“CSDN泄密事件”、“小米用戶賬號信息曝光”����、“Facebook數(shù)據(jù)泄”和“12306網(wǎng)站用戶泄密事件”,“攜程網(wǎng)數(shù)據(jù)庫數(shù)據(jù)惡意刪
除”……觸目驚心的數(shù)據(jù)泄漏事件一件接一件層出不窮�����。由數(shù)據(jù)庫安全原因爆發(fā)的安全問題越來越多��,引起政企事業(yè)單位和社會的極大關(guān)注與反思�����。
當(dāng)前信息化安全時(shí)代��,以數(shù)據(jù)庫為基礎(chǔ)的信息系統(tǒng)在金融�����、保險(xiǎn)�、醫(yī)療、通訊等領(lǐng)域的基礎(chǔ)設(shè)施建設(shè)中都得到了非常廣泛的應(yīng)用����。在這一新的網(wǎng)絡(luò)環(huán)境下,因
為信息的易獲取性�����,包含在數(shù)據(jù)庫系統(tǒng)中的關(guān)乎商業(yè)機(jī)密��、個(gè)人隱私等涉密信息將面臨更多的安全威脅��。想要保證信息系統(tǒng)的安全����,就應(yīng)該先防御信息系統(tǒng)的服務(wù)器
漏洞、操作系統(tǒng)漏洞和網(wǎng)絡(luò)傳輸入侵?jǐn)?shù)據(jù)庫����。其中,對于網(wǎng)絡(luò)非法入侵?jǐn)?shù)據(jù)庫���,就可以通過數(shù)據(jù)庫防火墻來防御�����。
數(shù)據(jù)庫防火墻作為信息系統(tǒng)安全體系的基礎(chǔ)和核心控制設(shè)備��,貫穿于受控網(wǎng)絡(luò)通信主干線�����,它對通過受控干線的任何通信行為進(jìn)行安全處理���,同時(shí)也承擔(dān)著繁
重的通信任務(wù)�����。由于傳統(tǒng)邊界防御安全產(chǎn)品和解決方案采用的都是被動(dòng)防御的技術(shù)���,不能夠從根本上解決數(shù)據(jù)庫數(shù)據(jù)所面臨的安全威脅和風(fēng)險(xiǎn),解決數(shù)據(jù)庫安全需要專用的數(shù)據(jù)庫安全設(shè)備從根本上解決數(shù)據(jù)安全問題����。所以,目前很多企業(yè)在選擇安全產(chǎn)品的時(shí)候���,首選的也是數(shù)據(jù)庫防火墻�。
數(shù)據(jù)庫防火墻與傳統(tǒng)安全防護(hù)產(chǎn)品的區(qū)別
傳統(tǒng)防護(hù)模式IDS/IPS的局限
IDS和IPS都是基于IP的防護(hù)手段�����。IDS核心功能在于發(fā)現(xiàn)異常行為���,而IPS與之對應(yīng)是阻斷異常行為�。無論是IDS還是IPS,核心的部分在于識別入侵�。
主流IDS/IPS產(chǎn)品識別的依據(jù)通常是特征庫�。一些IDS/IPS廠商試圖在其產(chǎn)品中增加數(shù)據(jù)庫攻擊特征指
紋,并聲稱能保護(hù)數(shù)據(jù)庫�����。但是事實(shí)上這些通用的IDS/IPS無法為數(shù)據(jù)庫提供真正的保護(hù)�。主要原因在于數(shù)據(jù)庫服務(wù)器與其他類型服務(wù)器不同,是高度復(fù)雜的
服務(wù)器�,采用豐富的交互式語言和復(fù)雜協(xié)議。IDS/IPS如果試圖采用同樣機(jī)制將傳統(tǒng)的處理方法照搬到數(shù)據(jù)庫����,顯然是行不通的。
對于數(shù)據(jù)庫攻擊來說���,攻擊特征是非常復(fù)雜和千變?nèi)f化的���。比如SQL攻擊,一般的文檔會舉例 OR’1’=’1’,一些聲稱擁有數(shù)據(jù)庫攻擊檢測能力的
IDS/IPS其實(shí)就是在Payload中尋找’1’=’1’的字符串����,但是’2’=’2’呢��?�����。�。��。這個(gè)列表可以說是無止盡的�����,也就是說IDS
/IPSwu無法構(gòu)建真正的能夠涵蓋數(shù)據(jù)庫攻擊的特征庫����。
剝離傳統(tǒng)的IDS和IPS模式,我們反觀一下之前業(yè)界常用的web防火墻和網(wǎng)絡(luò)防火墻��,和本文所提倡的數(shù)據(jù)庫防火墻��,存在哪些區(qū)別
Web防火墻與網(wǎng)絡(luò)防火墻
數(shù)據(jù)庫防火墻與傳統(tǒng)的防火墻的主要區(qū)別就是從各自發(fā)揮的作用來看���,一般有下述幾個(gè)區(qū)別��。
