隨著互聯(lián)網(wǎng)�、物聯(lián)網(wǎng)、云計(jì)算等信息技術(shù)與通信技術(shù)的迅猛發(fā)展����,數(shù)據(jù)大規(guī)模的被生產(chǎn)、存儲與使用�,大量的數(shù)據(jù)在帶給人們巨大價值的同時,也帶來了各種數(shù)據(jù)泄露的風(fēng)險���。近年來,數(shù)據(jù)泄露事件頻繁發(fā)生����,給國家���、單位和個人都造成了嚴(yán)重的損失。分析已發(fā)生的數(shù)據(jù)泄露事件原因��,既有黑客的攻擊也有內(nèi)部工作人員有意無意對數(shù)據(jù)的操作�����,今天我們來說下既可以防外又可以防內(nèi)的數(shù)據(jù)庫防火墻應(yīng)具備的功能���。
一��、數(shù)據(jù)庫防火墻應(yīng)具備的基本功能
功能一:應(yīng)用身份識別
通過應(yīng)用URL����、賬號的關(guān)聯(lián)�,只有合法應(yīng)用發(fā)出的SQL語句可以穿過防火墻訪問數(shù)據(jù)庫,其他登陸工具和應(yīng)用都無法通過防火墻登陸后臺數(shù)據(jù)庫�,確保數(shù)據(jù)來自指定應(yīng)用。
功能二:建立應(yīng)用“白名單”
基于學(xué)習(xí)期建立語句���、風(fēng)險����、會話的行為模型,學(xué)習(xí)期將合法應(yīng)用的SQL語句全部捕獲��,統(tǒng)一放到“白名單”里���,防止合法語句被誤報�。通過學(xué)習(xí)完善期�,然后切換到保護(hù)期,此時如果出現(xiàn)了批量導(dǎo)出敏感數(shù)據(jù)的操作�����,數(shù)據(jù)庫防火墻會報“新型語句”��,安全管理員要根據(jù)具體情況判斷語句風(fēng)險防止批量導(dǎo)出敏感信息的行為�。
功能三:操作權(quán)限細(xì)粒度管理
擁有比數(shù)據(jù)庫系統(tǒng)更詳細(xì)的權(quán)限控制,控制權(quán)限細(xì)粒到用戶����、操作語句、操作對象��、操作時間等;另外在控制操作中增加對不帶條件的刪除�����、修改等高危操作的阻斷�;對于返回行數(shù)和影響行數(shù)實(shí)現(xiàn)精確控制�����,增強(qiáng)對用戶的細(xì)粒度控制��。
功能四:抵御SQL注入
通過對SQL語句進(jìn)行注入特征描述����,完成對“SQL注入”行為的檢測和阻斷。數(shù)據(jù)庫防火墻提供了虛擬補(bǔ)丁功能���,在數(shù)據(jù)庫外的網(wǎng)絡(luò)層創(chuàng)建了一個安全層��,用戶在無需補(bǔ)丁情況下����,完成數(shù)據(jù)庫漏洞防護(hù)���,對于有“擴(kuò)展腳本”和“緩沖區(qū)溢出”攻擊的特征的SQL語句����,直接進(jìn)行攔截。
功能五:阻斷漏洞攻擊
按照SQL自身語法結(jié)構(gòu)劃分SQL類別��,通過自定義模型手動添加新的SQL注入特征��,進(jìn)行有效攔截��。數(shù)據(jù)庫漏洞攻擊防控:開啟虛擬補(bǔ)丁配置策略���,即可防范數(shù)據(jù)庫漏洞的攻擊�����。
二��、數(shù)據(jù)庫防火墻應(yīng)具備的增值功能
功能一:協(xié)議解析
傳統(tǒng)解析手段采用字符串匹配技術(shù)和較為簡單的協(xié)議解析技術(shù)來分析SQL語句����,因解析結(jié)果不準(zhǔn)確基本不可用����。數(shù)據(jù)庫防火墻采用準(zhǔn)確的協(xié)議解析技術(shù),解決了審計(jì)產(chǎn)品面臨的難點(diǎn),例如長SQL語句�����、參數(shù)化語句���、參數(shù)值、字符集等�����。
功能二:分權(quán)管理
數(shù)據(jù)庫防火墻提供“三權(quán)分立”機(jī)制����,對特權(quán)用戶的權(quán)力進(jìn)行有效拆分。系統(tǒng)管理員��、安全管理員和審計(jì)管理員三大特權(quán)用戶各司其職�。系統(tǒng)管理員用于監(jiān)控系統(tǒng)狀態(tài)、管理系統(tǒng)證書�、管理系統(tǒng)網(wǎng)絡(luò)等;安全管理員用于管理賬號��、監(jiān)查系統(tǒng)安全狀態(tài)��、配置安全策略、分析審計(jì)日志等���;審計(jì)管理員用于記錄系統(tǒng)管理員和安全管理員的系統(tǒng)級操作行為��。
功能三:高可靠性
數(shù)據(jù)庫防火墻提供多種高可用容災(zāi)方案��,包括多重Bypass能力����、代理網(wǎng)絡(luò)三通和雙機(jī)HA部署�。
三、數(shù)據(jù)庫防火墻相關(guān)文章
? 數(shù)據(jù)庫安全關(guān)鍵技術(shù)之?dāng)?shù)據(jù)庫防火墻技術(shù)
? 數(shù)據(jù)庫防火墻技術(shù)研究
? 數(shù)據(jù)庫防火墻串聯(lián)部署和旁路部署的區(qū)別
? 數(shù)據(jù)庫防火墻技術(shù)市場調(diào)研報告
? 誰說數(shù)據(jù)庫防火墻風(fēng)險大��?那是你還不知道應(yīng)用關(guān)聯(lián)防護(hù)
? 數(shù)據(jù)庫防火墻的七種武器
? 論數(shù)據(jù)庫防火墻的自我修養(yǎng)之一丨高可用性
? 論數(shù)據(jù)庫防火墻的自我修養(yǎng)之二丨高性能和可擴(kuò)縮
產(chǎn)品咨詢:4000 258 365 
