數(shù)據(jù)庫(kù)防火墻的相關(guān)介紹
今天學(xué)習(xí)啦小編要跟大家介紹下數(shù)據(jù)庫(kù)防火墻是什么,下面就是學(xué)習(xí)啦小編為大家整理到的資料,請(qǐng)大家認(rèn)真看看!
數(shù)據(jù)庫(kù)防火墻的相關(guān)介紹
數(shù)據(jù)庫(kù)防火墻系統(tǒng),是一款基于數(shù)據(jù)庫(kù)協(xié)議分析與控制技術(shù)的數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)。DBFirewall基于主動(dòng)防御機(jī)制,實(shí)現(xiàn)數(shù)據(jù)庫(kù)的訪問(wèn)行為控制、危險(xiǎn)操作阻斷、可疑行為審計(jì)。
背景
隨著互聯(lián)網(wǎng)技術(shù)和信息技術(shù)的迅速發(fā)展,以數(shù)據(jù)庫(kù)為基礎(chǔ)的信息系統(tǒng)在經(jīng)濟(jì)、金融、醫(yī)療等領(lǐng)域的信息基礎(chǔ)設(shè)施建設(shè)中得到了廣泛的應(yīng)用,越來(lái)越多的數(shù)據(jù)信息被不同組織和機(jī)構(gòu)(例如,統(tǒng)計(jì)部門(mén)、醫(yī)院、保險(xiǎn)公司等)搜集、存儲(chǔ)以及發(fā)布,其中大量信息被用于行業(yè)合作和數(shù)據(jù)共享。但是在新的網(wǎng)絡(luò)環(huán)境中,由于信息的易獲取性,這些包含在數(shù)據(jù)庫(kù)系統(tǒng)中的關(guān)乎國(guó)家安全、商業(yè)或技術(shù)機(jī)密、個(gè)人隱私等涉密信息將面臨更多的安全威脅。當(dāng)前,日益增長(zhǎng)的信息泄露問(wèn)題已然成為影響社會(huì)和諧的一大障礙。
數(shù)據(jù)泄漏事件幾乎覆蓋所有行業(yè),例如:
(1) 金融行業(yè):2012年4月,visa信用卡泄密事件致使150萬(wàn)個(gè)賬戶受影響。
(2) 政府部門(mén):2011年12月,廣東公安廳技術(shù)漏洞致444萬(wàn)出入境數(shù)據(jù)泄漏。
(3) 互聯(lián)網(wǎng):2011年歲末,數(shù)據(jù)泄密信息過(guò)億,其中當(dāng)當(dāng)網(wǎng)1200萬(wàn)用戶信息泄漏;支付寶賬戶泄漏達(dá)1500萬(wàn)到2500萬(wàn);CSDN 600余萬(wàn)用戶信息泄漏。
(4) 電信行業(yè):2011年3月,陜西移動(dòng)1394萬(wàn)用戶信息被盜。
(5) 醫(yī)療行業(yè):2008年深圳4萬(wàn)余名孕婦信息泄漏。
由上述案例可見(jiàn),數(shù)據(jù)泄漏無(wú)處不在,且愈演愈烈。據(jù)Verizon公司的數(shù)據(jù)泄漏調(diào)查報(bào)告統(tǒng)計(jì)顯示:有90%以上的數(shù)據(jù)泄漏是由數(shù)據(jù)庫(kù)被盜引起的。
現(xiàn)有邊界防御安全產(chǎn)品和解決方案均采用被動(dòng)防御技術(shù),無(wú)法從根本上解決各組織數(shù)據(jù)庫(kù)數(shù)據(jù)所面臨的安全威脅和風(fēng)險(xiǎn),解決數(shù)據(jù)庫(kù)數(shù)據(jù)安全需要專(zhuān)用的數(shù)據(jù)庫(kù)安全設(shè)備從根本上解決數(shù)據(jù)安全問(wèn)題。
簡(jiǎn)介
