自2015年8月起�,安華金和與第三方媒體社區(qū)合作�,共同面向廣大IT從業(yè)人員進行數(shù)據(jù)庫防火墻市場認知度調(diào)研,期望真實獲取來自用戶的反饋�,把握客戶需求和體驗,從而進行數(shù)據(jù)庫防火墻產(chǎn)品的研發(fā)與改進�。截至9月底該項調(diào)研結(jié)束,約10000人對此調(diào)研進行了關(guān)注�,同時我們獲取了完整字段的問卷反饋樣本,根據(jù)近400個有效樣本進行數(shù)據(jù)分析��,總結(jié)歸納《數(shù)據(jù)庫防火墻技術(shù)市場調(diào)研報告》���,并摘取報告重點分析結(jié)論���,分享給關(guān)注數(shù)據(jù)庫安全的人士����。
調(diào)研人群分析
調(diào)研人群分別來自29個省市地區(qū)�����,其中參與地區(qū)排名前10位的依次是北京�����、上海��、廣東�、江蘇、浙江���、河北���、山東、天津��、湖北、福建�。
圖 1.1 參與調(diào)研的排名前12個地區(qū)
參與調(diào)研的人群分布廣泛,共涉及29個行業(yè)�,其中排名前10位行業(yè)分布如下,來自互聯(lián)網(wǎng)和ISV���、電信通訊行業(yè)占比居多���。
參與調(diào)研人群共涉及50個用戶角色��,排名前10位的參與者角色如下:
市場調(diào)查結(jié)果
根據(jù)調(diào)查結(jié)果顯示�����, 400個有效樣本反饋對數(shù)據(jù)庫防火墻已經(jīng)有一定認知�,同時認為數(shù)據(jù)庫防火墻應(yīng)該是應(yīng)用防火墻的有效補充,對數(shù)據(jù)庫防火墻的作用還是給予肯定的���。以下分別從不同維度展開說明:
75%以上的調(diào)研對象對數(shù)據(jù)庫防火墻有認知
數(shù)據(jù)顯示����,75%以上調(diào)研人群表示對數(shù)據(jù)庫防火墻偶爾知道��,而真正使用過的僅為10%
圖 1.2 調(diào)研對象對數(shù)據(jù)庫防火墻的認知
國產(chǎn)數(shù)據(jù)庫防火墻品牌認知度低于國際品牌
在現(xiàn)有Oracle、McAfee�����、Imperva及安華金和等國內(nèi)外數(shù)據(jù)庫防火墻品牌選項中����,58%調(diào)查對象更熟悉Oracle,安華金和僅次于McAfee排名第三位���,占比14%����。這個數(shù)據(jù)顯示�����,國產(chǎn)化的產(chǎn)品應(yīng)用任重而道遠����。
圖 1.3 數(shù)據(jù)庫防火墻品牌調(diào)研結(jié)果
用戶對十大數(shù)據(jù)庫防火墻價值認知
從數(shù)據(jù)庫防火墻產(chǎn)品的價值體現(xiàn)中,用戶認知度最高的還是防SQL注入�、獨立于數(shù)據(jù)庫提供細粒度的訪問控制、針對數(shù)據(jù)庫漏洞行為進行主動攔截和阻斷。
圖 1.4 數(shù)據(jù)庫防火墻功能認知排序
用戶對數(shù)據(jù)庫防火墻部署的選擇
對于數(shù)據(jù)庫防火墻部署在應(yīng)用側(cè)�����、運維側(cè)還是數(shù)據(jù)庫前段�����,用戶有不同的理解�����。61%的用戶認為應(yīng)該部署在應(yīng)用側(cè)��,防止外部黑客的數(shù)據(jù)庫入侵行為�;23%用戶則認為數(shù)據(jù)庫防火墻應(yīng)該部署在數(shù)據(jù)庫的前端,對所有的數(shù)據(jù)庫訪問行為進行控制���;16%的用戶認為產(chǎn)品應(yīng)該部署在維護側(cè),對內(nèi)外部運維人員的數(shù)據(jù)庫操作進行細粒度控制����。
數(shù)據(jù)庫防火墻部署在不同的位置,防護的重點有所不同�,如果部署在數(shù)據(jù)庫前端,既能實現(xiàn)來自外部人員的攻擊,又能防止內(nèi)部人員的誤操作�。如果數(shù)據(jù)庫防火墻部署在運維側(cè),主要對內(nèi)部人員誤操作�����、批量刪除或是批量下載數(shù)據(jù)進行防護����。如果數(shù)據(jù)庫防火墻部署在應(yīng)用側(cè),防御重點在于基于數(shù)據(jù)庫協(xié)議���,針對SQL語法/詞法進行精確協(xié)議解析�,從而防止外部對數(shù)據(jù)庫漏洞的攻擊和SQL注入�����。
如果防火墻部署在應(yīng)用側(cè)�����,用戶對旁路�����、網(wǎng)關(guān)、代理��、網(wǎng)橋這四類部署模式的態(tài)度也不同�。其中旁路部署占比52%,從一定程度上反映出����,串聯(lián)部署防火墻,用戶還是有所顧慮����。
圖 1.5 數(shù)據(jù)庫防火墻應(yīng)用側(cè)部署模式調(diào)研結(jié)果
