產(chǎn)品概述

安華金和數(shù)據(jù)庫(kù)防火墻系統(tǒng)（簡(jiǎn)稱DPS），是一款針對(duì)應(yīng)用側(cè)異常數(shù)據(jù)訪問的數(shù)據(jù)庫(kù)安全防護(hù)產(chǎn)品。

DPS采用主動(dòng)防御機(jī)制，通過虛擬補(bǔ)丁技術(shù)捕獲和阻斷漏洞攻擊行為，通過SQL注入特征庫(kù)捕獲和阻斷SQL注入行為，實(shí)現(xiàn)數(shù)據(jù)庫(kù)的訪問行為控制、高危風(fēng)險(xiǎn)阻斷和可疑行為審計(jì)DPS通過SQL協(xié)議分析，根據(jù)預(yù)定義的禁止和許可策略讓合法的SQL操作通過，阻斷非法違規(guī)操作，形成數(shù)據(jù)庫(kù)的外圍防御圈,實(shí)現(xiàn)SQL危險(xiǎn)操作的主動(dòng)預(yù)防、實(shí)時(shí)審計(jì)。
對(duì)于IPS類產(chǎn)品最重要的是在保持“低漏報(bào)率”的同時(shí)維護(hù)“低誤報(bào)率”；對(duì)于數(shù)據(jù)庫(kù)而言這點(diǎn)更為關(guān)鍵，一點(diǎn)點(diǎn)“誤報(bào)”可能就會(huì)造成重大業(yè)務(wù)影響。 DPS提供強(qiáng)大的應(yīng)用行為描述方法，以對(duì)合法應(yīng)用行為放行，將誤報(bào)率降低為“零”。 SQL白名單：DPS通過語(yǔ)法抽象描述不同類型的SQL語(yǔ)句，規(guī)避參數(shù)帶來的多樣化；通過應(yīng)用學(xué)習(xí)捕獲所有合法SQL的語(yǔ)法抽象，建立應(yīng)用SQL白名單庫(kù)。
DPS面對(duì)來自于外部的入侵行為，提供防SQL注入禁止和數(shù)據(jù)庫(kù)虛擬補(bǔ)訂包功能；通過虛擬補(bǔ)丁包，數(shù)據(jù)庫(kù)系統(tǒng)不用升級(jí)、打補(bǔ)丁，即可完成對(duì)主要數(shù)據(jù)庫(kù)漏洞的防控。
DPS支持Oracle、SQL Server 、MySQL等國(guó)際主流數(shù)據(jù)庫(kù)產(chǎn)品。能夠在不影響數(shù)據(jù)庫(kù)原有性能、無需應(yīng)用進(jìn)行改造的前提下，提供可靠數(shù)據(jù)庫(kù)安全保護(hù)服務(wù)。

產(chǎn)品功能

應(yīng)用‘零’誤報(bào)技術(shù)、快速部署實(shí)施能力、全面的入侵防御技術(shù)、審計(jì)追蹤非法行為、虛擬補(bǔ)丁技術(shù)、返回行超標(biāo)禁止技術(shù)。?
防止外部黑客攻擊 威脅：黑客利用Web應(yīng)用漏洞，進(jìn)行SQL注入；或以Web應(yīng)用服務(wù)器為跳板，利用數(shù)據(jù)庫(kù)自身漏洞攻擊和侵入。 防護(hù)：通過虛擬補(bǔ)丁技術(shù)捕獲和阻斷漏洞攻擊行為，通過SQL注入特征庫(kù)捕獲和阻斷SQL注入行為。
? 防止內(nèi)部高危操作 威脅：系統(tǒng)維護(hù)人員、外包人員、開發(fā)人員等，擁有直接訪問數(shù)據(jù)庫(kù)的權(quán)限，有意無意的高危操作對(duì)數(shù)據(jù)造成破壞。 防護(hù)：通過限定更新和刪除影響行、限定無Where的更新和刪除操作、限定drop、truncate等高危操作避免大規(guī)模損失。
? 防止敏感數(shù)據(jù)泄漏 威脅：黑客、開發(fā)人員可以通過應(yīng)用批量下載敏感數(shù)據(jù)，內(nèi)部維護(hù)人員遠(yuǎn)程或本地批量導(dǎo)出敏感數(shù)據(jù)。 防護(hù)：限定數(shù)據(jù)查詢和下載數(shù)量、限定敏感數(shù)據(jù)訪問的用戶、地點(diǎn)和時(shí)間。
? 審計(jì)追蹤非法行為 威脅：業(yè)務(wù)人員在第三方利益誘惑下，通過業(yè)務(wù)系統(tǒng)提供的功能完成對(duì)敏感信息的訪問，進(jìn)行信息的售賣和數(shù)據(jù)篡改。 防護(hù)：提供對(duì)所有數(shù)據(jù)訪問行為的記錄，對(duì)風(fēng)險(xiǎn)行為進(jìn)行SysLog、郵件、短信等方式的告警，提供事后追蹤分析工具

