摘要
本文分析了数据安全审计包括应用系统安全审计和数据库审计两种技术,这两种技术的法律法规、研究报告、技术原理和主要产品功能,并提出数据安全审计的选择依据。
关键词
数据安全审计、应用系统安全审计、数据库安全审计、数据库访问协议解析、应用协议解析、API应用程序编程接口;
概述
全链路数据安全审计应综合采用数据库审计技术和应用系统安全审计技术,贯穿数据全生命周期各个数据处理活动,覆盖用户访问、系统运维、开发测试、数据对外提供、数据出境等全部业务场景,以数据分类分级为基石,通过可视化方式全面分析、展示数据的分布、流动、命令执行成功/失败、风险事件等综合态势。由于两种数据安全审计产品可以支持完全独立于数据库/应用服务器的部署,在不影响日常数据运行效能的前提下实现灵活的审计,因此,在数据安全治理过程中,数据安全审计技术应用非常广泛。
数据安全审计研究报告法律法规依据
(一)国内法律
1、《网络安全法》,第二十一条(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
2、《个人信息保护法》,第五十四条个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
(二)行业规定
1、《商业银行信息科技风险管理指引》。
“第二十七条商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成,日志划分为两大类:(一)交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。(二)系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年。”
2、两部委考核《电信网和互联网数据安全评估规范》。
“(五)通用性管理评估规范:日志留存,留存日志文件,明确留存要求,系统查验验证,权限分立设置。安全审计,明确责任部门,系统完整覆盖,审计内容全面,建设审计平台。常见问题举例:未开展数据安全审计工作,未定期形成数据安全审计报告。”
、JR/T—《商业银行应用程序接口安全管理规范》。
本标准规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。
(三)研究报告
多行业数据开放渠道主要依托于OpenAPI这种方式,API作为应用与数据服务的通信接口,应用场景广泛,已经成为攻击者窃取数据的重点攻击对象。近年来发生了很多重量级的API攻击事件,引发了社会各界的广泛