安全审计产品进行了分级。
本规范的目的是为数据库安全审计产品的研制、开发、测评和采购提供技术支持和指导。
使用符合本规范的数据库安全审计产品可对数据库操作行为进行隐蔽监视,能对事后发现的安全事件进行会话恢复,为数据库取证提供有效的工具。
本规范不涉及在加密网络中使用的数据库安全审计产品。
信息技术数据库安全审计产品检验规范
1.范围
本规范规定了在网络中使用的数据库安全审计产品的自身安全功能要求、安全功能要求和保证要求。
本规范适用于数据库安全审计产品的生产及检测。
2.术语和定义
下列术语和定义适用于本规范:
2.1 数据库安全审计
数据库安全审计产品是对网络中指定数据库的使用状态进行跟踪并记录的产品。
2.2 审计日志
审计日志是指数据库安全审计产品自身审计产生的信息。
2.3 审计记录
审计记录是指跟踪指定数据库的使用状态产生的信息。
2.4 审计信息
审计信息是指所有的审计日志和审计记录的总称。
3.安全审计等级划分规范
3.1自身安全功能要求
3.1.1自主访问控制
3.1.1.1属性定义
产品应为每个管理角色规定与之相关的安全属性,例如管理角色标识、鉴别信息、隶属组、权限等。
为了规范全国数据库安全审计产品的开发与应用,保障公共信息网络安全,根据公安部公共信息网络安全监察局的要求,本规范对数据库安全审计产品提出了自身安全功能要求、安全功能要求和保证要求,作为对其进行检测的依据。
3.1.1.2属性初始化
产品应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。
3.1.2身份鉴别
3.1.2.1基本鉴别
产品应在执行任何与授权管理员或用户相关功能之前鉴别授权管理员或用户的身份。
3.1.2.2鉴别失败处理(扩展项)
产品应能在鉴别尝试达到最大失败次数后,终止用户建立会话的过程。
3.1.3 可信数据
3.1.3.1远程保密传输
与远程可信组件的传送过程中,安全审计产品应提供保护所有的信息数据不被泄漏的功能。
3.1.3.2审计信息完整性
产品应提供在各种使用情况下,保证所有审计信息完整性的功能:
a)应提供防止非授权用户对审计记录或审计日志内容修改或手工添加的功能;
b)应提供防止未授权的删除本地存储的审计记录或审计日志的功能。
3.2安全功能要求
3.2.1审计记录
3.2.1.1审计记录基本内容
应记录数据库访问的相关信息,每一条记录内容至少应包括:访问开始时间。对于网络数据库安全审计产品,还必须对网络数据库通讯的源地址和目标地址进行记录。
3.2.1.2数据库通讯信息采集
应对下列数据库访问内容进行审计
a)用于访问的数据库用户帐号;
b)访问的数据库对象;
c)数据库操作类型;
d)具体数据库操作的内容。
3.2.2 审计日志
3.2.2.1 审计日志内容
应记录安全审计产品自身的审计,记录内容至少应包括:
a)管理员登陆事件。
b)事件日期与时间、主体身份和事件结果(成功或失败)。
3.2.2.2其他审计日志(扩展项)
应记录安全审计产品自身的审计,记录内容至少应包括:
a)符合表1中的所有可审计事件;
b)表1细节一栏中指定的附加信息。
表1可审计事件
事件 细节
所有对审计记录或审计日志的删除或清空 记录时间
从审计记录或审计日志中读取信息
在信息采集功能运行时所有对审计配置的修改
所有鉴别机制的使用 位置
对角色中用户组的修改 修改后的用户身份
安全审计系统组件的启动与关闭
3.2.3审计查阅
应提供查询审计记录或审计日志的功能。
3.2.4可理解的格式
应使审计结果为人所理解。
3.2.5 防止审计数据丢失(扩展项)
3.2.5.1产品应将生成的审计记录和审计日志储存于一个永久性的介质中。