產(chǎn)品部署和適用場(chǎng)景

透明網(wǎng)橋模式：在網(wǎng)絡(luò)上物理串聯(lián)接入DPS設(shè)備，所有用戶訪問的網(wǎng)絡(luò)流量都串聯(lián)流經(jīng)設(shè)備，通過透明網(wǎng)橋技術(shù)，客戶端看到的數(shù)據(jù)庫(kù)地址不變。 代理接入模式：網(wǎng)絡(luò)上并聯(lián)接入DPS設(shè)備，客戶端邏輯連接防火墻設(shè)備地址，防火墻設(shè)備轉(zhuǎn)發(fā)流量到數(shù)據(jù)庫(kù)服務(wù)器。 適用場(chǎng)景： 場(chǎng)景1: 防止外部黑客通過互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)侵入數(shù)據(jù)庫(kù)，進(jìn)行數(shù)據(jù)竊取和數(shù)據(jù)破壞；對(duì)非法或危險(xiǎn)行為進(jìn)行實(shí)時(shí)攔截 場(chǎng)景2：對(duì)內(nèi)部人員進(jìn)行控制，包括：開發(fā)人員（本公司&外包）和DBA可以實(shí)時(shí)地監(jiān)控所有對(duì)數(shù)據(jù)庫(kù)的訪問 在旁路部署模式DPS設(shè)備不直接接入網(wǎng)絡(luò)，而是通過TAP、SPAN等技術(shù)將網(wǎng)絡(luò)流量映射到防火墻設(shè)備；DPS對(duì)數(shù)據(jù)庫(kù)流量進(jìn)行審計(jì)和告警。 適用于高吞吐量、性能高度敏感業(yè)務(wù)系統(tǒng)（如電信計(jì)費(fèi)系統(tǒng)），需要持續(xù)監(jiān)控系統(tǒng)的訪問行為和安全事件的事后分析。 DPS支持在一臺(tái)數(shù)據(jù)庫(kù)防火墻設(shè)備上同時(shí)進(jìn)行串聯(lián)和旁路兩種接入模式，對(duì)不同的數(shù)據(jù)庫(kù)實(shí)例支持IPS和IDS兩種運(yùn)行模式。
在一個(gè)大型企業(yè)環(huán)境下，根據(jù)不同的數(shù)據(jù)庫(kù)安全需要，可以接入多臺(tái)DPS設(shè)備，不同的設(shè)備對(duì)應(yīng)不同的安全需求，實(shí)現(xiàn)不同的安全策略。根據(jù)不同的安全設(shè)備接入方式和不同的應(yīng)用策略，DPS可以有如下的產(chǎn)品應(yīng)用形式：1、作為數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品，提供全面數(shù)據(jù)庫(kù)審計(jì)能力，符合等保三級(jí)需求。2、作為數(shù)據(jù)庫(kù)入侵防御產(chǎn)品，接入在應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器之間，防止外部黑客入侵。3、作為數(shù)據(jù)庫(kù)運(yùn)維管控產(chǎn)品，內(nèi)部數(shù)據(jù)庫(kù)運(yùn)維接口，防止運(yùn)維人員高危操作和泄漏敏感數(shù)據(jù)。4、作為內(nèi)外網(wǎng)隔離裝置，替代傳統(tǒng)防火墻、IDS、IPS產(chǎn)品，實(shí)現(xiàn)唯一內(nèi)網(wǎng)接入通道——安全數(shù)據(jù)庫(kù)通訊。