亚洲高清毛片一区二区,,,,,,,

五分鐘了解數(shù)據(jù)庫(kù)防火墻應(yīng)具備哪些能力

2019年06月24日

互聯(lián)網(wǎng)時(shí)代，由數(shù)據(jù)庫(kù)引發(fā)的安全事件越來(lái)越多，數(shù)據(jù)庫(kù)防火墻作為保護(hù)數(shù)據(jù)庫(kù)安全必不可少的防御工事，也越來(lái)越受到企業(yè)關(guān)注。

那么數(shù)據(jù)庫(kù)防火墻究竟應(yīng)具備哪些能力，才能為企業(yè)數(shù)據(jù)資產(chǎn)筑起堅(jiān)不可摧的安全防線(xiàn)?美創(chuàng)科技作為數(shù)據(jù)防火墻國(guó)標(biāo)重要參與者，曾主導(dǎo)數(shù)據(jù)庫(kù)防火墻的標(biāo)準(zhǔn)制定，將結(jié)合在該領(lǐng)域擁有雄厚的技術(shù)積累和產(chǎn)品經(jīng)驗(yàn)，總結(jié)一個(gè)成熟的數(shù)據(jù)庫(kù)防火墻產(chǎn)品應(yīng)具備的一系列關(guān)鍵能力。

1. 數(shù)據(jù)庫(kù)防火墻的高可用性和高性能

數(shù)據(jù)庫(kù)在企業(yè)中承載著關(guān)鍵核心業(yè)務(wù)，其重要性不言而喻。由于數(shù)據(jù)庫(kù)防火墻是串聯(lián)到數(shù)據(jù)庫(kù)與應(yīng)用服務(wù)器之間的安全設(shè)備， 因此不能因?yàn)榘踩O(shè)備的部署而影響業(yè)務(wù)系統(tǒng)正常使用，數(shù)據(jù)庫(kù)防火墻自身需要具備高可用性和高速率并發(fā)處理能力：

當(dāng)安全設(shè)備因宕機(jī)、系統(tǒng)本身主程序不可用、內(nèi)存持續(xù)被占等問(wèn)題導(dǎo)致不可用時(shí)，自動(dòng)切換到另外一臺(tái)安全設(shè)備進(jìn)行運(yùn)行，從而能夠達(dá)到設(shè)備的高可用，避免因日常維護(hù)操作(計(jì)劃)和突發(fā)的系統(tǒng)崩潰(非計(jì)劃)所導(dǎo)致的停機(jī)時(shí)間，影響生產(chǎn)業(yè)務(wù)，提升系統(tǒng)和應(yīng)用的高可用性。

因業(yè)務(wù)系統(tǒng)的高并發(fā)訪(fǎng)問(wèn)，數(shù)據(jù)庫(kù)需要對(duì)標(biāo)直連訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)，1毫秒內(nèi)SQL處理速率要基本同直連訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)，避免因數(shù)據(jù)庫(kù)防火墻部署影響業(yè)務(wù)系統(tǒng)的正常使用。

2. 準(zhǔn)入控制

就跟人需要有身份證一樣，接入數(shù)據(jù)庫(kù)也需要根據(jù)不同的身份因子對(duì)人進(jìn)行多維度的識(shí)別，保證身份真實(shí)性和可靠性。

多因素身份：數(shù)據(jù)庫(kù)用戶(hù)名、應(yīng)用系統(tǒng)用戶(hù)、IP地址、MAC地址、客戶(hù)端程序名、登錄時(shí)間等因子的多因素組合準(zhǔn)入。

應(yīng)用防假冒：可對(duì)應(yīng)用程序進(jìn)行特征識(shí)別，識(shí)別應(yīng)用的真實(shí)性，避免應(yīng)用被假冒，從而導(dǎo)致應(yīng)用被非法利用。

3. 入侵防護(hù)功能

數(shù)據(jù)庫(kù)防火墻每天都需要面對(duì)外部環(huán)境的各種攻擊，在識(shí)別真實(shí)人員的基礎(chǔ)上，我們還需要對(duì)他們的訪(fǎng)問(wèn)行為和特征進(jìn)行檢測(cè)，并對(duì)危險(xiǎn)行為進(jìn)行防御，主要防御功能應(yīng)有：

SQL注入安全防御，構(gòu)建SQL注入特征庫(kù)，實(shí)現(xiàn)對(duì)注入攻擊的SQL特征識(shí)別，結(jié)合SQL白名單機(jī)制實(shí)現(xiàn)實(shí)時(shí)攻擊阻斷;

漏洞攻擊防御，由于數(shù)據(jù)庫(kù)升級(jí)困難的前提存在，需要對(duì)數(shù)據(jù)庫(kù)漏洞進(jìn)行掃描識(shí)別漏洞，并對(duì)這些漏洞進(jìn)行虛擬補(bǔ)丁，避免黑客通過(guò)這些漏洞進(jìn)行攻擊;

敏感SQL防御，即SQL所帶有敏感信息，對(duì)這些SQL需要單獨(dú)管理，只授權(quán)給可以訪(fǎng)問(wèn)的身份，拒絕未經(jīng)授權(quán)的身份進(jìn)行訪(fǎng)問(wèn)。

