jxq
作者jxq6天前
其它, gbase

数据库产品 CC 认证的最佳实践(三十九)《GBase 8t V8.5安全目标》之6.1.1 安全审计

字数 1989阅读 32评论 0赞 2

(一)前言
(二)CC 通用准则概述
(三)CC 通用准则的演进
(四)CC 安全性评估
(五)安全功能组件
(六)安全保证组件
(七)评估保证级
(八)《安全目标》编写规范
(九)《GBase 8t V8.5安全目标》之目录
……

(三十九)《GBase 8t V8.5安全目标》之6.1.1 安全审计

6. 评估对象概要规范

本章描述安全功能及相关联的保证措施。

6.1 评估对象安全功能

6.1.1 安全审计

GBase 8t 包括一个通过获得授权的管理员来启用或禁用的审计设施。当启用审计时,会根据获得授权的管理员配置的审计掩码来产生与安全相关的事件记录。全局审计掩码用于定义始终审计的审计事件、从不审计的审计事件以及没有指定掩码的用户缺省使用的审计事件。用户特定掩码为特定用户定义将要审计的审计事件(取代全局的缺省掩码)。使用 GBase 8t 提供的 onaudit 实用程序来管理审计配置。

可以配置 GBase 8t,以便在文件中记录审计事件。GBase 8t 包括一个 onshowaudit 实用程序,会将审计记录提取至一个文件内,使用操作系统工具(例如,grep)来查阅该文件,或者可以使用 dbload 实用程序将该文件加载至 GBase 8t 数据库内。一旦加载了,就可交由管理员处理,使用所有GBase 8t 数据操纵命令(即,SQL 语句)来对审计记录进行搜索和排序。请注意,根据用户身份、事件类型以及在审计记录中找到的任何其他数据(例如,日期和时间),允许快捷地对结果表进行搜索和排序。在管理员指南文档中,描述使用 GBase 8t 工具将审计记录加载至 GBase 8t 内查阅的流程。

GBase 8t 指南包括若干程序,确保 IT 环境恰当地保护审计文件以及该评估对象的其他部分,确保只有获得授权的管理员才能删除或访问所存储的审计记录。指南还包括对配置该评估对象的说明,以便在将审计记录加载到 GBase 8t 表内时使用 GBase 8t 自主访问控制机制来继续保护它们,使得只有获得授权的管理员才能访问审计信息。请注意,GBase 8t 不提供任何在该评估对象之中修改审计记录的能力。

当审计线索填满时,获得授权的管理员可以配置 GBase 8t,以停止审计或停止当前 SQL 语句或其他可审计事件。请注意,当不能完成审计写时,该评估对象认定审计线索已填满。

虽然某些审计事件类型包含的信息会略有出入,但当 GBase 8t 记录审计记录时,审计记录大都包含以下信息:
- 时间戳——审计事件的日期和时间
- 用户名——承担责任的用户身份
- 事件助记码——特定的审计事件名称
- 数据库名称——适用的数据库名称(如果有的话)
- 表标识符——适用的表的标识(如果有的话)
- 客体名称——适用的客体的标识(如果有的话)
- 成功抑或失败——操作成功的标志

请注意,命令行实用程序生成审计记录,这些审计记录捕获实际的命令行调用。由实用程序自身直接生成这些记录。

获得授权的管理员可以配置 GBase 8t,以审计任一或全部可得到的审计事件类型:
- 打开、关闭、创建、删除、授予和撤销数据库;
- 修改、创建和删除索引或表;
- 创建和删除视图;
- 插入、更新、选择和删除行;
- 创建、删除、执行例程以及更新统计信息;
- 创建和删除同义词、类型或序列;
- 使用特权 SQL 语句;
- 更改身份;
- 设置日志记录模式;
- 更新统计信息;
- 请求客户端连接。

“安全审计”安全功能满足以下安全要求:

FAU_GEN.1a 审计数据产生
——通过生成与每一安全功能(及安全功能要求)相关联的必要事件,并通过在每一事件中包括日期与时间、事件类型、用户身份和结果,GBase 8t 满足此要求。

FAU_GEN.2 用户身份关联
——通过在每一审计记录中包括适当的用户身份,GBase 8t 满足此要求。

FAU_SAR.1 审计查阅
——通过提供查阅审计记录的接口(onshowaudit),GBase 8t 满足此要求。

FAU_SAR.2 受限的审计查阅
——在允许用户访问审计记录之前,通过(根据其角色)确保该用户为获得授权的管理员,GBase 8t 满足此要求。

FAU_SAR.3 可选审计查阅
——通过先将审计记录导出,然后再导回到数据库表内进行任意查询(例如,根据用户身份或事件类型来搜索或排序),从而提供搜索能力,GBase 8t 满足此要求。

FAU_SEL.1 选择性审计
——通过允许获得授权的管理员配置 GBase 8t,以审计任何可得到的审计事件类型,既可全面审计也可针对特定用户审计,GBase 8t 满足此要求。

FAU_STG.4 防止审计数据丢失
——通过在填满审计线索时舍弃可审计的事件,GBase 8t 满足此要求。

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

2
{}

添加新评论0 条评论

Ctrl+Enter 发表
相关推广
  • GBase 8t培训资料大全
    GBase 8t产品技术培训资料,包括:产品功能、性能优化、运维、高可用等。同时也是产品技术认证的基础课程。
  • GBase 8t培训视频集锦
    GBase 8t产品技术培训视频,包括:产品功能、性能优化、运维、高可用等。同时也是产品技术认证的基础课程。
  • 关于TWT  使用指南  社区专家合作  厂商入驻社区  企业招聘  投诉建议  版权与免责声明  联系我们
    © 2018  talkwithtrend — talk with trend,talk with technologist 京ICP备09031017号-30