加固數(shù)據(jù)庫安全要從三個(gè)方面進(jìn)行�,嚴(yán)格限制弱口令、及時(shí)排出配置問題��、定期升級補(bǔ)丁和對第三方惡意SQL語句進(jìn)行審查。從時(shí)間點(diǎn)上可以劃分為三個(gè)階段:1.入侵事前檢查防護(hù)�。2.入侵事中阻斷防御。3.入侵事后追蹤審計(jì)���,減小損失�。
1.入侵事前檢查防護(hù)
事前的重點(diǎn)是檢查��。在遭遇外部入侵前�����,我們需要定期對整個(gè)網(wǎng)絡(luò)環(huán)境進(jìn)行弱點(diǎn)掃描���。網(wǎng)絡(luò)中任何一點(diǎn)的漏洞都可能導(dǎo)致最后的數(shù)據(jù)泄露�����?�?梢远ㄆ谡垖H藢φ麄€(gè)網(wǎng)絡(luò)做滲透測試���,同時(shí)可以通過Web安全掃描器、數(shù)據(jù)庫漏洞掃描器等相關(guān)產(chǎn)品對整個(gè)環(huán)境進(jìn)行安全檢查�。尤其要注意掃描器需要具備掃描后門�����、惡意SQL痕跡的能力��。
2.入侵事中阻斷防御
過程中防御的重點(diǎn)是準(zhǔn)確的判斷出哪些語句或行為可能會引發(fā)入侵動作����。正如推薦在Web前端部署WAF來解決大部分針對Web的入侵行為�。一樣我們推薦在數(shù)據(jù)庫和應(yīng)用之間串聯(lián)數(shù)據(jù)庫防火墻���。數(shù)據(jù)庫防火墻至少要具備三點(diǎn)防護(hù)能力:1.從數(shù)據(jù)庫層防護(hù)和阻斷SQL注入行為�。2.具備虛擬補(bǔ)丁功能���,給不打補(bǔ)丁的數(shù)據(jù)庫帶來和打補(bǔ)丁一樣的安全�。3.對第三方惡意組件中的惡意語句�����,有解密并阻斷效果�����。
1.數(shù)據(jù)庫防火墻也要有SQL注入防護(hù)能力,是因?yàn)閃AF防護(hù)SQL注入存在一定的局限性����。WAF在于無法對WEB發(fā)給數(shù)據(jù)庫的SQL語句進(jìn)行協(xié)議分析、無法進(jìn)行語句還原��,只能通過正則匹配來遍歷每種情況���。而數(shù)據(jù)庫防火墻則恰好彌補(bǔ)了WAF的技術(shù)路線缺陷����。數(shù)據(jù)庫防火墻的防護(hù)策略��、手段都是基于SQL協(xié)議解析而來����。數(shù)據(jù)庫防火墻在防止SQL注入上徹底的解決了WAF以犧牲性能為代價(jià)的方式。相信如果數(shù)據(jù)庫防火墻和WAF配合使用會使您的數(shù)據(jù)更加安全�。
2.在很多實(shí)際生產(chǎn)場景中,由于穩(wěn)定性的考慮�,數(shù)據(jù)庫是不會進(jìn)行升級或打補(bǔ)丁。數(shù)據(jù)庫的安全完全依賴于整體環(huán)境的安全���。一旦環(huán)境被打開缺口(植入木馬等)數(shù)據(jù)庫在漏洞攻擊面前脆弱不堪��。虛擬補(bǔ)丁正是為了解決為了穩(wěn)定而無法打補(bǔ)丁的數(shù)據(jù)庫的安全問題����。
3.數(shù)據(jù)庫防火墻不單可以對sql層的攻擊進(jìn)行有效的防護(hù),更可以檢查第三方插件訪問數(shù)據(jù)庫執(zhí)行的所有sql語句塊����。即便是采用了加密手段(數(shù)據(jù)庫存儲過程加密是固定的算法),數(shù)據(jù)庫防火墻也具備自動解密����,嚴(yán)格審查SQL塊內(nèi)容的功能。確保惡意sql語句不會有機(jī)可乘�。
對數(shù)據(jù)密級要求比較高的企業(yè)�,可以通過數(shù)據(jù)加密軟件對數(shù)據(jù)庫中最重要的數(shù)據(jù)進(jìn)行加密。這樣即使黑客拿走了數(shù)據(jù)庫中的部分?jǐn)?shù)據(jù)����,也只是拿到了密文。數(shù)據(jù)庫加密技術(shù)利用復(fù)雜的算法可以保證在一定時(shí)間內(nèi)黑客是無法破譯出明文內(nèi)容�。
3.入侵事后減小損失防御
通過對用戶訪問數(shù)據(jù)庫行為的記錄、審計(jì)分析����,幫助用戶事后進(jìn)行數(shù)據(jù)泄密行為的追根溯源���,提高數(shù)據(jù)資產(chǎn)安全。
產(chǎn)品咨詢:4000 258 365 
