一個(gè)典型的網(wǎng)絡(luò)環(huán)境有網(wǎng)絡(luò)設(shè)備、服務(wù)器、用戶(hù)電腦、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備等組成部分，我們把這些組成部分稱(chēng)為審計(jì)對(duì)象。要對(duì)該網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)安全審計(jì)就必須對(duì)這些審計(jì)對(duì)象的安全性都采取相應(yīng)的技術(shù)和措施進(jìn)行審計(jì)，對(duì)于不同的審計(jì)對(duì)象有不同的審計(jì)重點(diǎn)。

今天筆者就易混淆的網(wǎng)絡(luò)審計(jì)系統(tǒng)與數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)進(jìn)行辨析。從網(wǎng)絡(luò)審計(jì)系統(tǒng)和數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的國(guó)家標(biāo)準(zhǔn)切入，來(lái)分析網(wǎng)絡(luò)審計(jì)系統(tǒng)與數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)區(qū)別，請(qǐng)大家與筆者一起探討交流。

[[214166]]

關(guān)于網(wǎng)絡(luò)審計(jì)系統(tǒng)

《GAT 695-2014 信息安全技術(shù) 網(wǎng)絡(luò)通信審計(jì)產(chǎn)品技術(shù)要求》中，對(duì)網(wǎng)絡(luò)通信審計(jì)產(chǎn)品(通常指網(wǎng)絡(luò)審計(jì)系統(tǒng))的產(chǎn)品描述如下：

網(wǎng)絡(luò)通信審計(jì)產(chǎn)品通過(guò)采集和分析網(wǎng)絡(luò)通信數(shù)據(jù)，對(duì)審計(jì)目標(biāo)網(wǎng)絡(luò)內(nèi)用戶(hù)網(wǎng)絡(luò)行為(如網(wǎng)頁(yè)瀏覽、FTP和TELNET通信、收發(fā)郵件、IM上下線等)、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)攻擊等行為進(jìn)行記錄和分析。網(wǎng)絡(luò)通信審計(jì)產(chǎn)品能夠幫助使用者記錄被審計(jì)網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)通信行為，追溯違反安全策略要求的用戶(hù)責(zé)任，此外，網(wǎng)絡(luò)通信審計(jì)產(chǎn)品還負(fù)責(zé)保護(hù)產(chǎn)品自身及其內(nèi)部重要數(shù)據(jù)的安全。

從以上描述可以看出，網(wǎng)絡(luò)審計(jì)系統(tǒng)的產(chǎn)品設(shè)計(jì)之初，并非針對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全審計(jì)，主要是基于網(wǎng)絡(luò)通信協(xié)議的審計(jì)。

《GAT 695-2014 信息安全技術(shù) 網(wǎng)絡(luò)通信審計(jì)產(chǎn)品技術(shù)要求》中，網(wǎng)絡(luò)審計(jì)系統(tǒng)的安全功能要求包括：數(shù)據(jù)采集、數(shù)據(jù)還原、統(tǒng)計(jì)、分析處理等。其中數(shù)據(jù)采集的內(nèi)容至少包括以下一種：采集目標(biāo)的IP地址或IP地址段策略、采集網(wǎng)絡(luò)協(xié)議或應(yīng)用類(lèi)型策略、采集時(shí)間段策略、其他策略。

數(shù)據(jù)還原的內(nèi)容，至少包括以下四種：

a)HTTP通信：目標(biāo)URL

b)FTP通信：使用的賬號(hào)、輸入命令

c)TELNET通信：使用的賬號(hào)、輸入命令

d)SMTP和POP3通信：源郵箱

e)IM通信：IM軟件名稱(chēng)和賬號(hào)

……等

通覽網(wǎng)絡(luò)通信審計(jì)產(chǎn)品技術(shù)要求，并未有針對(duì)數(shù)據(jù)庫(kù)安全的審計(jì)要求。然而市場(chǎng)中的網(wǎng)絡(luò)審計(jì)系統(tǒng)往往將數(shù)據(jù)庫(kù)的安全審計(jì)納入自身產(chǎn)品的功能之中，數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)也涉及了網(wǎng)絡(luò)審計(jì)系統(tǒng)的部分功能，這也造成了大家對(duì)網(wǎng)絡(luò)審計(jì)系統(tǒng)與數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的混淆。

