厘清事實真相是最基本的要求
數(shù)據(jù)庫安全=主機安全+數(shù)據(jù)安全
思考一
6月1日國家網(wǎng)絡安全法正式實施
信息安全行業(yè)備受重視
暫時忘了如火如荼的傳播造勢
安靜下來,思考一些基本的安全理念
究竟被混淆了多少
今天���,在等保標準里我們先來厘清
數(shù)據(jù)庫安全與數(shù)據(jù)安全之間的關(guān)系�����?
關(guān)于數(shù)據(jù)庫安全��,公安部信息安全等級保護評估中心的等保要求解釋如下:數(shù)據(jù)庫安全是主機安全的一個部分�����,數(shù)據(jù)庫的測評指標是從“主機安全”和“數(shù)據(jù)安全及備份恢復”中根據(jù)數(shù)據(jù)庫的特點映射得到的�。
檢驗一家信息安全企業(yè)是否合格���,有一個繞不過去的標準——是否做到“以攻促防”���?
信息安全企業(yè)必須具備“以攻促防”的發(fā)展思路
思考二
企業(yè)要有一塊領(lǐng)域,
不為變現(xiàn)����,只為驅(qū)動技術(shù)創(chuàng)新
數(shù)據(jù)庫攻防實驗的核心理念是
“以攻促防”
做好數(shù)據(jù)庫安全防護工作的“防”
前提是要像攻擊者一樣深諳“攻擊”之道
因此信息安全企業(yè)
需要搭建一套攻防研究體系
這套體系需要投入大量人力、財力
然而卻并不會給企業(yè)帶來眼前的利益
原因何在�����?
只有對黑客攻擊的手段、節(jié)奏����、危害等做到了然于胸,才能有的放矢��,做好防護產(chǎn)品��。沒有對數(shù)據(jù)庫漏洞攻擊的研究�,數(shù)據(jù)庫安全防護就好似紙上談兵,失去了真實依據(jù)����。
2010年成立的安華金和數(shù)據(jù)庫攻防實驗室(DBSec Labs),是我國一支獨立的�、持久的針對數(shù)據(jù)庫安全漏洞、數(shù)據(jù)庫攻擊技術(shù)模擬和數(shù)據(jù)庫安全防護技術(shù)進行研究的專業(yè)隊伍����。對數(shù)據(jù)庫安全漏洞進行研究,是DBSLab的首要職責���,目前DBSec Labs不僅在國產(chǎn)數(shù)據(jù)庫的漏洞挖掘方面卓有成效�����,而且對國際數(shù)據(jù)庫的漏洞挖掘獲得認可����;同時�,也針對黑客數(shù)據(jù)庫入侵手段、數(shù)據(jù)庫防護手段作了深入研究��。
對于信息安全企業(yè)來說���,能不囿于當下��,不盲目追逐眼前利益�,而是基于長遠考慮���,積極投身攻防實驗����,付出長達數(shù)年的潛心研究���,實在是一個企業(yè)立定在信息安全領(lǐng)域��,目光如炬�,追求可持續(xù)發(fā)展的最好體現(xiàn)。
讓攻防研究成為技術(shù)產(chǎn)品研發(fā)的內(nèi)在驅(qū)動力���,激發(fā)企業(yè)在產(chǎn)品和技術(shù)研發(fā)方面的創(chuàng)新力�����,為整個信息安全行業(yè)的發(fā)展釋放更大的安全價值��。
等級保護要求下的數(shù)據(jù)庫安全縱深防御思路
思考三
大量的敏感信息存儲于數(shù)據(jù)庫中
按照信息安全等級保護的要求
如何做好核心數(shù)據(jù)資產(chǎn)的安全防護呢���?
數(shù)據(jù)庫安全=DBMS系統(tǒng)(數(shù)據(jù)庫管理系統(tǒng))安全+訪問路徑安全+核心數(shù)據(jù)安全
前兩點與主機安全要求正好吻合,等保要求主機安全涉及:身份鑒別��、訪問控制����、安全審計、入侵防范�����、資源控制、惡意代碼防范等方面���。對此����,安華金和提供的數(shù)據(jù)庫安全縱深防御思路如下:
1)事前診斷
通過數(shù)據(jù)庫漏掃技術(shù)�����,有效監(jiān)測數(shù)據(jù)庫自身漏洞和使用中的安全隱患���,并提供修復建議。
2)事中控制
通過數(shù)據(jù)庫防火墻技術(shù)�,從網(wǎng)絡層實現(xiàn)數(shù)據(jù)庫的主動防御,解決數(shù)據(jù)庫安全的70%問題�,能夠防止SQL注入、數(shù)據(jù)庫漏洞攻擊以及對敏感數(shù)據(jù)的非法訪問���。
3)底線防守
通過數(shù)據(jù)庫加密技術(shù)����,防止由于敏感信息明文存儲導致的泄密�,依靠獨立于數(shù)據(jù)庫的權(quán)控體系�����,實現(xiàn)三權(quán)分立的安全管理手段�����,密文索引提高查詢速度���,應用透明使現(xiàn)有的應用程序和運維操作無需改變。
通過數(shù)據(jù)庫脫敏技術(shù)��,徹底解決生產(chǎn)區(qū)到測試區(qū)的真實數(shù)據(jù)泄漏�,在滿足合規(guī)要求的同時,實現(xiàn)測試數(shù)據(jù)依然可用���。
4)事后追查
通過數(shù)據(jù)庫審計技術(shù)實現(xiàn)數(shù)據(jù)庫操作的全面精確記錄�����,具備風險狀況���、運行狀況、性能狀況和語句分布的實時監(jiān)控能力�。
產(chǎn)品咨詢:4000 258 365 
