原创

数据库防火墙

产品概述

中安威士数据库防火墙(简称VS-FW),是由中安威士(北京)科技有限公司开发具有完全自主知识产权的安全防护产品。该产品通过实时分析用户对数据库的访问行为,自动建立合法访问数据库的特征模型。同时,通过独立的授权管理机制和虚拟补丁等防护手段,及时发现和阻断SQL注入攻击和违反企业规范的数据库访问请求。主要功能包括屏蔽真实数据库、多因子认证、自动建模、攻击检测、访问控制和审计等。该产品具有高性能、大存储和报表丰富等优势,帮助企业有效保护核心数据,保障业务运营安全,并快速的满足合规要求。

产品功能

屏蔽直接访问数据库的通道

数据库防火墙部署于数据库服务器和应用服务器之间,屏蔽直接访问数据库的通道,防止数据库隐通道对数据库的攻击,见下图。

多因子认证

基于IP地址、MAC地址、用户、应用程序、时间等因子对访问者进行身份认证,形成多因子认证,弥补单一口令认证方式安全性的不足。应用程序对数据库的访问,必须经过数据库防火墙和数据库自身两层身份认证。

攻击检测和保护

实时检测用户对数据库进行SQL注入和缓冲区溢出的攻击,并报警或者阻止攻击行为,同时详细记录攻击操作发生的时间、来源IP、用户名、攻击代码等信息。

行为基线—自动建立访问模型

系统将自动学习每一个应用的访问语句,进行模式提取和分类,自动生成行为特征模型,并可以对学习结果进行编辑。系统通过检查访问行为与基线的偏差来识别风险。

连接监控

实时监控数据库的连接信息、风险状态等。

虚拟补丁

数据库系统是个复杂的系统,自身存在很多漏洞,容易被攻击者利用从而导致数据泄漏或致使系统瘫痪。由于需要保证业务连续性等多种原因,用户通常不会及时对数据库进行补丁安装。中安威士数据库防火墙通过内置的多种漏洞特征库防止已知漏洞被利用,并有效降低数据库被0day攻击的风险。

安全审计

系统能够记录对数据库服务器的访问情况,包括用户名、程序名、IP地址、请求的数据库、连接断开的时间、风险等信息,并提供灵活的查询分析功能。

报表

提供丰富的报表模板,包括各种审计报表、安全趋势等。

数据库审计探针

本系统作为数据库防火墙的同时,还可以作为数据库审计系统的数据获取设备,将通信内容发送到数据库审计系统中,在不影响防火墙性能的前提下,实现完整、专业的数据库审计。

特性优势

1.技术优势

 全自主技术体系:形成高技术壁垒

高速分析技术:特殊数据包分析和转发技术,实现高效的网络通信内容过滤

多线程技术和缓存技术,支持高并发连接

基于BigTable和MapReduce的存储:单机环境高效、海量存储

基于倒排索引的检索:高效、灵活日志检索、报表生成

2.高性能

连续处理能力:7000~4万SQL/s    

索速度:  <1分钟,1亿记录,带通配符的模糊检索

日志存储能力:  30亿 ~100亿SQL/TB

3.高可用性

基于硬件的Bypass功能,防止单点失败        

支持双机热备功能,保证连续服务能力

支持自动日志备份      

支持SNMP、Syslog日志外发

支持时间同步                                                                    ......

4.高安全性

典型部署

透明网桥模式

将数据库防火墙直连在数据库之前,所有对数据库的访问流量都流经该设备进行过滤和转发,防火墙不设IP地址,客户端看到的数据库地址不变。

直路代理模式

将数据库防火墙直连在数据库之前,防火墙具有独立IP地址,客户端逻辑连接防火墙设备地址,所有对数据库的访问流量都流经该设备进行过滤和转发。

单臂代理模式

将数据库防火墙接入数据库所在网络,客户端逻辑连接防火墙设备地址,所有对数据库的访问流量都流经该设备进行过滤和转发。

数据库审计和防火墙:混合部署

客户价值

》保护核心数据资产,防止内外部攻击造成的数据泄密

防止外部黑客攻击,窃取数据:SQL注入、缓冲区溢出、权限盗用等

防止内部人员泄密,违规备份、权限滥用、误操作等

防止运维人员和第三方人员违规访问敏感数据

》安全性与可用性的完美结合,对合法应用和用户透明

智能学习,自动生成安全基线,无需手动复杂配置规则

高稳定性与高性能,支持双机热备,保障正常业务的连续性

不需要对应用程序作任何修改,不改变应用程序的使用环境

对于授权用户的数据库操作与管理等过程无需改变

客户案例

案例1:数据库防火墙防止社保信息泄露

背景介绍和需求

2015年5月,包括重庆、上海、山西在内的三十多个省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄漏。补天漏洞响应平台安全专家表示,社保系统包括居民身份证、社保、薪酬等敏感信息。一旦这些信息泄露,不仅是个人隐私全无,还会被犯罪分子利用来复制身份证、盗办信用卡、盗刷信用卡等刑事犯罪和经济犯罪。因此亟需相应的解决方案对该信息进行保护。

