數(shù)據(jù)庫防火墻-qax

[鍵入文檔標題][選取日期]數(shù)據(jù)庫防火墻產(chǎn)品白皮書1.產(chǎn)品概述1.1現(xiàn)狀分析隨著計算機技術的飛速發(fā)展，越來越多的企業(yè)向信息化、智能化轉型。相應的數(shù)據(jù)庫在企業(yè)內(nèi)的應用也十分廣泛，深入到各個領域。隨著企業(yè)數(shù)據(jù)信息重要性的提升，越來越多的不法分子以獲取企業(yè)核心數(shù)據(jù)為目的，對數(shù)據(jù)庫進行越權訪問或滲透攻擊。因此，如何有效地保證數(shù)據(jù)庫系統(tǒng)的安全，實現(xiàn)數(shù)據(jù)的保密性、完整性和有效性，已經(jīng)成為企業(yè)數(shù)據(jù)安全防護的重中之重。1.2數(shù)據(jù)庫防火墻的定義不同于傳統(tǒng)防火墻主要功能是限制內(nèi)部網(wǎng)與外部網(wǎng)通信的設備，針對邊界防護，對于內(nèi)部網(wǎng)絡訪問數(shù)據(jù)庫的行為或者來自外部繞過防火墻訪問數(shù)據(jù)庫的行為無法進行阻斷、替換、報警、審計等操作，無法有效的保護數(shù)據(jù)庫系統(tǒng)的安全。數(shù)據(jù)庫防火墻是基于數(shù)據(jù)庫通訊協(xié)議中的SQL語句和語法特征對數(shù)據(jù)庫和數(shù)據(jù)進行保護的應用設備。數(shù)據(jù)庫防火墻可以針對對數(shù)據(jù)庫訪問的SQL語句進行威脅性匹配，并對有威脅的SQL語句進行阻斷行為保障數(shù)據(jù)庫的安全。2.產(chǎn)品功能特點2.1屏蔽直接訪問數(shù)據(jù)庫的通道數(shù)據(jù)庫防火墻系統(tǒng)，串聯(lián)在客戶的網(wǎng)絡中直接連接到數(shù)據(jù)庫服務器，部署在客戶的數(shù)據(jù)庫服務器之前，防止數(shù)據(jù)庫被直接或間接的攻擊或越權訪問。部署方式如下：數(shù)據(jù)庫服務器與應用系統(tǒng)通過防火墻進行隔離，所有針對數(shù)據(jù)庫的訪問都需要通過防火墻，防火墻對數(shù)據(jù)庫起到防護和風險阻斷功能。2.2自動學習-建立訪問基線模型數(shù)據(jù)庫防火墻系統(tǒng)具有自動學習功能，將自動學習到每一個應用的訪問語句特征，并將這些特征提取形成訪問基線。自動生成特征模型，并可以對學習的結果進行編輯，使結果更接近客戶日常訪問。通過檢查訪問的行為是否偏離基線來識別異常訪問。從而減輕了管理人員定義策略的負擔，增加了防御攻擊的準確性。2.3SQL特征庫檢測黑客對數(shù)據(jù)庫攻擊最常用的手段就是利用數(shù)據(jù)庫漏洞使用SQL注入方式進行提權威脅系統(tǒng)的安全。數(shù)據(jù)庫防火墻系統(tǒng)通過語法描述分析SQL注入攻擊不同時期的行為特征，并通過收集各種版本數(shù)據(jù)庫已發(fā)布的所有漏洞信息，提取漏洞特征，推演訪問威脅語句。構建業(yè)內(nèi)最健全的SQL特征庫，確保準確識別攻擊手段，精準阻攔攻擊行為。2.4多因子識別認證數(shù)據(jù)庫防火墻可以基于IP地址、用戶、應用程序、時間等因子對訪問者進行身份認證，也可以根據(jù)任意認證策略構建黑名單。應用程序?qū)?shù)據(jù)庫的訪問，必須經(jīng)過數(shù)據(jù)庫防火墻和數(shù)據(jù)庫自身的雙重身份認證。2.5虛擬補丁數(shù)據(jù)庫的復雜性決定了它會存在多層次的安全漏洞，從而給入侵者或非授權用戶提供了可乘之機。雖然數(shù)據(jù)庫廠商會定期推出修復數(shù)據(jù)庫漏洞的補丁，但是由于給數(shù)據(jù)庫打補丁較為復雜且極有可能影響數(shù)據(jù)庫的穩(wěn)定性，因此大多數(shù)企業(yè)為了保證業(yè)務連續(xù)性會不為數(shù)據(jù)庫頻繁的打補丁，甚至完全不打補丁。數(shù)據(jù)庫防火墻系統(tǒng)內(nèi)置多種數(shù)據(jù)庫漏洞特征庫，提供了虛擬補丁的功能，虛擬補丁在無需修補數(shù)據(jù)庫內(nèi)核漏洞的情況下，可以保護數(shù)據(jù)庫的安全。它在數(shù)據(jù)庫外創(chuàng)建了一個安全層，通過在防火墻上安裝虛擬補丁，能夠阻止已知的漏洞攻擊，有效規(guī)避數(shù)據(jù)庫被攻擊的風險。