数据库安全关键技术之数据库防火墙技术

栏目: 数据库 · 发布时间: 5年前

内容简介:摘要: 数据库防火墙是继传统网络防火墙、下一代防火墙等安全产品之后,专门针对数据存储的核心介质——数据库的一款数据安全防护产品。目前,国内主流数据库防火墙的关键技术原理如下: (1)对数据库通讯协议的解析 数据库防火墙产品对数据库风险行为和违规操作进行安全防护的基础,...

摘要: 数据库防火墙是继传统网络防火墙、下一代防火墙等安全产品之后,专门针对数据存储的核心介质——数据库的一款数据安全防护产品。目前,国内主流数据库防火墙的关键技术原理如下: (1)对数据库通讯协议的解析 数据库防火墙产品对数据库风险行为和违规操作进行安全防护的基础,...

数据库防火墙 是继传统网络防火墙、下一代防火墙等安全产品之后,专门针对数据存储的核心介质——数据库的一款数据安全防护产品。目前,国内主流 数据库防火墙 的关键技术原理如下:

(1)对数据库通讯协议的解析

数据库防火墙 产品对数据库风险行为和违规操作进行安全防护的基础,都来自于数据库通讯协议的解析。通讯协议解析的越精准,数据库的防护工作越周密安全。换言之,数据库通讯协议解析的强弱是评价一款 数据库防火墙 产品优劣的关键。

(2)黑白名单机制  

数据库防火墙 进行数据库防护的过程中,除了利用数据通讯协议解析的信息设置相应的风险拦截和违规 SQL 操作预定义策略以外,常用的防护方式还包括通过学习模式以及SQL语法分析构建动态模型,形成SQL白名单和SQL黑名单。

数据库安全关键技术之数据库防火墙技术

行为模型

结合黑白名单,通过禁止规则、许可规则以及禁止+许可的混合模式规则对数据库进行策略设置,从而对数据库进行防护。

数据库安全关键技术之数据库防火墙技术

策略规则图

“禁止规则”负责定义系统需要阻止的危险数据库访问行为,所有被“禁止规则”命中的行为将被阻断,其余的行为将被放行。

“许可规则”负责定义应用系统的访问行为和维护工作的访问行为,通过“许可规则”使这些行为在被“禁止规则”命中前被放行。

“优先禁止规则”负责定义高危的数据库访问行为,这些策略要先于“许可规则”被判断,命中则阻断。

(3)数据库漏洞防护 

在数据库的防护过程中,除了对数据库登录限定,恶意SQL操作拦截,以及批量数据下载、删改进行安全防护以外。数据库自身存在的一些漏洞缺陷所引发的安全隐患,也在 数据库防火墙 的防护范围之内。对于这些风险行为进行周密而严谨的防护也是 数据库防火墙 价值体现的重点项。之前在CVE上公开了2000多个 数据库安全 漏洞,这些漏洞给入侵者敞开了大门。虽然数据库厂商会定期推出数据库漏洞补丁,在一定程度上降低数据库遭受恶意攻击的风险度。但是数据库补丁也存在许多适用性问题,主要包括以下4点:

漏洞补丁针对性高,修补范围存在局限性;

发布补丁包的周期过长,存在数据泄露真空期;

补丁修复过程中存在兼容性隐患;

数据库补丁漏洞修补周期长,风险大,消耗大量资源。

于是,一种可以在无需修补数据库内核的情况下的方法应运而生,即虚拟补丁。它相当于在数据库外围创建了一个安全层,从而不用打数据库厂商的补丁,也不需要停止服务或进行大范围的回归测试。通过监控所有数据库活动,将监控数据与保护规则相比较,从而发现攻击企图,并在数据库的前端进行控制或告警。 数据库防火墙 作为数据库保护的专项安全产品,已经在国内外的用户端得到了大量应用。

由于 数据库防火墙 产品需要串联至业务系统与数据库之间,这需要产品本身具有极高的成熟度,如何判断一款产品是否成熟?看它支持了多少高端现场,服务了多少用户,经历了多少次的大小版本更新。国内专业的 数据库安全 厂商安华金和,研发的国内首款 数据库防火墙 产品,已成功应用于多个大型项目中,以串联部署的方式,保证业务系统在安全状态下正常、高效的运行,为用户提供了安全、无感的体验效果。

数据库安全关键技术之数据库防火墙技术


以上所述就是小编给大家介绍的《数据库安全关键技术之数据库防火墙技术》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

C++程序设计

C++程序设计

谭浩强 / 清华大学出版社 / 2004-6-1 / 36.00元

《C++程序设计》作者深入调查了我国大学的程序设计课程的现状和发展趋势,参阅了国内外数十种有关C++的教材,认真分析了学习者在学习过程中遇到的困难,研究了初学者的认识规律。在本书中做到准确定位,合理取舍内容,设计了读者易于学习的教材体系,并且以通俗易懂的语言化解了许多复杂的概念,大大减少了初学者学习C++的困难。C++是近年来国内外广泛使用的现代计算机语言,它既支持面向过程的程序设计,也支持基于对......一起来看看 《C++程序设计》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具