資料庫防火牆的相關介紹
今天小編要跟大家介紹下資料庫防火牆是什麼,下面就是小編為大家整理到的資料,請大家認真看看!
資料庫防火牆系統,是一款基於資料庫協議分析與控制技術的資料庫安全防護系統。DBFirewall基於主動防禦機制,實現資料庫的訪問行為控制、危險操作阻斷、可疑行為審計。
背景
隨著網際網路技術和資訊科技的迅速發展,以資料庫為基礎的資訊系統在經濟、金融、醫療等領域的資訊基礎設施建設中得到了廣泛的應用,越來越多的資料資訊被不同組織和機構***例如,統計部門、醫院、保險公司等***蒐集、儲存以及釋出,其中大量資訊被用於行業合作和資料共享。但是在新的網路環境中,由於資訊的易獲取性,這些包含在資料庫系統中的關乎國家安全、商業或技術機密、個人隱私等涉密資訊將面臨更多的安全威脅。當前,日益增長的資訊洩露問題已然成為影響社會和諧的一大障礙。
資料洩漏事件幾乎覆蓋所有行業,例如:
***1*** 金融行業:2012年4月,visa信用卡洩密事件致使150萬個賬戶受影響。
***2*** 政府部門:2011年12月,廣東公安廳技術漏洞致444萬出入境資料洩漏。
***3*** 網際網路:2011年歲末,資料洩密資訊過億,其中噹噹網1200萬用戶資訊洩漏;支付寶賬戶洩漏達1500萬到2500萬;CSDN 600餘萬用戶資訊洩漏。
***4*** 電信行業:2011年3月,陝西移動1394萬用戶資訊被盜。
***5*** 醫療行業:2008年深圳4萬餘名孕婦資訊洩漏。
由上述案例可見,資料洩漏無處不在,且愈演愈烈。據Verizon公司的資料洩漏調查報告統計顯示:有90%以上的資料洩漏是由資料庫被盜引起的。
現有邊界防禦安全產品和解決方案均採用被動防禦技術,無法從根本上解決各組織資料庫資料所面臨的安全威脅和風險,解決資料庫資料安全需要專用的資料庫安全裝置從根本上解決資料安全問題。
簡介
資料庫防火牆技術是針對關係型資料庫保護需求應運而生的一種資料庫安全主動防禦技術,資料庫防火牆部署於應用伺服器和資料庫之間。使用者必須通過該系統才能對資料庫進行訪問或管理。資料庫防火牆所採用的主動防禦技術能夠主動實時監控、識別、告警、阻擋繞過企業網路邊界***FireWall、IDS\IPS等***防護的外部資料攻擊、來自於內部的高許可權使用者***DBA、開發人員、第三方外包服務提供商***的資料竊取、破壞、損壞的等,從資料庫SQL語句精細化控制的技術層面,提供一種主動安全防禦措施,並且,結合獨立於資料庫的安全訪問控制規則,幫助使用者應對來自內部和外部的資料安全威脅。
核心功能
遮蔽直接訪問資料庫的通道:資料庫防火牆部署介於資料庫伺服器和應用伺服器之間,遮蔽直接訪問的通道,防止資料庫隱通道對資料庫的攻擊。
二次認證:基於獨創的“連線六元組【機器指紋***不可偽造***、IP地址、MAC地址、使用者、應用程式、時間段】”授權單位,應用程式對資料庫的訪問,必須經過資料庫防火牆和資料庫自身兩層身份認證。
攻擊保護:實時檢測使用者對資料庫進行的SQL注入和緩衝區溢位攻擊。並報警或者阻止攻擊行為,同時詳細的審計下攻擊操作發生的時間、來源IP、登入資料庫的使用者名稱、攻擊程式碼等詳細資訊。
連線監控:實時的監控所有到資料庫的連線資訊、運算元、違規數等。管理員可以斷開指定的連線。
安全審計:系統能夠審計對資料庫伺服器的訪問情況。包括使用者名稱、程式名、IP地址、請求的資料庫、連線建立的時間、連線斷開的時間、通訊量大小、執行結果等等資訊。並提供靈活的回放日誌查詢分析功能,並可以生存報表。
審計探針:本系統在作為資料庫防火牆的同時,還可以作為資料庫審計系統的資料獲取引擎,將通訊內容傳送到審計系統中。
細粒度許可權控制:按照SQL操作型別包括Select、Insert、Update、Delete,物件擁有者,及基於表、檢視物件、列進行許可權控制
精準SQL語法分析:高效能SQL語義分析引擎,對資料庫的SQL語句操作,進行實時捕獲、識別、分類
自動SQL學習:基於自學習機制的風險管控模型,主動監控資料庫活動,防止未授權的資料庫訪問、SQL注入、許可權或角色升級,以及對敏感資料的非法訪問等。
透明部署:無須改變網路結構、應用部署、應用程式內部邏輯、前端使用者習慣等
特點
支援橋接、閘道器和混合接入方式
基於硬體的BYPASS能力,防止單點失效
多執行緒技術和快取技術,支援高併發連線
配置管理採用瀏覽器介面,方便學習和使用
現有應用程式與透明資料庫防火牆之間可以無縫連線,部署和配置過程簡單
可以靈活的對每個應用程式的訪問許可權進行配置,可以選擇全部放行、到資料庫級別、模式級別、表級別、欄位級別的許可權控制
支援基於安全等級標記的訪問控制策略
可以選擇違規響應策略,審計、拒絕訪問
可以配置審計的內容,對於違規等重要的事件,系統進行強制審計。使用者也可以選擇對常規操作進行審計
先進的查詢功能,並可以使用多個查詢條件,包括時間、IP、使用者名稱、風險等級等
支援雙機熱備功能,保障連續服務能力
防護能力
防止外部黑客攻擊威脅:黑客利用Web應用漏洞,進行SQL注入;或以Web應用伺服器為跳板,利用資料庫自身漏洞攻擊和侵入。
防護:通過虛擬補丁技術捕獲和阻斷漏洞攻擊行為,通過SQL注入特徵庫捕獲和阻斷SQL注入行為。
防止內部高危操作
威脅:系統維護人員、外包人員、開發人員等,擁有直接訪問資料庫的許可權,有意無意的高危操作對資料造成破壞。
防護:通過限定更新和刪除影響行、限定無Where的更新和刪除操作、限定drop、truncate等高危操作避免大規模損失。
防止敏感資料洩漏
威脅:黑客、開發人員可以通過應用批量下載敏感資料,內部維護人員遠端或本地批量匯出敏感資料。
防護:限定資料查詢和下載數量、限定敏感資料訪問的使用者、地點和時間。
審計追蹤非法行為
威脅:業務人員在利益誘惑下,通過業務系統提供的功能完成對敏感資訊的訪問,進行資訊的售賣和資料篡改。
防護:提供對所有資料訪問行為的記錄,對風險行為進行SysLog、郵件、簡訊等方式的告警,提供事後追蹤分析工具。