数据库安全关键技术之数据库防火墙技术-k8凯发棋牌

数据库安全关键技术之数据库防火墙技术
作者:安华金和 发布时间:2019-01-16

是继传统网络防火墙、下一代防火墙等安全产品之后,专门针对数据存储的核心介质——数据库的一款数据安全防护产品。目前,国内主流的关键技术原理如下:

(1)对数据库通讯协议的解析

产品对数据库风险行为和违规操作进行安全防护的基础,都来自于数据库通讯协议的解析。通讯协议解析的越精准,数据库的防护工作越周密安全。换言之,数据库通讯协议解析的强弱是评价一款产品优劣的关键。

(2)黑白名单机制  

进行数据库防护的过程中,除了利用数据通讯协议解析的信息设置相应的风险拦截和违规sql操作预定义策略以外,常用的防护方式还包括通过学习模式以及sql语法分析构建动态模型,形成sql白名单和sql黑名单。

 01.jpg

行为模型

结合黑白名单,通过禁止规则、许可规则以及禁止 许可的混合模式规则对数据库进行策略设置,从而对数据库进行防护。  

02.jpg

策略规则图

 “禁止规则”负责定义系统需要阻止的危险数据库访问行为,所有被“禁止规则”命中的行为将被阻断,其余的行为将被放行。  

“许可规则”负责定义应用系统的访问行为和维护工作的访问行为,通过“许可规则”使这些行为在被“禁止规则”命中前被放行。  

“优先禁止规则”负责定义高危的数据库访问行为,这些策略要先于“许可规则”被判断,命中则阻断。   

(3)数据库漏洞防护 

在数据库的防护过程中,除了对数据库登录限定,恶意sql操作拦截,以及批量数据下载、删改进行安全防护以外。数据库自身存在的一些漏洞缺陷所引发的安全隐患,也在的防护范围之内。对于这些风险行为进行周密而严谨的防护也是价值体现的重点项。之前在cve上公开了2000多个k8凯发棋牌漏洞,这些漏洞给入侵者敞开了大门。虽然数据库厂商会定期推出数据库漏洞补丁,在一定程度上降低数据库遭受恶意攻击的风险度。但是数据库补丁也存在许多适用性问题,主要包括以下4点:      

漏洞补丁针对性高,修补范围存在局限性;

发布补丁包的周期过长,存在数据泄露真空期;

补丁修复过程中存在兼容性隐患;  

数据库补丁漏洞修补周期长,风险大,消耗大量资源。

于是,一种可以在无需修补数据库内核的情况下的方法应运而生,即虚拟补丁。它相当于在数据库外围创建了一个安全层,从而不用打数据库厂商的补丁,也不需要停止服务或进行大范围的回归测试。通过监控所有数据库活动,将监控数据与保护规则相比较,从而发现攻击企图,并在数据库的前端进行控制或告警。作为数据库保护的专项安全产品,已经在国内外的用户端得到了大量应用。 

由于产品需要串联至业务系统与数据库之间,这需要产品本身具有极高的成熟度,如何判断一款产品是否成熟?看它支持了多少高端现场,服务了多少用户,经历了多少次的大小版本更新。国内专业的k8凯发棋牌厂商安华金和,研发的国内首款产品,已成功应用于多个大型项目中,以串联部署的方式,保证业务系统在安全状态下正常、高效的运行,为用户提供了安全、无感的体验效果。


网站地图