70%用戶希望數(shù)據(jù)庫防火墻提供對數(shù)據(jù)庫主動防御的同時,對數(shù)據(jù)庫性能的影響降至最低
通過調(diào)研��,我們試著探尋用戶采購數(shù)據(jù)庫防火墻時的需求�����,以期對數(shù)據(jù)庫防火墻的賣點進行匯總排序�。結(jié)果顯示,70%被調(diào)查對象希望通過采購數(shù)據(jù)庫防火墻����,進行強大而周密的策略防護方案��,通過設(shè)置多種策略關(guān)聯(lián)對數(shù)據(jù)庫實現(xiàn)周密的防護。同時��,高防護的過程中要求對數(shù)據(jù)庫性能影響降到最低�。依次排在次要位置的需求分別是:(1)希望采購數(shù)據(jù)庫防火墻提供精準的數(shù)據(jù)庫防護能力,避免錯誤攔截和攻擊漏洞�;(2)最新最全面的虛擬補丁功能,防護因數(shù)據(jù)庫漏洞和sql注入導(dǎo)致的數(shù)據(jù)庫惡意攻擊�;(3)彌補市場上極光掃描器等設(shè)備對安全漏洞報告的缺失。
在數(shù)據(jù)庫防火墻的擴展性上����,加密通訊需求占60%
在數(shù)據(jù)庫防火墻的擴展性上,60%用戶普遍認為���,數(shù)據(jù)庫防火墻可以考慮提供SSL這樣的加密通道��,以保持客戶端與數(shù)據(jù)庫的加密通訊��;其次����,23%用戶認為數(shù)據(jù)庫防火墻應(yīng)當考慮對通過SSH��、Telnet進行的遠程運維中的SQL操作也進行安全控制和審計�;17%用戶認為數(shù)據(jù)庫防火墻可以考慮融入一些傳統(tǒng)防火墻的功能��,比如IP和端口控制����。
數(shù)據(jù)庫防火墻與市場現(xiàn)有其他安全產(chǎn)品對比
1�����、數(shù)據(jù)庫防火墻與WAF對比結(jié)果
數(shù)據(jù)庫防火墻與WAF之間的差異性���,是用戶經(jīng)常會問到的一個問題��。 59%的用戶對此有明確認知�����,WAF主要防御對web應(yīng)用系統(tǒng)的攻擊���,但黑客具備繞過WAF攻擊數(shù)據(jù)庫服務(wù)器的能力,通過數(shù)據(jù)庫防火墻可以增加安全防線�����,能夠準確的找到兩個產(chǎn)品的側(cè)重點�。只有7%的用戶認為應(yīng)用端只需部署WAF,即可防止住惡意的攻擊��。
2���、數(shù)據(jù)庫防火墻與堡壘機對比結(jié)果
該問題�,從用戶的反饋結(jié)果來看�,答案的階梯性很明顯,66%的用戶認為堡壘機無法代替數(shù)據(jù)庫防火墻�,壘機對于數(shù)據(jù)庫操作無法進行細粒度控制,無法根據(jù)影響行數(shù)或操作的危害特征進行運維側(cè)管控�;而防火墻可以滿足以上特性。仍有10%用戶認為運維側(cè)部署堡壘機已經(jīng)足夠�,即可防止住運維側(cè)的數(shù)據(jù)泄露或篡改工作。
3��、數(shù)據(jù)庫防火墻與網(wǎng)閘對比結(jié)果
大部分用戶對數(shù)據(jù)庫防火墻與網(wǎng)閘的功能比較清晰�����, 90%以上的用戶能夠明確區(qū)別兩者的作用��,認同外網(wǎng)部署應(yīng)用服務(wù)器�����,內(nèi)網(wǎng)部署數(shù)據(jù)庫,在內(nèi)外網(wǎng)之間部署數(shù)據(jù)庫防火墻��;數(shù)據(jù)庫防火墻屏蔽掉其他通訊協(xié)議��,保證數(shù)據(jù)庫通訊協(xié)議的安全性���;通過這種方式既可以起到內(nèi)外網(wǎng)的隔離�����,又能達到實施成本和工程復(fù)雜度的降低?����,F(xiàn)實應(yīng)用中�,網(wǎng)閘是可以讓數(shù)據(jù)庫協(xié)議穿透的���,但網(wǎng)閘無對數(shù)據(jù)庫漏洞攻擊的防御能力�;通過數(shù)據(jù)庫防火墻可以提升防御能力�����。僅有9%用戶認為通過網(wǎng)閘完全實現(xiàn)了內(nèi)外網(wǎng)或不同密級網(wǎng)之間的隔離��,不需要數(shù)據(jù)庫防火墻。
4��、數(shù)據(jù)庫防火墻與網(wǎng)絡(luò)防火墻結(jié)果對比
數(shù)據(jù)結(jié)果顯示���,目前市場上單一認為只需要數(shù)據(jù)庫防火墻或網(wǎng)絡(luò)防火墻的認知已經(jīng)逐步被趨勢所替代,94%的用戶已經(jīng)清晰認識到網(wǎng)絡(luò)防火墻是TCP/IP層的防火墻�,數(shù)據(jù)庫防火墻是應(yīng)用層防火墻;相互補充�,不可互為替代;由于數(shù)據(jù)庫通訊協(xié)議的復(fù)雜性��,下一代防火墻無法防止隱藏在合法協(xié)議中的數(shù)據(jù)庫攻擊����,仍然需要數(shù)據(jù)庫防火墻來保障數(shù)據(jù)庫安全。
產(chǎn)品咨詢:4000 258 365 
