信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
评测项 | 等级 | 基本要求 | 达到级别 | 实现效果 | 对应产品 |
身份鉴别 | 三级 | c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; | 三级 | 通过对数据库账户、登录ip、Mac地址、进行数据库访问前的身份鉴别,按照预先设定策略,控制非法登录、非授权登录,对非可信用户结束会话或阻止访问。 | 数据库防火墙 数据库加密 |
数据库加密 | |||||
安全标记 | 三级 | 无要求 | 四级 | 对主体(数据库用户、应用级用户)和加密客体(列、记录行)在安全策略中进行安全标记 | 数据库加密 数据库防火墙 |
四级 | 应对所有主体和客体设置敏感标记; | 数据库防火墙 数据库加密 |
|||
访问控制 | 三级 | a) 应启用访问控制功能,依据安全策略控制用户对资源的访问; | 四级 | 对IP、MAC、客户端、数据库账户、时间等要素进行限制 对于授权用户对受保护数据的访问能够限定到指定的时间和IP,实现更加精确的授权和访问控制; |
数据库防火墙 数据库加密 |
b)应根据管理用户的角色分配权限, 实现管理用户的权限分离, 仅授予管理用户所需的最小权限 | 对用户、操作(DML、DDL、DCL)和对象进行访问控制的限定 | 数据库防火墙 数据库加密 |
|||
g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作 | 对超过指定行数的更新、删除、查询和导出行为进行限制 增加Update Nowhere和Delete Nowhere等高危操作 |
数据库防火墙 数据库加密 |
|||
四级 | a) 应依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问; | 实现基于密文的增强访问权限控制,防止主体如DBA及高权限用户对敏感客体数据进行访问。 被保护客体字段的权限控制独立于数据库的权限控制,防止主体数据库用户的权限提升访问被保护数据。 对主体用户、操作(DML、DDL、DCL)和客体对象进行访问控制的限定 增加Update Nowhere和Delete Nowhere等高危操作控制 |
数据库审计 数据库防火墙 |
||
b) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表、记录和字段级。 | 对数据库操作控制力度:控制主体、数据库账户、应用程序、应用账户,对操作对象(表、列、存储过程名称)、SQL语句进行细粒度控制 | 数据库审计 数据库防火墙 |
|||
安全审计 | 三级 | a) 审计范围应覆盖到服务器和 重要客户端上的每个操作系统用户和数据库用户; | 四级 | 审计范围 IP地址、数据库用户、端口号、数据库类型 用户名 表、字段、包、存储过程、函数、视图 DDL、DML、DCL 影响行数、返回行数等 |
数据库审计 数据库防火墙 |
b) 审计内容应包括重要用户行为、 系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件; | 会话的终端信息:IP、MAC、Port、工具名称(程序名) 会话的主机信息、IP、MAC、Port、数据库名(实例名) 会话的其它信息:登录时间、会话时长 操作信息:操作类型(DDL、DML、DCL等)、操作时间、执行时长、操作成功与失败、操作对象(表、列、存储过程名称)、SQL语句 操作影响范围信息:查询、修改、删除操作的影响行数,以及返回行数 |
数据库审计 数据库防火墙 |
|||
c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; | 审计结果中包括:告警级别、事件发生结果、主客体标识、客户端IP、目标数据库IP、操作类型、客户端MAC地址、目标数据库MAC地址、客户端端口号、信息大小、返回状态、结果信息、客户端执行命令等详细信息内容。 | 数据库审计 数据库防火墙 |
|||
d) 应能够根据记录数据进行分析,并生成审计报表; | 可以根据等保生成审计报表;固定报表:告警、操作审计、流量 定期自动生成生成:日、周、月、季度、年度综合报表。 文档格式:WORD\HTML\JPG\PDF\EXCEL |
数据库审计 数据库防火墙 |
|||
e) 应保护审计进程,避免受到未预期的中断; | 审计进程通过后台系统管理员才可进行开启、停止操作。 | 数据库审计 | |||
f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。 | 根据三权分立的原则和要求进行职、权分离,对系统本身进行分角色定义,仅有日志员负责完成对系统本身的用户操作日志管理,并无权限进行增、删、改操作。日志可连续无覆盖满足公安要求日志保存90天以上要求。 | 数据库防火墙 | |||
四级 | g) 应能够根据信息系统的统一安全策略,实现集中审计。 | 通过集中化数据库审计管理平台,对部署数据库审计产品的安全日志进行集中审计。 | 数据库防火墙 | ||
入侵防范 | 三级 | a) 应能够检测到对重要服务器进行入侵的行为, 能够记录入侵的源 IP 、 攻击的类型、 攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警; | 四级 | 能对基于数据库漏洞进行攻击行为监测、告警,支持400个以上的数据库漏洞攻击规则库。 | 数据库防火墙 |
四级 | 同三级 | 能对基于数据库漏洞进行攻击行为监测、告警,支持400个以上的数据库漏洞攻击规则库。 | 数据库防火墙 | ||
恶意代码防范 | 三级 | a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库; | 四级 | 包含数据库SQL注入特征库和数据库漏洞攻击特征库,并在官方发布漏洞发布后,及时生成更新包发送给用户。 | 数据库加密 |
四级 | 同三级 | 包含数据库SQL注入特征库和数据库漏洞攻击特征库,并在官方发布漏洞发布后,及时生成更新包发送给用户。 | 数据库加密 | ||
存储加密 | 三级 | 鉴别信息、重要业务数据存储 | 四级 | 通过加密存储功能,从根本上保证数据安全,即使反向解析数据文件后,看到的加密字段数据仍是乱码。可支持按列、按记录方式进行加密。 | 数据库防火墙 |
四级 | 要求采用安全、专用的通信协议 | 数据库防火墙 数据库加密 |
|||
资源控制 | 三级 | a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录; | 四级 | 对IP、MAC、客户端、用户名、时间等进行限制登录 | 数据库防火墙 数据库加密 |
d) 应限制单个用户对系统资源的最大或最小使用限度; | 对操作对象(表、列、存储过程名称)、SQL语句。 | ||||
e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 | 系统自身设定资源服务报警机制,通过Email、短信、syslog等方式进行报警。 | ||||
四级 | 同三级 | ||||