數(shù)據(jù)庫(kù)防火墻技術(shù)是針對(duì)關(guān)系型數(shù)據(jù)庫(kù)保護(hù)需求應(yīng)運(yùn)而生的一種數(shù)據(jù)庫(kù)安全主動(dòng)防御技術(shù),數(shù)據(jù)庫(kù)防火墻部署于應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)之間。用戶必須通過(guò)該系統(tǒng)才能對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)或管理。數(shù)據(jù)庫(kù)防火墻所采用的主動(dòng)防御技術(shù)能夠主動(dòng)實(shí)時(shí)監(jiān)控、識(shí)別、告警、阻擋繞過(guò)企業(yè)網(wǎng)絡(luò)邊界(FireWall、IDS\IPS等)防護(hù)的外部數(shù)據(jù)攻擊、來(lái)自于內(nèi)部的高權(quán)限用戶(DBA、開(kāi)發(fā)人員、第三方外包服務(wù)提供商)的數(shù)據(jù)竊取、破壞、損壞的等,從數(shù)據(jù)庫(kù)SQL語(yǔ)句精細(xì)化控制的技術(shù)層面,提供一種主動(dòng)安全防御措施,并且,結(jié)合獨(dú)立于數(shù)據(jù)庫(kù)的安全訪問(wèn)控制規(guī)則,幫助用戶應(yīng)對(duì)來(lái)自內(nèi)部和外部的數(shù)據(jù)安全威脅。
核心功能
屏蔽直接訪問(wèn)數(shù)據(jù)庫(kù)的通道:數(shù)據(jù)庫(kù)防火墻部署介于數(shù)據(jù)庫(kù)服務(wù)器和應(yīng)用服務(wù)器之間,屏蔽直接訪問(wèn)的通道,防止數(shù)據(jù)庫(kù)隱通道對(duì)數(shù)據(jù)庫(kù)的攻擊。
二次認(rèn)證:基于獨(dú)創(chuàng)的“連接六元組【機(jī)器指紋(不可偽造)、IP地址、MAC地址、用戶、應(yīng)用程序、時(shí)間段】”授權(quán)單位,應(yīng)用程序?qū)?shù)據(jù)庫(kù)的訪問(wèn),必須經(jīng)過(guò)數(shù)據(jù)庫(kù)防火墻和數(shù)據(jù)庫(kù)自身兩層身份認(rèn)證。
攻擊保護(hù):實(shí)時(shí)檢測(cè)用戶對(duì)數(shù)據(jù)庫(kù)進(jìn)行的SQL注入和緩沖區(qū)溢出攻擊。并報(bào)警或者阻止攻擊行為,同時(shí)詳細(xì)的審計(jì)下攻擊操作發(fā)生的時(shí)間、來(lái)源IP、登錄數(shù)據(jù)庫(kù)的用戶名、攻擊代碼等詳細(xì)信息。
連接監(jiān)控:實(shí)時(shí)的監(jiān)控所有到數(shù)據(jù)庫(kù)的連接信息、操作數(shù)、違規(guī)數(shù)等。管理員可以斷開(kāi)指定的連接。
安全審計(jì):系統(tǒng)能夠?qū)徲?jì)對(duì)數(shù)據(jù)庫(kù)服務(wù)器的訪問(wèn)情況。包括用戶名、程序名、IP地址、請(qǐng)求的數(shù)據(jù)庫(kù)、連接建立的時(shí)間、連接斷開(kāi)的時(shí)間、通信量大小、執(zhí)行結(jié)果等等信息。并提供靈活的回放日志查詢分析功能,并可以生存報(bào)表。
審計(jì)探針:本系統(tǒng)在作為數(shù)據(jù)庫(kù)防火墻的同時(shí),還可以作為數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的數(shù)據(jù)獲取引擎,將通信內(nèi)容發(fā)送到審計(jì)系統(tǒng)中。
細(xì)粒度權(quán)限控制:按照SQL操作類(lèi)型包括Select、Insert、Update、Delete,對(duì)象擁有者,及基于表、視圖對(duì)象、列進(jìn)行權(quán)限控制
精準(zhǔn)SQL語(yǔ)法分析:高性能SQL語(yǔ)義分析引擎,對(duì)數(shù)據(jù)庫(kù)的SQL語(yǔ)句操作,進(jìn)行實(shí)時(shí)捕獲、識(shí)別、分類(lèi)