4. 訪(fǎng)問(wèn)控制

很多應(yīng)用程序往往存在權(quán)限控制漏洞，無(wú)法控制某些非法訪(fǎng)問(wèn)、高危操作，比如統(tǒng)方、絕密資料的獲取等。這些潛藏巨大風(fēng)險(xiǎn)的行為，需要進(jìn)行管理和控制：

防撞庫(kù)，當(dāng)密碼輸入次數(shù)達(dá)到預(yù)設(shè)閾值時(shí)，鎖定攻擊終端;

危險(xiǎn)操作阻斷，當(dāng)應(yīng)用在執(zhí)行全量刪除、修改等高危行為的時(shí)候，需要對(duì)這些行為進(jìn)行阻斷;

敏感信息訪(fǎng)問(wèn)脫敏，根據(jù)訪(fǎng)問(wèn)者的權(quán)限，返回不同的數(shù)據(jù)，權(quán)限足夠時(shí)看到真實(shí)的數(shù)據(jù)，權(quán)限不足時(shí)返回經(jīng)過(guò)脫敏的數(shù)據(jù)，避免敏感信息泄露;

訪(fǎng)問(wèn)返回行數(shù)控制，可對(duì)訪(fǎng)問(wèn)結(jié)果進(jìn)行管理，避免非法一次性導(dǎo)出大量數(shù)據(jù)庫(kù)，導(dǎo)致數(shù)據(jù)的大量流失。

5. SQL白名單

SQL白名單，就是創(chuàng)建應(yīng)用的SQL白名單庫(kù)，對(duì)于這些安全SQL進(jìn)行放行，對(duì)于危險(xiǎn)SQL進(jìn)行阻斷;SQL白名單可以只針對(duì)可信SQL做特征識(shí)別、而不符合可信SQL特征的我們都可以認(rèn)為他是未知或高危的SQL，并進(jìn)行阻斷或告警。

6. 風(fēng)險(xiǎn)監(jiān)控

一般來(lái)說(shuō)數(shù)據(jù)庫(kù)防火墻往往會(huì)管理多個(gè)數(shù)據(jù)庫(kù)，當(dāng)數(shù)據(jù)庫(kù)達(dá)到一定數(shù)量時(shí)，通過(guò)人工很難監(jiān)控?cái)?shù)據(jù)庫(kù)的整體安全情況，因此需要監(jiān)控平臺(tái)進(jìn)行統(tǒng)一的安全監(jiān)控：

監(jiān)控?cái)?shù)據(jù)庫(kù)防火墻的整體安全情況，當(dāng)出現(xiàn)風(fēng)險(xiǎn)時(shí)可快速的定位當(dāng)前被攻擊的數(shù)據(jù)庫(kù)及發(fā)起攻擊的客戶(hù)端等;

可視化展示，直觀、全局、清晰的把握數(shù)據(jù)庫(kù)安全情況。

7. 告警

對(duì)于任何不認(rèn)識(shí)的新面孔和操作進(jìn)行識(shí)別并實(shí)時(shí)告警，是數(shù)據(jù)庫(kù)安全防護(hù)必不可少的一環(huán)，包括：新發(fā)現(xiàn)的IP地址，應(yīng)用程序，數(shù)據(jù)庫(kù)賬戶(hù)，應(yīng)用賬戶(hù)，訪(fǎng)問(wèn)對(duì)象，訪(fǎng)問(wèn)操作，SQL語(yǔ)句。

系統(tǒng)可通過(guò)短信、郵件、動(dòng)畫(huà)等多種告警手段來(lái)保證告警的實(shí)時(shí)性。

8. 風(fēng)險(xiǎn)分析與追蹤

業(yè)務(wù)人員在利益的誘惑下，往往通過(guò)業(yè)務(wù)系統(tǒng)提供的功能完成對(duì)敏感信息的訪(fǎng)問(wèn)，從而造成數(shù)據(jù)外泄的風(fēng)險(xiǎn)。因此提供對(duì)風(fēng)險(xiǎn)訪(fǎng)問(wèn)的詳細(xì)記錄，便于風(fēng)險(xiǎn)分析和問(wèn)題追溯至關(guān)重要。詳細(xì)的風(fēng)險(xiǎn)分析和追蹤，應(yīng)包括以下基本要素：

• Who?—真實(shí)的數(shù)據(jù)庫(kù)帳號(hào)、主機(jī)名稱(chēng)、操作系統(tǒng)帳號(hào)等真實(shí)身份;

• What?—什么對(duì)象數(shù)據(jù)被訪(fǎng)問(wèn)了，執(zhí)行了什么操作，觸發(fā)了什么安全策略;

• When?—每個(gè)事件發(fā)生的具體時(shí)間;

• Where?—事件的來(lái)源和目的，包括IP地址、MAC地址等;

• How?—通過(guò)哪些應(yīng)用程序或第三方工具進(jìn)行的操作。

江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺(tái)建設(shè)、動(dòng)漫設(shè)計(jì)、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型，從“人員素養(yǎng)”、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面、可信的方案，業(yè)務(wù)涵蓋咨詢(xún)、評(píng)估、規(guī)劃、管控、建設(shè)、培訓(xùn)等。

 
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商。