资料库防火墙系统,串联部署在资料库伺服器之前,解决资料库套用侧和运维侧两方面的问题,是一款基于资料库协定分析与控制技术的资料库安全防护系统。DBFirewall基于主动防御机制,实现资料库的访问行为控制、危险操作阻断、可疑行为审计。
资料库安全技术之一,资料库安全技术主要包括:资料库漏扫、资料库加密、资料库防火墙、数据脱敏、资料库安全审计系统。
资料库安全风险包括:刷库、拖库、撞库。
资料库安全攻击手段包括:SQL注入攻击。
资料库漏洞攻击可以通过资料库防火墙的虚拟补丁功能进行防护。
基本介绍
- 中文名:资料库防火墙
- 外文名:DBFirewall
- 本质:资料库安全技术
- 所属学科:网路工程
背景
随着网际网路技术和信息技术的迅速发展,以资料库为基础的信息系统在经济、金融、医疗等领域的信息基础设施建设中得到了广泛的套用,越来越多的数据信息被不同组织和机构(例如,统计部门、医院、保险公司等)蒐集、存储以及发布,其中大量信息被用于行业合作和数据共享。但是在新的网路环境中,由于信息的易获取性,这些包含在资料库系统中的关乎国家安全、商业或技术机密、个人隐私等涉密信息将面临更多的安全威胁。当前,日益增长的信息泄露问题已然成为影响社会和谐的一大障碍。
数据泄漏事件几乎覆盖所有行业,例如:
(1) 金融行业:2012年4月,visa信用卡泄密事件致使150万个账户受影响。
(2) 政府部门:2011年12月,广东公安厅技术漏洞致444万出入境数据泄漏。
(3) 网际网路:2011年岁末,数据泄密信息过亿,其中噹噹网1200万用户信息泄漏;支付宝账户泄漏达1500万到2500万;CSDN 600余万用户信息泄漏。
(4) 电信行业:2011年3月,陕西移动1394万用户信息被盗。
(5) 医疗行业:2008年深圳4万余名孕妇信息泄漏。
由上述案例可见,数据泄漏无处不在,且愈演愈烈。据Verizon公司的数据泄漏调查报告统计显示:有90%以上的数据泄漏是由资料库被盗引起的。
现有边界防御安全产品和解决方案均採用被动防御技术,无法从根本上解决各组织资料库数据所面临的安全威胁和风险,解决资料库数据安全需要专用的资料库安全设备从根本上解决数据安全问题。
简介
资料库防火墙技术是针对关係型资料库保护需求应运而生的一种资料库安全主动防御技术,资料库防火墙部署于套用伺服器和资料库之间。用户必须通过该系统才能对资料库进行访问或管理。资料库防火墙所採用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网路边界(FireWall、IDS\IPS等)防护的外部数据攻击、来自于内部的高许可权用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏的等,从资料库SQL语句精细化控制的技术层面,提供一种主动安全防御措施,并且,结合独立于资料库的安全访问控制规则,帮助用户应对来自内部和外部的数据安全威胁。资料库防火墙技术使用了《一种基于通信协定和SQL语法的资料库自动发现方法的专利技术》。
核心功能
- 禁止直接访问资料库的通道:资料库防火墙部署介于资料库伺服器和套用伺服器之间,禁止直接访问的通道,防止资料库隐通道对资料库的攻击。
- 二次认证:基于独创的“连线六元组【机器指纹(不可伪造)、IP位址、MAC地址、用户、应用程式、时间段】”授权单位,应用程式对资料库的访问,必须经过资料库防火墙和资料库自身两层身份认证。
- 攻击保护:实时检测用户对资料库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为,同时详细的审计下攻击操作发生的时间、来源IP、登录资料库的用户名、攻击代码等详细信息。
- 连线监控:实时的监控所有到资料库的连线信息、运算元、违规数等。管理员可以断开指定的连线。
- 安全审计:系统能够审计对资料库伺服器的访问情况。包括用户名、程式名、IP位址、请求的资料库、连线建立的时间、连线断开的时间、通信量大小、执行结果等等信息。并提供灵活的回放日誌查询分析功能,并可以生存报表。
- 审计探针:本系统在作为资料库防火墙的同时,还可以作为资料库审计系统的数据获取引擎,将通信内容传送到审计系统中。
- 细粒度许可权控制:按照SQL操作类型包括Select、Insert、Update、Delete,对象拥有者,及基于表、视图对象、列进行许可权控制
- 精準SQL语法分析:高性能SQL语义分析引擎,对资料库的SQL语句操作,进行实时捕获、识别、分类
- 自动SQL学习:基于自学习机制的风险管控模型,主动监控资料库活动,防止未授权的资料库访问、SQL注入、许可权或角色升级,以及对敏感数据的非法访问等。
- 透明部署:无须改变网路结构、套用部署、应用程式内部逻辑、前端用户习惯等
特点
- 支持桥接、网关和混合接入方式
- 基于硬体的BYPASS能力,防止单点失效
- 多执行绪技术和快取技术,支持高并发连线
- 配置管理採用浏览器界面,方便学习和使用
- 现有应用程式与透明资料库防火墙之间可以无缝连线,部署和配置过程简单
- 可以灵活的对每个应用程式的访问许可权进行配置,可以选择全部放行、到资料库级别、模式级别、表级别、栏位级别的许可权控制
- 支持基于安全等级标记的访问控制策略
- 可以选择违规回响策略,审计、拒绝访问
- 可以配置审计的内容,对于违规等重要的事件,系统进行强制审计。用户也可以选择对常规操作进行审计
- 先进的查询功能,并可以使用多个查询条件,包括时间、IP、用户名、风险等级等
- 支持双机热备功能,保障连续服务能力
部署
DBFirewall支持两种串联模式: 透明网桥模式:在网路上物理串联接入DBFirewall设备,所
有用户访问的网路流量都串联流经设备;通过透明网桥技术,客户端看到的资料库地址不变。
代理接入模式:网路上并联接入DBFirewall设备,客户端逻辑连线防火墙设备地址,防火墙设备转发流量到资料库伺服器;通过代理接入模式,网路拓扑结构不变。
旁路部署模式
DBFirewall设备不直接接入网路,而是通过TAP、SPAN等技术将网路流量映射到防火墙设备;通过旁路部署模式既不改变网路拓扑,也不在套用链路上增加新的设备点。
有用户访问的网路流量都串联流经设备;通过透明网桥技术,客户端看到的资料库地址不变。
代理接入模式:网路上并联接入DBFirewall设备,客户端逻辑连线防火墙设备地址,防火墙设备转发流量到资料库伺服器;通过代理接入模式,网路拓扑结构不变。
旁路部署模式
DBFirewall设备不直接接入网路,而是通过TAP、SPAN等技术将网路流量映射到防火墙设备;通过旁路部署模式既不改变网路拓扑,也不在套用链路上增加新的设备点。
防护能力
防止外部黑客攻击威胁:黑客利用Web套用漏洞,进行SQL注入;或以Web套用伺服器为跳板,利用资料库自身漏洞攻击和侵入。
防护:通过虚拟补丁技术捕获和阻断漏洞攻击行为,通过SQL注入特徵库捕获和阻断SQL注入行为。
防止内部高危操作
威胁:系统维护人员、外包人员、开发人员等,拥有直接访问资料库的许可权,有意无意的高危操作对数据造成破坏。
防护:通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。
防止敏感数据泄漏
威胁:黑客、开发人员可以通过套用批量下载敏感数据,内部维护人员远程或本地批量导出敏感数据。
防护:限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。
审计追蹤非法行为
威胁:业务人员在利益诱惑下,通过业务系统提供的功能完成对敏感信息的访问,进行信息的售卖和数据篡改。
防护:提供对所有数据访问行为的记录,对风险行为进行SysLog、邮件、简讯等方式的告警,提供事后追蹤分析工具。
防护:通过虚拟补丁技术捕获和阻断漏洞攻击行为,通过SQL注入特徵库捕获和阻断SQL注入行为。
防止内部高危操作
威胁:系统维护人员、外包人员、开发人员等,拥有直接访问资料库的许可权,有意无意的高危操作对数据造成破坏。
防护:通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。
防止敏感数据泄漏
威胁:黑客、开发人员可以通过套用批量下载敏感数据,内部维护人员远程或本地批量导出敏感数据。
防护:限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。
审计追蹤非法行为
威胁:业务人员在利益诱惑下,通过业务系统提供的功能完成对敏感信息的访问,进行信息的售卖和数据篡改。
防护:提供对所有数据访问行为的记录,对风险行为进行SysLog、邮件、简讯等方式的告警,提供事后追蹤分析工具。