数据库安全面面观（七）侦查性和取证性数据库安全控制

（一）前言
（二）信息安全背景下的数据库安全
（三）与数据库安全相关的要素定义
（四）编写数据库安全策略
（五）人员控制
（六）预防性数据库安全控制

（七）侦查性和取证性数据库安全控制

资料来源：《数据库安全指南（2.0版）》
数据库安全联盟（DBSC）
http://www.db-security.org/

日志记录

（1） 获取登录日志

为了监控登录，必须实施以下控制。

• 产生登录日志。（强制的）

（2） 获取数据库管理系统信息访问日志

为了监控对个人信息、机密信息和其他重要信息的访问，必须实施以下控制。

• 产生与访问/更改个人信息、机密信息和其他重要信息相关的日志。（强制的）

（3） 获取数据库管理系统管理信息访问日志

为了监控对数据库管理系统管理信息的访问，必须实施以下控制。

• 产生与访问/更改数据库管理系统管理信息相关的日志。（强制的）

（4） 获取数据库对象更改日志

为了监控数据库对象的更改，必须实施以下控制。

• 产生创建和更改数据库对象（例如，数据库账户、表、视图等）的审计日志。（强制的）

日志保护

（1） 日志保留

为了在需要时检索到日志，必须实施以下控制。

• 将日志复制到外部可移动介质。（强制的）

  示例：
  -磁带、LTO设备、磁盘、外部服务器、外部数据库等。

注：“外部”是指存储日志数据的系统或设备不是数据库系统，或是第三方系统

• 将外部可移动介质保存在安全的地方。（强制的）

  示例：
  -将外部可移动介质存放在上锁的地方。
  -执行将介质从保存的地方带出的书面登记制度。

• 对日志应用访问控制。（强制的）

  示例：
  -仅安全管理员才能访问日志。
  -不可修改日志。

（2） 防止日志修改

• 防止未经授权修改日志。（强制的）

  示例：
  -保留多个日志副本
  -在只读存储介质中保留日志
  -应用使用时间戳的数字签名

（3） 加密日志

• 将加密应用到日志中。（推荐的）

  示例：
  -加密日志

侦查机制

为了检测未经授权的访问，必须实施以下控制。

• 提供一个机制来通报未经授权的访问尝试。（强制的）

  示例：
  -通过电子邮件向系统经理/系统管理员/系统操作人员通报发生了账户锁定（由于失败的登录尝试超过最大次数）

检查访问时间

（1） 检测对数据库管理系统管理信息的访问

为了检测在工作时间内和工作时间外对数据库管理系统管理信息的可疑访问，必须实施以下控制。

• 监控、检测并日志记录授权时间之外的访问。（强制的）
• 通过比较日志和工作申请表，检查按规定完成的工作。（强制的）

（2） 检测数据库信息的访问

为了检测在工作时间内和工作时间外对数据库信息的可疑访问，必须实施以下控制。

• 为每个应用程序用户定义授权访问数据库管理系统的工作时间。（强制的）
• 监控会话日志并检测授权工作时间以外的任何访问。（强制的）

（使用IP地址等）检测来自未经授权终端的访问

（1） 检测来自未经授权终端的访问

为了检测来自未经授权的终端的访问，必须实施以下控制。

• 定义授权访问数据库管理系统的终端。（强制的）
• 检测来自未授权终端的任何访问。（强制的）

（2） 检测管理员账户的访问

为了检测使用管理员账户的访问，必须实施以下控制。

• 定义授权使用管理员账户访问数据库管理系统的终端/操作系统账户/数据库账户组合。（强制的）
• 检测不是来自授权组合的任何管理员的访问。（强制的）

（3） 检测普通用户账户的访问

为了检测使用普通用户账户的访问，必须实施以下控制。

• 定义普通用户的访问模式（终端/操作系统账户/数据库账户的组合）。（强制的）
• 检测不是来自授权组合的任何普通用户的访问。（强制的）

检查其他未经授权的访问

为了检测上文未提及的未授权访问，必须实施以下控制。

• 通过检查失败的登录尝试，其次数小于给定期间的预定次数，来检测字典攻击。（推荐的）
• 监控日志并检测SQL执行。（推荐的）
• 监控日志并检测数据库对象的创建和更改。（推荐的）

终止未经授权的访问

为了最大限度地减少检测到的未经授权访问造成的损害，必须实施以下控制。

• 提供终止或中断未经授权访问的机制。（推荐的）

日志分析机制

为了确定未经授权访问的原因并检测安全漏洞，必须实施以下控制。

• 提供分析日志的机制。（强制的）

  示例：
  -安装日志分析工具

日志定期分析

（1） 会话信息定期分析

为了检测日志记录，必须实施以下控制。

• 分析会话信息。（强制的）

  示例：
  -对包含（大量）失败登录尝试的会话进行趋势分析
  -对异常的长登录会话进行趋势分析
  -对消耗大量资源的会话进行趋势分析

（2） 数据库访问信息定期分析

为了检测数据库访问，必须实施以下控制。

• 分析SQL信息。（强制的）

  示例：
  -对异常的长SQL执行进行趋势分析
  -对消耗大量资源的SQL命令进行趋势分析