“CSDN泄密事件”�、“小米用戶賬號信息曝光”、“Facebook數(shù)據(jù)泄”和“12306網(wǎng)站用戶泄密事件”�,“攜程網(wǎng)數(shù)據(jù)庫數(shù)據(jù)惡意刪
除”……觸目驚心的數(shù)據(jù)泄漏事件一件接一件層出不窮。由數(shù)據(jù)庫安全原因爆發(fā)的安全問題越來越多�,引起政企事業(yè)單位和社會的極大關(guān)注與反思。
當前信息化安全時代���,以數(shù)據(jù)庫為基礎(chǔ)的信息系統(tǒng)在金融�、保險����、醫(yī)療、通訊等領(lǐng)域的基礎(chǔ)設施建設中都得到了非常廣泛的應用����。在這一新的網(wǎng)絡環(huán)境下����,因
為信息的易獲取性����,包含在數(shù)據(jù)庫系統(tǒng)中的關(guān)乎商業(yè)機密、個人隱私等涉密信息將面臨更多的安全威脅���。想要保證信息系統(tǒng)的安全�����,就應該先防御信息系統(tǒng)的服務器
漏洞����、操作系統(tǒng)漏洞和網(wǎng)絡傳輸入侵數(shù)據(jù)庫�。其中���,對于網(wǎng)絡非法入侵數(shù)據(jù)庫�,就可以通過數(shù)據(jù)庫防火墻來防御�����。
數(shù)據(jù)庫防火墻作為信息系統(tǒng)安全體系的基礎(chǔ)和核心控制設備,貫穿于受控網(wǎng)絡通信主干線����,它對通過受控干線的任何通信行為進行安全處理,同時也承擔著繁
重的通信任務�。由于傳統(tǒng)邊界防御安全產(chǎn)品和解決方案采用的都是被動防御的技術(shù),不能夠從根本上解決數(shù)據(jù)庫數(shù)據(jù)所面臨的安全威脅和風險�����,解決數(shù)據(jù)庫安全需要專用的數(shù)據(jù)庫安全設備從根本上解決數(shù)據(jù)安全問題��。所以��,目前很多企業(yè)在選擇安全產(chǎn)品的時候����,首選的也是數(shù)據(jù)庫防火墻。
數(shù)據(jù)庫防火墻與傳統(tǒng)安全防護產(chǎn)品的區(qū)別
傳統(tǒng)防護模式IDS/IPS的局限
IDS和IPS都是基于IP的防護手段�����。IDS核心功能在于發(fā)現(xiàn)異常行為��,而IPS與之對應是阻斷異常行為。無論是IDS還是IPS���,核心的部分在于識別入侵�。
主流IDS/IPS產(chǎn)品識別的依據(jù)通常是特征庫�����。一些IDS/IPS廠商試圖在其產(chǎn)品中增加數(shù)據(jù)庫攻擊特征指
紋���,并聲稱能保護數(shù)據(jù)庫��。但是事實上這些通用的IDS/IPS無法為數(shù)據(jù)庫提供真正的保護��。主要原因在于數(shù)據(jù)庫服務器與其他類型服務器不同��,是高度復雜的
服務器�����,采用豐富的交互式語言和復雜協(xié)議�。IDS/IPS如果試圖采用同樣機制將傳統(tǒng)的處理方法照搬到數(shù)據(jù)庫�,顯然是行不通的。
對于數(shù)據(jù)庫攻擊來說�,攻擊特征是非常復雜和千變?nèi)f化的。比如SQL攻擊��,一般的文檔會舉例 OR’1’=’1’,一些聲稱擁有數(shù)據(jù)庫攻擊檢測能力的
IDS/IPS其實就是在Payload中尋找’1’=’1’的字符串�,但是’2’=’2’呢?���。����。��。這個列表可以說是無止盡的�,也就是說IDS
/IPSwu無法構(gòu)建真正的能夠涵蓋數(shù)據(jù)庫攻擊的特征庫。
剝離傳統(tǒng)的IDS和IPS模式��,我們反觀一下之前業(yè)界常用的web防火墻和網(wǎng)絡防火墻���,和本文所提倡的數(shù)據(jù)庫防火墻����,存在哪些區(qū)別
Web防火墻與網(wǎng)絡防火墻
數(shù)據(jù)庫防火墻與傳統(tǒng)的防火墻的主要區(qū)別就是從各自發(fā)揮的作用來看����,一般有下述幾個區(qū)別��。
1���、網(wǎng)絡層防火墻一般都是從網(wǎng)絡層進行防護。
2���、WEB防火墻一般性都是對應用層的web協(xié)議解析進行防護��,注重對WEB服務器的各種非法操作行為���。
3、數(shù)據(jù)庫防火墻主要是通過對應用層的數(shù)據(jù)庫通訊協(xié)議解析進行防護�����,來控制各種數(shù)據(jù)庫服務器的各種非法行為�����。
了解完數(shù)據(jù)庫防火墻與傳統(tǒng)防火墻的區(qū)別后���,我們再了解下數(shù)據(jù)庫防火墻所帶給我們的好處���。
1����、通過系統(tǒng)自身的補丁��、SQL注入防護能力��,能夠防止外部黑客攻擊����。
2����、數(shù)據(jù)庫防火墻可以對內(nèi)部人員、第三方開發(fā)人員在敏感業(yè)務數(shù)據(jù)上的批量更新�����、高危的數(shù)據(jù)刪除�、表結(jié)構(gòu)刪除等行為,可以進行實時的報警��,防止內(nèi)部人員的高風險操作����;
3����、針對內(nèi)部人員或黑客對于敏感數(shù)據(jù)的批量下載����、查詢的行為進行較為嚴格的控制。
4����、對數(shù)據(jù)庫的操作行為進行多角度的分析,來形成各種形式多種觀察角度的審計報表����,提供給客戶進行分析。
主流防火墻產(chǎn)品解析
上文我們對數(shù)據(jù)庫防火墻產(chǎn)品產(chǎn)生的必要性進行了必要性論述����,下面我們就當前市場上幾款主流防火墻產(chǎn)注意做產(chǎn)品解析
Oracle防火墻
Oracle在原來Secerno產(chǎn)品的基礎(chǔ)之上正式推出了Oracle Database
Firewall。該產(chǎn)品致力于防范數(shù)據(jù)庫的非法訪問和SQL注入攻擊等安全問題��,旨在全面加強數(shù)據(jù)庫安全性���。Oracle防火墻部署在應用和數(shù)據(jù)庫之間
設置的���、用于加強數(shù)據(jù)庫訪問控制��,對非法的訪問或攻擊進行阻���,是一款純軟件的防火墻系統(tǒng)。實現(xiàn)機制是從源頭保護數(shù)據(jù)�,通過阻止和記錄,審計和監(jiān)測,訪問控
制,加密和屏蔽等方式����,以避免從應用中非法竊取信息,避免通過盜用身份非法竊取數(shù)據(jù)。
Oracle-DBF的策略管理工具構(gòu)建于基于語法的 SQL 分析之上����,可以針對給定數(shù)據(jù)庫定義經(jīng)過認可的 SQL
語句白名單,還可以定義主動安全模型�。當
Oracle防火墻策略管理使用有關(guān)網(wǎng)絡的多種因素時,就可以構(gòu)建功能強大的細粒度策略�,從而確定生產(chǎn)環(huán)境發(fā)生的更改的時間、地點和方式�。這種方式有助于
識別對應用程序的SQL注入攻擊,并且在這些攻擊接近數(shù)據(jù)庫之前就將其阻止�。
McAfee防火墻
McAfeeFirewall是第一個使用全球信譽技術(shù)的防火墻解決方案,包括基于信譽的攔截和地理位置功能�,以便在不需要的流量到達網(wǎng)絡之前將其
過濾 —在發(fā)生攻擊之前將其阻止�����。McAfeeFirewall
Enterprise可幫助安全管理員發(fā)現(xiàn)和識別數(shù)千種應用并執(zhí)行相應的安全策略��,為其提供額外的控制功能�。能夠?qū)崟r確定防火墻規(guī)則以及規(guī)則變化對應用可
用性���、使用和安全性所造成的影響����。
McAfee處理數(shù)據(jù)庫防御功能外�����,針對數(shù)據(jù)庫審計功能也提出了一站式集中解決方案�����,可以集中處理企多個McAfee安全設備的日志和審計數(shù)據(jù)�����,其可擴展
性使其能應用于大型企業(yè)環(huán)境���。其實時的收集��,監(jiān)控�����,關(guān)聯(lián)并發(fā)出威脅警告�����,以便能夠果斷的采取防范措施�。根據(jù)安全影響程度確定可操作信息的優(yōu)先級,從而在威
脅擴散或明信息泄露之前迅速采取補救措施���。
McAfeeFirewall現(xiàn)在既可用于傳統(tǒng)設備,也可用于新的虛擬化硬件設備�����,支持用戶在其硬件虛擬環(huán)境中快速部署防護功能�。
McAfeeFirewall產(chǎn)品功能安華金和數(shù)據(jù)庫防火墻
安華金和數(shù)據(jù)庫防火墻(DBFirewall),是國內(nèi)首款專業(yè)數(shù)據(jù)庫防火墻產(chǎn)品���,是一款集數(shù)據(jù)庫IPS�����、
IDS和審計功能為一體的綜合安全產(chǎn)����。從功能上即兼容了國際oracle數(shù)據(jù)庫防火和McAfee防火墻產(chǎn)品的諸多優(yōu)勢,同時適用性上��,不僅支持國際主流
數(shù)據(jù)庫���,也增加了對國內(nèi)數(shù)據(jù)庫達夢����、GBase�、金倉三大品牌國產(chǎn)數(shù)據(jù)庫的支持。
DBFirewall通過SQL協(xié)議分析�����,根據(jù)預定義的禁止和許可策略讓合法的SQL操作通過�,阻斷非法違規(guī)操作,形成數(shù)據(jù)庫的外圍防御圈,實現(xiàn)
SQL危險操作的主動預防�、實時審計。并且面對來自于外部的入侵行為���,提供SQL注入禁止和數(shù)據(jù)庫虛擬補丁包功能(oracle數(shù)據(jù)庫防火墻所不具備)�;
通過虛擬補丁包,數(shù)據(jù)庫系統(tǒng)不用升級�����、打補丁����,即可完成對主要數(shù)據(jù)庫漏洞的防控。
DBFirewall客戶價值體現(xiàn)DBFirewall通過學習模式以及SQL語法分析構(gòu)建動態(tài)模型��,形成SQL白名單和SQL黑名單����,對符合SQL白名單語句放行,對符合SQL黑名單特征語句阻斷���。對于數(shù)據(jù)庫用戶提供比DBMS系統(tǒng)更詳細的虛擬權(quán)限控制。
控制策略包括:用戶+操作+對象+時間�。在控制操作中增加了Update Nowhere、delete Nowhere等高危操作�����;控制規(guī)則中增加返回行數(shù)和影響行數(shù)控制。
從以上三種防火墻系統(tǒng)的防護能力上加以細致分析���,我們不難看出��,數(shù)據(jù)庫防火墻產(chǎn)品主要功能在于對數(shù)據(jù)庫危險操作的阻斷或者攔截����,對數(shù)據(jù)庫風險行為的
預定義防護�。數(shù)據(jù)庫防火墻主要起到DB外層防護圈的作用,主要會出現(xiàn)在應用服務器與數(shù)據(jù)庫服務器之間的應用側(cè)場景�,維護人員與數(shù)據(jù)庫服務器之間的維護側(cè)場
景,還有就是兩種場景混合的情況��。
Oracle防火墻和McAfee防火墻產(chǎn)品屬于國際主流數(shù)據(jù)庫防火墻產(chǎn)品�����,同類產(chǎn)品中執(zhí)牛耳者��。具有豐富的數(shù)據(jù)庫防護經(jīng)驗與經(jīng)典的執(zhí)行案例���。但是
不符合國保局對申報安全產(chǎn)品的要求��,相對比����,安華金和數(shù)據(jù)庫防火墻產(chǎn)品更符合國內(nèi)數(shù)據(jù)庫防護要求及國家安全標準。更具有“中國式”數(shù)據(jù)庫安全防護功能特
性�����。
產(chǎn)品咨詢:4000 258 365 