解决方案

在数据库之前以透明网关模式部署中安威士数据库防火墙,开启学习模式,经过1天左右时间的学习,建立其应用对数据库访问的行为基线,进而进入工作模式,并开启阻断功能。所有对数据库的SQL注入攻击都会偏离基线,而被阻止,从而从根本上阻止了SQL注入。

有益结果

某省社保系统通过上述解决方案,有效地抵御了各类SQL注入攻击,提高了系统整体的防御能力,维护和提升了社保机构的形象和公信力。完善的日志还能协助安全事件取证及事后追溯,进一步的防止敏感信息的丢失和泄漏。

案例2:数据库防火墙保护互联网金融数据库免受攻击

背景介绍和需求

互联网金融企业面临着严重的敏感数据安全问题。其客户信息(姓名、身份证、地址、电话、邮件等)、交易信息(交易时间、额度、盈亏情况)等敏感数据具有很高的价值,常常成为黑客攻击的目标。另外,企业内部数据分析人员也可能在利益的驱使下执行各种偏离业务的非法查询和分析语句。从而,亟需对数据库的攻击行为进行发现和阻断,并详细记录内部人员的访问行为,便于取证。

解决方案

经过论证,在核心数据库集群前部署了中安威士数据库防火墙。采用直连代理方式,将系统正确的目标数据库地址修改为防火墙地址。开启学习功能,学习到的语句模式经过人工两次鉴别后作为系统的白名单。对于前端网站系统产生的偏离白名单的访问行为进行阻断,并产生报警。对于内部的访问偏离行为,进行详细记录,由人工判断是否属于违规访问。

有益结果

某P2P公司通过上述解决方案,有效抵御了各类SQL注入和权限滥用攻击,显著提升了数据安全防护水平。同时,能够轻松满足来自监管部门的合规性检查,也消除了客户对隐私安全的顾虑,从而促进了业务的开展。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 数据库安全之金融

    近年来,随着Internet的快速发展,各个行业均已进入信息化时代,金融业在中国20世纪70年代就已起步;20世纪80年代已经进入推广应用阶段,陆续引进了美国、...

    数据库保护
  • 数据库审计

    中安威士数据库审计系统(简称VS-AD),是由中安威士(北京)科技有限公司开发的具有完全自主知识产权的数据库审计产品。该系统通过监控数据库的多重状态和通信内容,...

    数据库保护
  • 数据库漏洞扫描系统

    中安威士数据库漏洞扫描系统是在综合分析了数据库访问控制、数据库审计、资源管理、数据库加密以及数据库系统本身安全机制的基础上,深入研究了数据库系统本身存在的BU...

    数据库保护
  • 【干货】4种Oracle DBaaS部署模式,你在使用哪一种?

    由于云计算技术已向专业领域发展,除了使用虚拟软件化Hypervisor技术实现基础设施云化外,基于容器的虚拟化技术在操作系统、数据库平台云化等领域也得到了很大的...

    嘉为科技
  • 2019图数据库场景及发展趋势解读

    点击上方蓝字关注我们吧 作者简介:邵宗文,现为腾讯云数据库专家产品经理,十余年数据库从业经验。2009年加入腾讯,曾负责腾讯网,新闻客户端,快报,视频,财经,...

    腾讯云数据库 TencentDB
  • 数据库基本概念概述

    从本篇起,我们就开始对『数据库』相关概念内容的介绍,除了介绍基本的名词概念以及他们的使用情况外,我们还会深入到源码层面去探究一些底层实现,例如索引、视图、触发器...

    Single
  • 推荐一个学习和了解数据库知识的网站

    最近发现一个有趣的网站,是专门收集世界上所有的数据库信息的网站,类似于维基百科性质的,名字也很有趣叫做Database of Databases,翻译成中文也就...

    哒呵呵
  • 未来最具投资商关注的企业级产品推荐:巨杉数据库

    提起数据库一直是中国企业级市场无法抹去的伤痛,无论是去IOE还是去SOA,大家都认为数据库是中国企业最无法去除的。而国内管理软件厂商为了实现这一战略,不断寻求并...

    人称T客
  • 5分钟学会如何玩转云数据库组件

    点击上方蓝字每天学习数据库 现在经常会有各式各样的“删库到跑路”事件发生。不管是传统数据库还是云数据库,总会遇到一些问题,与数据迁移、数据风险安全、数据订阅...

    腾讯云数据库 TencentDB
  • 一种数据库打天下?开源数据库选型应该注意什么?

    数据技术嘉年华,十周年盛大开启,点我立即报名!大会以“自研·智能·新基建——云和数据促创新 生态融合新十年” 为主题,相邀数据英雄,总结过往十年历程与成绩,展望...

    数据和云

扫码关注云+社区

领取腾讯云代金券