自動(dòng)SQL學(xué)習(xí):基于自學(xué)習(xí)機(jī)制的風(fēng)險(xiǎn)管控模型,主動(dòng)監(jiān)控?cái)?shù)據(jù)庫(kù)活動(dòng),防止未授權(quán)的數(shù)據(jù)庫(kù)訪問(wèn)、SQL注入、權(quán)限或角色升級(jí),以及對(duì)敏感數(shù)據(jù)的非法訪問(wèn)等。
透明部署:無(wú)須改變網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用部署、應(yīng)用程序內(nèi)部邏輯、前端用戶習(xí)慣等
特點(diǎn)
支持橋接、網(wǎng)關(guān)和混合接入方式
基于硬件的BYPASS能力,防止單點(diǎn)失效
多線程技術(shù)和緩存技術(shù),支持高并發(fā)連接
配置管理采用瀏覽器界面,方便學(xué)習(xí)和使用
現(xiàn)有應(yīng)用程序與透明數(shù)據(jù)庫(kù)防火墻之間可以無(wú)縫連接,部署和配置過(guò)程簡(jiǎn)單
可以靈活的對(duì)每個(gè)應(yīng)用程序的訪問(wèn)權(quán)限進(jìn)行配置,可以選擇全部放行、到數(shù)據(jù)庫(kù)級(jí)別、模式級(jí)別、表級(jí)別、字段級(jí)別的權(quán)限控制
支持基于安全等級(jí)標(biāo)記的訪問(wèn)控制策略
可以選擇違規(guī)響應(yīng)策略,審計(jì)、拒絕訪問(wèn)
可以配置審計(jì)的內(nèi)容,對(duì)于違規(guī)等重要的事件,系統(tǒng)進(jìn)行強(qiáng)制審計(jì)。用戶也可以選擇對(duì)常規(guī)操作進(jìn)行審計(jì)
先進(jìn)的查詢功能,并可以使用多個(gè)查詢條件,包括時(shí)間、IP、用戶名、風(fēng)險(xiǎn)等級(jí)等
支持雙機(jī)熱備功能,保障連續(xù)服務(wù)能力
防護(hù)能力
防止外部黑客攻擊威脅:黑客利用Web應(yīng)用漏洞,進(jìn)行SQL注入;或以Web應(yīng)用服務(wù)器為跳板,利用數(shù)據(jù)庫(kù)自身漏洞攻擊和侵入。
防護(hù):通過(guò)虛擬補(bǔ)丁技術(shù)捕獲和阻斷漏洞攻擊行為,通過(guò)SQL注入特征庫(kù)捕獲和阻斷SQL注入行為。
防止內(nèi)部高危操作
威脅:系統(tǒng)維護(hù)人員、外包人員、開(kāi)發(fā)人員等,擁有直接訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限,有意無(wú)意的高危操作對(duì)數(shù)據(jù)造成破壞。
防護(hù):通過(guò)限定更新和刪除影響行、限定無(wú)Where的更新和刪除操作、限定drop、truncate等高危操作避免大規(guī)模損失。
防止敏感數(shù)據(jù)泄漏
威脅:黑客、開(kāi)發(fā)人員可以通過(guò)應(yīng)用批量下載敏感數(shù)據(jù),內(nèi)部維護(hù)人員遠(yuǎn)程或本地批量導(dǎo)出敏感數(shù)據(jù)。
防護(hù):限定數(shù)據(jù)查詢和下載數(shù)量、限定敏感數(shù)據(jù)訪問(wèn)的用戶、地點(diǎn)和時(shí)間。
審計(jì)追蹤非法行為
威脅:業(yè)務(wù)人員在利益誘惑下,通過(guò)業(yè)務(wù)系統(tǒng)提供的功能完成對(duì)敏感信息的訪問(wèn),進(jìn)行信息的售賣(mài)和數(shù)據(jù)篡改。
防護(hù):提供對(duì)所有數(shù)據(jù)訪問(wèn)行為的記錄,對(duì)風(fēng)險(xiǎn)行為進(jìn)行SysLog、郵件、短信等方式的告警,提供事后追蹤分析工具。
數(shù)據(jù)庫(kù)防火墻相關(guān)文章: