解决方案-审计安全系统有哪些-入门网安记录贴

解决方案-审计安全系统有哪些-入门网安记录贴

或者直接查询某个列：

代码语言：

复制

select dbms_lob.substr(SQLTEXT)  from aud$

视图，感觉和aud$表差不多，但是它的、列是直接显示信息的：

视图，可以查询所有对象跟踪信息：

视图，所得到的数据都是有关logon或者的信息：

，列出grant , ,audit , ,alter 语句的审计跟踪信息：

，可以查询出在aud$等视图中列的含义（如果是将记录定位至操作系统的文件中，则日志文件中也会有类似的列）：

，可以查询出aud等视图中列的含义（如果是将记录定位至操作系统的文件中，则日志文件中可能也会有类似priv

3.2. 操作系统中的记录

sys用户的记录都是存放在操作系统文件中的，普通用户的记录如果设置参数为os、xml、db,，也会存放在文件中。对于而言，可以在事件查看器中的应用程序中进行查看。对于Linux而言，要查看参数，得知存储文件的路径：

路径如下（文件好像是登录1次生成1次）：

代码语言：

复制

[root@centos01 adump]# ll
总用量 2012
-rw-r-----  1 oracle oinstall  932 6月  30 2019 oraclesi_ora_10001_1.aud
-rw-r-----  1 oracle oinstall  721 6月  30 2019 oraclesi_ora_10008_1.aud
-rw-r-----  1 oracle oinstall 1141 6月  30 2019 oraclesi_ora_10115_1.aud
-rw-r-----  1 oracle oinstall  721 6月  30 2019 oraclesi_ora_10127_1.aud
-rw-r-----  1 oracle oinstall  721 6月  30 2019 oraclesi_ora_10136_1.aud
-rw-r-----  1 oracle oinstall  721 6月  30 2019 oraclesi_ora_10149_1.aud
-rw-r-----  1 oracle oinstall  728 7月  16 11:17 oraclesi_ora_10289_1.aud

内容如下段落：

代码语言：

复制

Sat Jul 18 21:11:07 2020 +08:00
LENGTH : '193'
ACTION :[30] 'update test8.testy set no=102 '
DATABASE USER:[3] 'sys'
PRIVILEGE :[6] 'SYSDBA'
CLIENT USER:[2] 'cx'
CLIENT TERMINAL:[15] 'DESKTOP-7TRO2L7'
STATUS:[1] '0'
DBID:[10] '1539943106'

另外，如果设置了值，就要查看它的值，以及查看系统中.conf的内容，判断最后将记录输出到哪个文件中。具体怎么判断，可以把等保测评2.0：安全审计（上）的相关内容看一看。

4. 测评项c

代码语言：

复制

c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

4.1. 审计记录的保护

其实在官方文档中，就建议用户将审计记录存储于操作系统的文件中。因为如果存储在表中，dba用户可以随意删除其中的记录。而存储于文件中，且该文件仅root或专门的用户可以操作的话，则实现了权限隔离，使得记录不会随意受到修改。

如果存储在文件中，则查询该文件的权限设置，是否不允许操作系统中的数据库用户（比如用户）进行修改。如果存储在表中，则要看dba角色、 any table等权限被授予给哪些用户了以及查看参数的值，详情可看等保测评2.0：访问控制（下）的3.6节。

4.2. 审计记录的备份

如果是存储在数据库中，则对数据库进行备份即可。在linux上，一般使用定时任务跑备份脚本，测评时直接查看脚本内容以及是否设置了定时任务：

代码语言：

复制

[root@centos01 adump]# crontab -l
no crontab for root

然后再查看是否真的存在备份的文件。

如果是存储在文件中，同样也是这个方法。或者对方使用了软件、备份一体机等，也是要查看策略以及实际备份的文件是否存在。

另外说一句，如果使用了分布式存储，数据同时存在2个或2个以上的可用副本，这个不叫做备份，应该输入热冗余范畴内。只能说你存在多个副本，某个副本所依赖的硬件出问题了，那其余副本还正常存在，数据没有丢失。