1�����、網(wǎng)絡(luò)層防火墻一般都是從網(wǎng)絡(luò)層進(jìn)行防護(hù)�����。
2�、WEB防火墻一般性都是對應(yīng)用層的web協(xié)議解析進(jìn)行防護(hù)��,注重對WEB服務(wù)器的各種非法操作行為�。
3、數(shù)據(jù)庫防火墻主要是通過對應(yīng)用層的數(shù)據(jù)庫通訊協(xié)議解析進(jìn)行防護(hù)�����,來控制各種數(shù)據(jù)庫服務(wù)器的各種非法行為����。
了解完數(shù)據(jù)庫防火墻與傳統(tǒng)防火墻的區(qū)別后,我們再了解下數(shù)據(jù)庫防火墻所帶給我們的好處��。
1����、通過系統(tǒng)自身的補(bǔ)丁���、SQL注入防護(hù)能力,能夠防止外部黑客攻擊���。
2���、數(shù)據(jù)庫防火墻可以對內(nèi)部人員、第三方開發(fā)人員在敏感業(yè)務(wù)數(shù)據(jù)上的批量更新�、高危的數(shù)據(jù)刪除、表結(jié)構(gòu)刪除等行為����,可以進(jìn)行實(shí)時(shí)的報(bào)警,防止內(nèi)部人員的高風(fēng)險(xiǎn)操作�;
3、針對內(nèi)部人員或黑客對于敏感數(shù)據(jù)的批量下載�����、查詢的行為進(jìn)行較為嚴(yán)格的控制�����。
4、對數(shù)據(jù)庫的操作行為進(jìn)行多角度的分析�,來形成各種形式多種觀察角度的審計(jì)報(bào)表,提供給客戶進(jìn)行分析�����。
主流防火墻產(chǎn)品解析
上文我們對數(shù)據(jù)庫防火墻產(chǎn)品產(chǎn)生的必要性進(jìn)行了必要性論述����,下面我們就當(dāng)前市場上幾款主流防火墻產(chǎn)注意做產(chǎn)品解析
Oracle防火墻
Oracle在原來Secerno產(chǎn)品的基礎(chǔ)之上正式推出了Oracle Database
Firewall。該產(chǎn)品致力于防范數(shù)據(jù)庫的非法訪問和SQL注入攻擊等安全問題����,旨在全面加強(qiáng)數(shù)據(jù)庫安全性���。Oracle防火墻部署在應(yīng)用和數(shù)據(jù)庫之間
設(shè)置的�、用于加強(qiáng)數(shù)據(jù)庫訪問控制����,對非法的訪問或攻擊進(jìn)行阻,是一款純軟件的防火墻系統(tǒng)�。實(shí)現(xiàn)機(jī)制是從源頭保護(hù)數(shù)據(jù),通過阻止和記錄,審計(jì)和監(jiān)測,訪問控
制,加密和屏蔽等方式�,以避免從應(yīng)用中非法竊取信息,避免通過盜用身份非法竊取數(shù)據(jù)���。
Oracle-DBF的策略管理工具構(gòu)建于基于語法的 SQL 分析之上,可以針對給定數(shù)據(jù)庫定義經(jīng)過認(rèn)可的 SQL
語句白名單�,還可以定義主動(dòng)安全模型。當(dāng)
Oracle防火墻策略管理使用有關(guān)網(wǎng)絡(luò)的多種因素時(shí)���,就可以構(gòu)建功能強(qiáng)大的細(xì)粒度策略���,從而確定生產(chǎn)環(huán)境發(fā)生的更改的時(shí)間、地點(diǎn)和方式����。這種方式有助于
識別對應(yīng)用程序的SQL注入攻擊,并且在這些攻擊接近數(shù)據(jù)庫之前就將其阻止����。
McAfee防火墻
McAfeeFirewall是第一個(gè)使用全球信譽(yù)技術(shù)的防火墻解決方案,包括基于信譽(yù)的攔截和地理位置功能���,以便在不需要的流量到達(dá)網(wǎng)絡(luò)之前將其
過濾 —在發(fā)生攻擊之前將其阻止����。McAfeeFirewall
Enterprise可幫助安全管理員發(fā)現(xiàn)和識別數(shù)千種應(yīng)用并執(zhí)行相應(yīng)的安全策略,為其提供額外的控制功能���。能夠?qū)崟r(shí)確定防火墻規(guī)則以及規(guī)則變化對應(yīng)用可
用性��、使用和安全性所造成的影響���。
McAfee處理數(shù)據(jù)庫防御功能外,針對數(shù)據(jù)庫審計(jì)功能也提出了一站式集中解決方案����,可以集中處理企多個(gè)McAfee安全設(shè)備的日志和審計(jì)數(shù)據(jù),其可擴(kuò)展
性使其能應(yīng)用于大型企業(yè)環(huán)境��。其實(shí)時(shí)的收集���,監(jiān)控��,關(guān)聯(lián)并發(fā)出威脅警告,以便能夠果斷的采取防范措施�����。根據(jù)安全影響程度確定可操作信息的優(yōu)先級���,從而在威
脅擴(kuò)散或明信息泄露之前迅速采取補(bǔ)救措施�����。
McAfeeFirewall現(xiàn)在既可用于傳統(tǒng)設(shè)備��,也可用于新的虛擬化硬件設(shè)備�,支持用戶在其硬件虛擬環(huán)境中快速部署防護(hù)功能。
McAfeeFirewall產(chǎn)品功能安華金和數(shù)據(jù)庫防火墻
安華金和數(shù)據(jù)庫防火墻(DBFirewall)���,是國內(nèi)首款專業(yè)數(shù)據(jù)庫防火墻產(chǎn)品�,是一款集數(shù)據(jù)庫IPS���、
IDS和審計(jì)功能為一體的綜合安全產(chǎn)��。從功能上即兼容了國際oracle數(shù)據(jù)庫防火和McAfee防火墻產(chǎn)品的諸多優(yōu)勢���,同時(shí)適用性上,不僅支持國際主流
數(shù)據(jù)庫����,也增加了對國內(nèi)數(shù)據(jù)庫達(dá)夢、GBase��、金倉三大品牌國產(chǎn)數(shù)據(jù)庫的支持。
DBFirewall通過SQL協(xié)議分析�,根據(jù)預(yù)定義的禁止和許可策略讓合法的SQL操作通過,阻斷非法違規(guī)操作���,形成數(shù)據(jù)庫的外圍防御圈,實(shí)現(xiàn)
SQL危險(xiǎn)操作的主動(dòng)預(yù)防��、實(shí)時(shí)審計(jì)����。并且面對來自于外部的入侵行為����,提供SQL注入禁止和數(shù)據(jù)庫虛擬補(bǔ)丁包功能(oracle數(shù)據(jù)庫防火墻所不具備);
通過虛擬補(bǔ)丁包��,數(shù)據(jù)庫系統(tǒng)不用升級���、打補(bǔ)丁��,即可完成對主要數(shù)據(jù)庫漏洞的防控�����。
DBFirewall客戶價(jià)值體現(xiàn)DBFirewall通過學(xué)習(xí)模式以及SQL語法分析構(gòu)建動(dòng)態(tài)模型,形成SQL白名單和SQL黑名單,對符合SQL白名單語句放行�����,對符合SQL黑名單特征語句阻斷�。對于數(shù)據(jù)庫用戶提供比DBMS系統(tǒng)更詳細(xì)的虛擬權(quán)限控制。
控制策略包括:用戶+操作+對象+時(shí)間��。在控制操作中增加了Update Nowhere���、delete Nowhere等高危操作���;控制規(guī)則中增加返回行數(shù)和影響行數(shù)控制。
從以上三種防火墻系統(tǒng)的防護(hù)能力上加以細(xì)致分析����,我們不難看出,數(shù)據(jù)庫防火墻產(chǎn)品主要功能在于對數(shù)據(jù)庫危險(xiǎn)操作的阻斷或者攔截���,對數(shù)據(jù)庫風(fēng)險(xiǎn)行為的
預(yù)定義防護(hù)����。數(shù)據(jù)庫防火墻主要起到DB外層防護(hù)圈的作用���,主要會出現(xiàn)在應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器之間的應(yīng)用側(cè)場景��,維護(hù)人員與數(shù)據(jù)庫服務(wù)器之間的維護(hù)側(cè)場
景�����,還有就是兩種場景混合的情況��。
Oracle防火墻和McAfee防火墻產(chǎn)品屬于國際主流數(shù)據(jù)庫防火墻產(chǎn)品�����,同類產(chǎn)品中執(zhí)牛耳者��。具有豐富的數(shù)據(jù)庫防護(hù)經(jīng)驗(yàn)與經(jīng)典的執(zhí)行案例�����。但是
不符合國保局對申報(bào)安全產(chǎn)品的要求����,相對比,安華金和數(shù)據(jù)庫防火墻產(chǎn)品更符合國內(nèi)數(shù)據(jù)庫防護(hù)要求及國家安全標(biāo)準(zhǔn)�。更具有“中國式”數(shù)據(jù)庫安全防護(hù)功能特
性。
產(chǎn)品咨詢:4000 258 365 
