檢查預警:安全狀況檢查
通過數(shù)據(jù)庫安全評估(漏洞掃描)系統(tǒng),對信息系統(tǒng)中的核心數(shù)據(jù)庫進行安全狀況檢查,包括相關數(shù)據(jù)庫安全漏洞、安全配置、弱口令、缺省口令、補丁更新、脆弱代碼、程序后門等檢測項,有效評估后建立數(shù)據(jù)庫安全基線,并提供加固建議。
主動防御:訪問控制防護
進行數(shù)據(jù)庫級別的訪問行為控制、危險操作阻斷、可疑行為攔截,面對來自于外部的入侵行為,提供防SQL注入禁止和數(shù)據(jù)庫虛擬補訂包功能;通過虛擬補丁防護,保證數(shù)據(jù)庫系統(tǒng)不用升級、打補丁,即可完成對主要數(shù)據(jù)庫漏洞的防控。有效的保護后臺數(shù)據(jù)庫不暴露在復雜的網(wǎng)絡環(huán)境中,構建數(shù)據(jù)庫的安全防護。
事后追查:數(shù)據(jù)流向監(jiān)控
通過數(shù)據(jù)庫安全審計系統(tǒng)幫助安全管理員建立數(shù)據(jù)庫的“攝像頭”, 對數(shù)據(jù)庫協(xié)議進行準確識別,記錄和回放數(shù)據(jù)庫的攻擊、篡改、批量導出、誤操作等風險行為,提升數(shù)據(jù)庫的安全監(jiān)控和溯源能力,為事后追溯定責提供準確依據(jù)。
敏感數(shù)據(jù)修改記入審計記錄
對敏感信息的修改需要在進行數(shù)據(jù)庫操作的時候全部記入審計記錄,同時要確保數(shù)據(jù)庫審計設備不可繞過,審計數(shù)據(jù)不會被篡改。
軟件開發(fā)商和信息維護人員權責分明
通過獨立的權限控制能力,以及基于IP和時間的精細控制,嚴格保證合法的用戶才能訪問敏感信息,通過敏感數(shù)據(jù)詳細變更審計能力,準確追蹤敏感信息的訪問行為。在出現(xiàn)問題的時候,可以能分清是哪方出的問題。
外網(wǎng)數(shù)據(jù)防黑客入侵和批量導出
面對來自于外部黑客的入侵行為,提供防SQL注入和數(shù)據(jù)庫虛擬補丁包功能;通過虛擬補丁包,數(shù)據(jù)庫系統(tǒng)不用升級、打補丁,即可完成對主要數(shù)據(jù)庫漏洞的防控。
及時阻止數(shù)據(jù)庫運維側的誤操作和惡意操作
通過SQL協(xié)議分析,根據(jù)預定的白名單、黑名單策略決定讓合法的SQL操作通過執(zhí)行,讓可疑的非法違規(guī)操作禁止。實現(xiàn)主動防御機制、數(shù)據(jù)庫的訪問行為權限控制、惡意及危險操作阻斷式防范。
事前主動防護:明確識別敏感信息。以這些敏感數(shù)據(jù)為防護要點,在信息安全方面建立有縱深的防護體系。
事中控制:嚴格細化敏感數(shù)據(jù)的訪問控制,主動預防批量泄露、惡意篡改。
事后分析:全面審計、及時對惡意攻擊、非法訪問、惡意操作進行告警,實現(xiàn)事后追溯,有效地追責定責。
運維人員的管理:使用專業(yè)的數(shù)據(jù)庫防火墻及數(shù)據(jù)庫運維管理系統(tǒng),對DBA、第三方運維實施人員等,實施訪問敏感信息的精細控制,包括表、字段、訪問的數(shù)據(jù)量范圍(行數(shù))等。
同時避免敏感信息被惡意篡改,或誤操導致被批量修改或刪除。同時將敏感數(shù)據(jù)的訪問控制細化到IP地址和時間范圍。