2.6黑白名單審計數(shù)據(jù)庫安全系統(tǒng)產(chǎn)品可根據(jù)客戶意見及實際審計情況，將IP、操作語句、賬號登相關信息加入黑白名單。同時，在應用系統(tǒng)中，因應用系統(tǒng)對應后臺的SQL語句固定，一旦發(fā)現(xiàn)其中含有危險信息則可將對應的SQL加入黑名單，而一旦應用系統(tǒng)中有某些語句疑似風險操作但其實際并不產(chǎn)生危害則可加入白名單。2.7豐富完善的報表報告數(shù)據(jù)庫防火墻系統(tǒng)內(nèi)置大量報表報告，包括等級保護報表、數(shù)據(jù)庫報表等。系統(tǒng)生成的報表圖文并茂。報告可用PDF、DOC、XLS等格式存檔。3.產(chǎn)品價值3.1保護核心數(shù)據(jù)，防止內(nèi)部越權訪問 通過對已知數(shù)據(jù)泄露事件分析，有65%以上的事件是由內(nèi)部人員操作產(chǎn)生的。因此對內(nèi)部人員訪問的安全防護十分重要。數(shù)據(jù)庫防火墻系統(tǒng)可以防止內(nèi)部人員誤操作、越權訪問、違規(guī)備份等行為，阻止內(nèi)部人員泄密。3.2保護核心數(shù)據(jù)，阻止外部攻擊 數(shù)據(jù)庫防火墻系統(tǒng)針對外部的數(shù)據(jù)庫訪問請求進行細致的分析，對風險語句進行有效的阻斷。防止外部黑客的攻擊，防止SQL注入語句、緩沖區(qū)溢出以及權限盜用等手段，保障數(shù)據(jù)安全。3.3簡化運維、完善訪問控制 數(shù)據(jù)庫防火墻系統(tǒng)具有自動學習功能，能夠自動生成企業(yè)數(shù)據(jù)庫訪問安全基線，無需手動配置復雜的規(guī)則。通過對訪問基線的匹配進行阻斷策略的配置，較少誤封漏封情況，簡化運維，完善訪問控制。3.4定制合規(guī)表格針對不同企業(yè)的需求，提供符合性報表集，按照各種法規(guī)/最佳做法等框架（包括SOX、等級保護、分級保護等）進行的審計、安全和符合性檢查工作。這些報表不僅關注具體法規(guī)標準，而且還關注與業(yè)務應用相關的指標。除了預定義的報表外，本系統(tǒng)具有強大的報表定制能力，在創(chuàng)建定制報表和模板方面提供了全面的靈活性。4.產(chǎn)品優(yōu)勢4.1優(yōu)秀的兼容匹配度 支持目前絕大多數(shù)數(shù)據(jù)庫及國產(chǎn)數(shù)據(jù)庫：Oracle、SqlServer、Sybase、Mysql、DB2、Cache*、達夢、Informix、Gbase、人大金倉等。 支持Windows、Linux、Unix等操作系統(tǒng)，基于B/S架構，支持絕大多數(shù)瀏覽器。4.2超強的處理性能 數(shù)據(jù)庫防火墻系統(tǒng)，連續(xù)SQL處理能力最高可達100000條/S，針對超長SQL語句都可進行解行、存儲；日志檢索能力＜1MIN，支持通配符號模糊檢索；采用多線程技術和緩存技術，支持高并發(fā)連接，不限數(shù)據(jù)庫實例數(shù)量；廣泛的規(guī)則支持。支持正則表達式、多關鍵字、訪問控制規(guī)則、白名單、攻擊檢測規(guī)則等規(guī)則的定制。4.3高可用性架構（1）程序采用B/S模式，通過瀏覽器進行管理。中文方便配置，界面直觀，對數(shù)據(jù)庫風險一目了然（2）支持雙機熱備、軟硬件bypass功能，保障持續(xù)安全工作。（3）系統(tǒng)采用開放式設計，便于添加新的數(shù)據(jù)庫支持；（4）提供對日志靈活的查詢功能。支持任意關鍵字查詢、通配符查詢以及布爾查詢。并可以使用多個查詢條件，包括時間、IP、用戶名、操作類型、風險等級等；（5）支持jdbc、odbc、oci、ado、oledb等主流連接協(xié)議；（6）系統(tǒng)透明接入，不影響原有應用系統(tǒng)的結構和正常使用；5組網(wǎng)部署方式5.1透明網(wǎng)橋模式 將數(shù)據(jù)庫防火墻直接連接在數(shù)據(jù)庫之前，所有對數(shù)據(jù)庫的訪問流量都經(jīng)過防火墻設備的過濾和轉發(fā)，防火墻不配置IP地址，客戶端看到的數(shù)據(jù)庫IP不變。5.2代理串聯(lián)模