计算机网络安全技术第7章.ppt

7.4数据库审计 为了使DBMS达到一定的安全级别，还需要在其他方面提供相应的支持。例如按照TDI/TCSEC标准中安全策略的要求，“审计”功能就DBMS达到C2以上安全级别必不可少的一项指标。 因为任何系统的安全保护措施都不是完美的，蓄意盗窃、破坏数据的人总是想方设法打破控制。审计功能把用户对数据库的所有操作自动记录下来放入审计日志（Audit Log）中。DBA可以利用审计跟踪的信息，重现导致数据库现有状况的一系列事件，找出非法存取数据的人、时间和内容等。 由于审计行为将影响数据库管理系统的存取速度和反馈时间，所以DBMS往往都将其作为可选特征，允许DBA根据应用对安全性的要求，灵活地打开或关闭审计功能。这可以由多种方法实现，如扩充打开/关闭审计的SQL语句，或使用审计掩码等。审计功能一般主要用于安全性要求较高的部门。 7．4．1 审计类别 数据库系统中的审计工作包括一下几种： 设备安全审计：主要审查系统资源的安全策略、安全保护措施及故障恢复计划等。 操作审计：对系统的各种操作（特别是一些敏感操作 ）进行记录、分析记录内容包括操作的种类、所属事物、所属进程、用户、终端（或客户机）、操作时间、审计日期等等。 应用审计：审计建于数据库之上的整个应用系统、控制逻辑、数据流是否正确。 攻击审计：对已发生的攻击性操作及危害系统安全的事件（或企图）进行检测和审计。 7．4．2 可审计事件 审计系统的设计和实践首先应确定对哪些事件提供可审计的能力，这些事件就称为可审计的事件。但是，出于性能和安全性的综合考虑，实际系统并不对所有可审计事件进行审计。DBMS应为安全管理员提供某种接口配置可审计事件，由安全管理员根据实际需要选择一个合理的子集，从而在安全性和审计负荷之间做出平衡。 按照数据库的资源，可供选择的可审计事件分为七类，如表7.3所示： 表7.3 典型的审计痕迹时间类型 事件类型 审计痕迹中的数据 最终用户 由最终用户导致DBMS中的所有动作（包括SQL命令） 数据库管理员 操作员和数据库管理员控制或配置DBMS运行动作 数据库安全管理员 对权限和允许的授予和回收，及对标记的设置 数据库元数据 关系到数据库结构的操作 数据库系统级别 实用命令，死锁检测，回滚，恢复等 操作系统接口 在OS和DBMS之间的使用工具的使用和配置的变化 应用 特定应用的安全和相关事件 TCSEC按照安全级别的划分，要求如表7.4所示的事件可审计： 表7.4 可审计事件 TCSEC级别 要求的审计事件 ? ? C2和以上级 标志和鉴别机制的应用 用户地址空间中客体的引用和删除 特权用户行为（包括DBSSO的操作） 打印输出的内容 所有（其他）“安全相关”的事件 B1和以上级 禁止或覆盖可读输出标记的行为 改变I/O设备和通信通道的敏感度范围或级别的行为 B2和以上级 可能进行隐通道通信的事件 B3和以上级 可能指出即将来临的系统安全策略的违反的事件 对于数据库系统，TDI特别提出以下两条要求：所有的存取控制决定都必须可审计；不记录由于不满足查询而未返回的元组。 7．4．3 审计数据的内容 审计数据的内容与应用程序和环境之间紧密相关，因此，TCSEC对审计数据中所记录的内容给出了最低要求： 对于C2和以上级，应记录内容至少包括事件的日期和时间，导致此事件发生的用户，事件类型，事件成功与否；对于标志和鉴别事件，应抱括请求的来源；对用户地址空间中客体的引入或删除的事件，应包括客体名称。 对于B1和以上级，应记录安全级别。 但是对于DBMS中的安全管理员来说，仅根据TCSEC所要求的相关数据内容，仍很难追查到用户的实际意图。因此建议在审计记录中增加以下这些名称： 事件失败的原因，包括用户的安全级别或权限，或是指向这些数据的指针； 未经解释或优化的原始查询； 每个审计事务的记录应能回溯到导致它的查询； 每个审计应能回溯的它所在的事务； 事务是被成功提交还是被回滚； 审计与DBMS体系结构的关系 DBMS的体系结构与审计有着密不可分的关系，它直接影响审计痕迹的可信程度，审计数据的粒度和数量等。 ? 7．4．4 常用审计技术 常用审计技术大致可分为以下3类 静态分析系统技术：审计者通过查阅各种系统资源（软硬件、数据）的说明性文件，例如软件的设计说明书、流程图等来了解整个系统，甚至定位出一些易被攻击的薄弱环节。 运行验证技术：运行验证的目的是保证系统控制逻辑正确，各类事务能有效执行。该技术一般又细分为实际运行测试和性能测试两种。实现时，审计者既可根据审计需要，选择系