但是術(shù)業(yè)有專(zhuān)攻，不用的審計(jì)重點(diǎn)需要不同的審計(jì)產(chǎn)品。

《GBT 20945-2013信息安全技術(shù) 信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和測(cè)試評(píng)價(jià)方法》中，對(duì)不同類(lèi)型的安全審計(jì)產(chǎn)品的主要事件審計(jì)進(jìn)行了標(biāo)注。其中對(duì)網(wǎng)絡(luò)審計(jì)型信息系統(tǒng)安全審計(jì)產(chǎn)品以及數(shù)據(jù)庫(kù)型信息系統(tǒng)安全審計(jì)產(chǎn)品的要求如下：

網(wǎng)絡(luò)審計(jì)型信息系統(tǒng)安全審計(jì)產(chǎn)品應(yīng)能夠?qū)徲?jì)以下事件：

a)FTP通訊;

b)HTTP通訊;

c)SMTP/POP3通訊;

d)TELNET通訊;

e)其他網(wǎng)絡(luò)協(xié)議或應(yīng)用通訊。

數(shù)據(jù)庫(kù)審計(jì)型信息系統(tǒng)安全審計(jì)產(chǎn)品應(yīng)能夠?qū)徲?jì)以下事件：

a)數(shù)據(jù)庫(kù)用戶(hù)操作，包括用戶(hù)登錄鑒別、切換用戶(hù)、用戶(hù)授權(quán)等;

b)數(shù)據(jù)庫(kù)數(shù)據(jù)操作，包括數(shù)據(jù)的增加、刪除、修改、查詢(xún)等;

c)數(shù)據(jù)庫(kù)結(jié)構(gòu)操作，包括新建、刪除數(shù)據(jù)庫(kù)或數(shù)據(jù)表等。

從以上要求中可以看出，網(wǎng)絡(luò)審計(jì)系統(tǒng)與數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)在功能偏重上有所不同，網(wǎng)絡(luò)審計(jì)系統(tǒng)以網(wǎng)絡(luò)通訊協(xié)議審計(jì)為主，數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)以數(shù)據(jù)庫(kù)操作行為審計(jì)為主。

關(guān)于數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)

《GA/T 913-2010 信息安全技術(shù) 數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品安全技術(shù)要求》中，指出數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的安全功能要求包括：審計(jì)生成單元組件要求、審計(jì)相應(yīng)單元組件要求、審計(jì)處理單元組件要求等。

其中審計(jì)生成單元組件要求具備以下采集能力：

事件主題：用戶(hù)和源地址;

事件客體：對(duì)象(包括數(shù)據(jù)庫(kù)服務(wù)器、庫(kù)、表、存儲(chǔ)過(guò)程、函數(shù)、包等)和目的地址;

事件發(fā)生的日期和時(shí)間

事件類(lèi)型：用戶(hù)對(duì)數(shù)據(jù)庫(kù)的各種操作

事件描述：操作具體內(nèi)容

事件結(jié)果：數(shù)據(jù)庫(kù)返回結(jié)果

審計(jì)相應(yīng)單元組件要求具備對(duì)指定事件(如數(shù)據(jù)庫(kù)返回?cái)?shù)量超出閾值等)設(shè)置危險(xiǎn)級(jí)別并提供報(bào)警功能。報(bào)警信息至少包括：事件主體、事件客體、事件描述、事件發(fā)生的日期和時(shí)間、事件危險(xiǎn)級(jí)別等。

從產(chǎn)品技術(shù)要求可以看出來(lái)，數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)主要針對(duì)數(shù)據(jù)庫(kù)中的操作行為進(jìn)行審計(jì)，并提供威脅響應(yīng)告警、報(bào)表分析等功能，作為數(shù)據(jù)庫(kù)的安全審計(jì)產(chǎn)品更加專(zhuān)業(yè)更有針對(duì)性。昂楷數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)采用領(lǐng)先的應(yīng)用層穿透技術(shù)，解決了困擾業(yè)內(nèi)難以精準(zhǔn)定位的難題，是專(zhuān)業(yè)的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的典型代表。

最后，引用一段話進(jìn)行總結(jié)：一個(gè)完整的審計(jì)體系，可滿(mǎn)足所有審計(jì)對(duì)象的安全審計(jì)需求。就目前而言，實(shí)現(xiàn)的產(chǎn)品類(lèi)型有：日志審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、桌面管理系統(tǒng)、網(wǎng)絡(luò)審計(jì)系統(tǒng)、入侵檢測(cè)和防護(hù)系統(tǒng)等，這些產(chǎn)品都實(shí)現(xiàn)了安全審計(jì)的一部分功能，只有實(shí)現(xiàn)全面的網(wǎng)絡(luò)安全審計(jì)體系，安全審計(jì)才是完整的。