某商学院数据库加固防护案例

摘要：本案例以数据防火墙为核心，利用数据库防火墙的攻击防护能力，屏蔽数据库漏洞，并生成应用访问的基线白名单，结合数据库审计，发现潜在的数据攻击行为。

1背景介绍和需求

随着某商学院信息化应用的迅速发展，学院的网络规模和业务应用系统迅速扩大。目前，学院已经形成了由大量的主机、数据库系统、网络设备、安全设备、应用系统等构成的信息系统运行环境，数据库作为信息技术的核心和基础，承载着越来越多的关键业务系统，渐渐成为学院信息系统中最具有战略性的资产，数据库的安全稳定运行也直接决定着业务系统能否正常使用。监管部门对数据安全和业务可用性做出了明确的要求，要求对数据库的访问行为需要全面的审计，针对有可能影响业务系统的高风险操作（批量删除修改，批量查询等）及其他异常行为，应通过相关手段进行阻断和告警，防止因SQL注入，系统漏洞和黑客攻击破坏数据库造成的数据泄露。

2解决方案

我司根据商学院的数据安全需求提供了以下的数据安全建设方案，并得到了学校领导的认可。

在客户的数据库应用系统中，部署数据库防火墙与数据库审计系统，针对客户的核心数据库资产提供基于数据的加固及防护服务，为客户的数据资产提供一道坚实的防线。

数据库防火墙串联部署在数据库交换机前端，实现阻断对数据库发起的攻击。数据库审计以旁路模式部署，通过接收交换机的镜像流量，解析数据库的访问日志并记录存储，审计日志可通过系统默认或自定义多种格式的可视化报表，可作为向上级单位的汇报素材。数据库审计和数据库防火墙的结合联动可实现对数据库的综合安全加固。实现效果概括为：

多数据库细粒度审计，变黑盒为白盒，形象展示数据库情况及活动轨迹，让一切数据库中活动清晰明了，违规操作无可遁形。

使用细粒度数据库防护，屏蔽数据库漏洞，让SQL注入与漏洞攻击无计可施，极大降低数据库安全风险。

3案例价值

透明可视，提升客户直观把握数据库状态、动态与风险的能力

由于数据库系统是一个复杂的软件“黑盒子”，其可视化程度很低。数据库管理员很难说清在任意时刻数据被访问的情况，这对业务治理带来了很大的困难。中安威士审计产品通过多种手段全面监控数据的访问情况，并提供丰富的预设统计报表，以图形化的方式将数据的访问情况和风险情况可视化，极大的简化了业务治理，提高了数据安全管理能力。

细粒度审计与控制，筑起数据库坚实的防线，加强客户保护数据资产的能力

数据库审计产品和数据库防火墙的配合使用，可实现独立的审计和细粒度的访问控制，在需要相关审计和合规时可以直接输出合规的报表，满足行业多个法规和标准的要求，能够帮助学校快速通过各种安全检查和评测工作。此外，加固方案可以使得管理人员对重要系统数据库进行全方位的监测和审计工作，对全天候的访问行为进行细粒度的访问控制，帮助该校提升内部风险控制水平。

针对数据资产防护，补足传统安全手段的缺失，让系统资产坚不可摧

传统安全手段在访问控制、传输安全、WEB安全上提供了相关的防护手段，但针对数据库和数据本身的攻击和包裹合法外套的攻击及盗取缺少必要的防护手段，数据库审计产品与数据库防火墙的应用弥补了这一缺陷，相互配合，让客户的数据系统坚不可摧。

4类似案例

上海某985高校。