但是如果你删除了某一条数据，则多个副本也同时删除了这一条数据，这条数据就没了。假如你之前进行了备份，那么这条数据就还在，这就是差别。

4.3. 审计记录的留存时间

在等保测评2.0：MySQL安全审计的5.2节中，对于网络安全法中对日志留存时间的要求如何测评，进行过一些个人的猜想。我的个人理解是由于测评项没有作出明确的要求，测评要求中也未进行说明。同时根据最新的高风险项判定指引（5月28日版）的内容，对于日志留存时间仅应用系统以及集中管控中存在高风险项。所以我觉得3级系统的各个设备（服务器、数据库等）的日志留存时间，应该集中在集中管控的测评项中统一描述，不用在每个被测评对象的安全审计控制点的c测评项中进行描述。

这么想的话，逻辑上还算自洽。但是2级系统的的各个设备（服务器、数据库等）的日志留存时间要不要进行测评，就让人疑惑了。

咨询了某位大佬，他的回答如下（文章中的章节指的是最新版的高风险项判定指引）：

有点复杂，其实第一次征求意见时这个问题就提出来了，有两种意见，一种是《网络安全法》要求，不分等级，所以二级也要保存6个月；另一种是《网络安全法》的要求前半句是“网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务”，且对于要保存的日志内容，应该是“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”，并不是所有日志都需要保留6个月，且应该是按照“等保的规定”保存，等保要求中只对三级系统有明确保存时间上的要求（即安全管理中心的“应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求”要求），因此，应该是3级系统上判高风险。最后综合各方意见，做了一个折中的处理：1、对于3级系统，设备日志和应用日志都要至少保存6个月（设备日志在8.1.2章节体现，应用日志在7.2.3.2章节体现）；2、对于2级系统，考虑到应用相关日志相对来说对于时间追溯比较重要，，因此作为强制要求，并对应到“应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。”这条要求里；至于设备，由于其自身存储的能力有限，如果没有日志服务器集中存储，日志保存六个月难度比较大，而恰恰2级并没有集中存储的要求，因此，在这一版的《指引》中暂不明确要求，测评时可以根据实际情况进行判断。

5. 测评项d

代码语言：

复制

d)应对审计进程进行保护，防止未经授权的中断。

从基本层面来说，就是修改与审计相关的参数的权限是否得到控制：

代码语言：

复制

SQL> show parameter audit;
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
audit_file_dest                      string      /oracle/admin/orcl/adump
audit_sys_operations                 boolean     TRUE
audit_syslog_level                   string
audit_trail                          string      NONE

修改参数的语句格式为：

代码语言：

复制

alter system 参数=值 scope=spfile;

所以理论上应该是查看alter 这个系统权限、dba角色的授予情况。另外，这些修改后都是需要重启数据库才能生效的，也只有特权用户、才有相关的权限。所以，还要查看、被授予给了谁。

6. Mysql数据库的身份鉴别

在等保测评2.0：MySQL身份鉴别（下）对身份鉴别控制点c项进行过说明，但是没说全。

代码语言：

复制

c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

其实和一样，Mysql数据库就算不适用SSL协议，也不会做出明文传输口令、口令的hash值这种举动的。Mysql在客户端连接数据库时，也是使用挑战/应答（/）方式进行鉴别的，具体什么是挑战/应答（/）方式请看等保测评2.0：身份鉴别（下）的4.2节。所以具体到测评项的判定而言，默认情况下至少判定为部分符合，根据具体情况再选择是否判定为符合。

具体Mysql的鉴别过程，我就不抓包进行验证了，官网上有相关的说明，网上也有很多文章，有兴趣的可以自己验证下： （官网说文章中的内容已过时，但是没过时的就是找不到……）

~

网络安全学习，我们一起交流

~