3.2.5.2 当审计存储耗尽/失败/受攻击情况发生时,产品应确保审计记录和审计日志不被破坏。
3.2.5.3产品应能够制定某种策略,具体处理当审计存储接近最大存储空间时的情况。(例如:安全审计产品可“忽略可审计事件” 或“覆盖所存储的最早的审计记录”或“阻止产生所有可审计事件(除有特权的授权用户外)”,并发送一个告警信息。)
3.2.6可选择查阅(扩展项)
应提供可选择查阅工具,可供用户进行如下查询:
a)应能根据3.2.1.1和3.2.1.2所列各项条件,对审计记录进行单项选择查询;
b)应能根据3.2.1.1和3.2.1.2所列各项条件,对审计记录进行任意组合选择查询;
c)应能对查询所得结果进行排序。
3.2.7 分析结果处理(扩展项)
3.2.7.1 审计跟踪管理
授权管理员应能对审计记录进行创建、删除和清空。
3.2.7.2 报表功能
产品应能根据审计记录进行统计和分析,并且能根据预先定义的模板生成报表。
4.数据库安全审计产品的保证要求
4.1交付和运行
4.1.1交付过程
4.1.1.1 开发者行为元素:
a)开发者应将把数据库安全审计产品及其部分交付给用户的程序文档化;
b)开发者应使用交付程序。
4.1.1.2 证据元素的内容和表示
交付文档应描述,在给用户方分配数据库安全审计产品的版本时,用以维护安全所必需的所有程序。
4.1.2 安装、生成和启动程序
4.1.2.1 开发者行为元素
开发者应将数据库安全审计产品安全地安装、生成和启动所必需的程序文档化。
4.1.2.2 证据元素的内容和表示
文档应描述数据库安全审计产品安全地安装、生成和启动所必要的步骤。
4.2 指导性文档
4.2.1 管理员指南
4.2.1.1 开发者行为元素
开发者应当提供针对系统管理员的管理员指南。
4.2.1.2 证据的内容和形式元素:
a)管理员指南应当描述数据库安全审计产品管理员可使用的管理功能和接口;
b)管理员指南应当描述如何以安全的方式管理数据库安全审计产品;
c)管理员指南应当包含在安全处理环境中必须进行控制的功能和权限的警告;
d)管理员指南应当描述所有与数据库安全审计产品的安全运行有关的用户行为的假设;
e)管理员指南应当描述所有受管理员控制的安全参数,合适时,应指明安全值;
f)管理员指南应当描述每一种与需要执行的管理功能有关的安全相关事件,包括改变TSF所控制的实体的安全特性;
g)管理员指南应当与为评估而提供的其他所有文档保持一致;
h)管理员指南应当描述与管理员有关的IT环境的所有安全要求。
4.2.2 用户指南
4.2.2.1 开发者行为元素
开发者应当提供用户指南。
4.2.2.2 证据的内容和形式元素:
a)用户指南应该描述数据库安全审计产品的非管理用户可用的功能和接口;
b)用户指南应该描述数据库安全审计产品提供的用户可访问的安全功能的用法;
c)用户指南应该包含受安全处理环境中所控制的用户可访问的功能和权限的警告;
d)用户指南应该清晰地阐述数据库安全审计产品安全运行中用户所必须负的职责,包括有关在数据库安全审计产品安全环境阐述中找得到的用户行为的假设;
e)用户指南应该与为评估而提供的其它所有文档保持一致;
f)用户指南应该描述与用户有关的IT环境的所有安全要求。
5.数据库安全审计产品安全技术要求的等级划分
依据信息技术-数据库安全审计产品的开发、生产现状及实际应用情况,我们对数据库安全审计产品的安全功能要求划分成二个等级。
数据库安全审计产品安全技术要求等级划分如表2所示。
表2 安全功能等级划分判定准则
基本要求:为数据库安全审计产品的最底安全级别。
扩展要求:为进一步提升产品安全功能的附加要求。