中安威士數據庫防火牆爲企業數據資產搭建主動防禦體系

近日有專業人士發表文章，剖析等級保護即將從1.0時代轉變到2.0時代，1.0和2.0最大的區別就是系統防護由被動防禦變成主動防禦。小編對該專業人士的觀點深表認同，並很職業地將此觀點引申到數據庫防護領域，對企業核心數據資產的防護也應轉爲主動防禦。

衆所周知，早期的數據庫安防市場應用廣泛的是數據庫審計產品，主要是對數據庫操作進行記錄和審計。隨着用戶需求和新技術的發展，數據庫漏洞掃描、數據庫防火牆、數據庫加密和數據庫脫敏等主動防禦型的防護產品也相繼在市場上出現。在等保1.0時代，數據安全這塊大都只涉及到數據庫審計產品，而等保2.0時代，數據庫防火牆很可能會是必選項。因爲正如前述專業人士所言，數據庫審計、日誌審計類設備，這些是操作審計、被動類的設備，顯然不滿足主動防禦的要求，通過數據庫防火牆，我們實現對數據庫的訪問行爲控制、危險操作阻斷、可疑行爲審計，從而保障數據的安全。

小編舉賢不避親，今天要給大家隆重推介一下中安威士的數據庫防火牆產品。

中安威士數據庫防火牆（簡稱VS-FW），是由中安威士（北京）科技有限公司開發，享有完全自主知識產權的數據庫防火牆產品。該產品通過實時分析用戶對數據庫的訪問行爲，自動建立合法訪問數據庫的特徵模型。同時，通過獨立的授權管理機制和虛擬補丁等防護手段，及時發現和阻斷SQL注入攻擊和違反企業規範的數據庫訪問請求。主要功能包括屏蔽真實數據庫、多因子認證、自動建模、攻擊檢測、訪問控制和審計等。該產品具有高性能、大存儲和報表豐富等優勢，幫助企業有效保護核心數據，保障業務運營安全，並快速且經濟地滿足合規要求。

主要功能有：

· 屏蔽直接訪問數據庫的通道

數據庫防火牆部署於數據庫服務器和應用服務器之間，屏蔽直接訪問數據庫的通道，防止數據庫隱通道對數據庫的攻擊，見下圖。

· 多因子認證

基於IP地址、MAC地址、用戶、應用程序、時間等因子對訪問者進行身份認證，形成多因子認證，彌補單一口令認證方式安全性不足。應用程序對數據庫的訪問，必須經過數據庫防火牆和數據庫自身兩層身份認證。

· 攻擊檢測和保護

實時檢測用戶對數據庫進行的SQL注入和緩衝區溢出攻擊，並報警或者阻止攻擊行爲，同時詳細的記錄攻擊操作發生的時間、來源IP、用戶名、攻擊代碼等信息。

· 基線—自動建立訪問模型

系統將自動學習每一個應用的訪問語句，進行模式提取和分類，自動生成行爲特徵模型，並可以對學習結果進行編輯。系統通過檢查訪問行爲與基線的偏差來識別風險。

· 連接監控

實時監控所有到數據庫的連接信息、風險狀態等。管理員可以手動斷開特定的連接。

· 虛擬補丁

數據庫系統是個複雜的系統，自身存在很多漏洞，容易被攻擊者利用從而導致數據泄漏或致使系統癱瘓。由於需要保證業務連續性等多種原因，用戶通常不會及時對數據庫進行補丁安裝。中安威士數據庫防火牆通過內置的多種策略防止已知漏洞被利用，並有效的降低數據庫被零日攻擊的風險。

· 安全審計

系統能夠審計對數據庫服務器的訪問情況，包括用戶名、程序名、IP地址、請求的數據庫、連接建立的時間、連接斷開的時間、通信量大小、風險等信息，並提供靈活的查詢分析功能。

· 報 表

提供豐富的報表模板，包括各種審計報表、安全趨勢等。

· 數據庫審計探針

本系統作爲數據庫防火牆的同時，還可以作爲數據庫審計系統的數據獲取設備，將通信內容發送到數據庫審計系統中，在不影響防火牆性能的前提下，實現完整、專業的數據庫審計。

中安威士數據庫防火牆功能還是非常全面的， 具有以下特性優勢：

· 技術優勢

   - 全自主技術體系：形成高技術壁壘

   - 高速分析技術：特殊數據包分析和轉發技術，實現高效的網絡通信內容過濾

   - 多線程技術和緩存技術，支持高併發連接

   - 基於BigTable和MapReduce的存儲：單機環境高效、海量存儲

   - 基於倒排索引的檢索：高效、靈活日誌檢索、報表生成

· 高性能

   - 連續處理能力：7000-4萬SQL/s

   - 日誌檢索速度: <1分鐘，1億記錄（帶通配符的模糊檢索）

   - 日誌存儲能力: 30億 ~100億SQL/TB

· 高可用性

   - 基於硬件的Bypass功能，防止單點失敗

   - 支持雙機熱備功能，保證連續服務能力

   - 支持自動日誌備份

   - 支持SNMP、Syslog日誌外發

   - 支持時間同步 ......

· 高安全性

   - 細粒度的訪問控制

   - 可以靈活的對每個應用程序的訪問權限進行配置

   - 支持黑名單、白名單規則

總結一下，中安威士防火牆產品作爲企業數據資產主動防禦體系中的重要組成部分，將爲客戶帶來如下價值：

· 保護核心數據資產，防止內外部攻擊造成的數據泄密：

   - 防止外部黑客攻擊，竊取數據：sql注入、緩衝區溢出、權限盜用等

   - 防止內部人員泄密：違規備份、權限濫用、誤操作等

  - 防止運維人員和第三方人員違規訪問敏感數據

· 可視化數據資產分佈和風險情況，提升數據安全治理能力：

   - 通過敏感數據和服務發現，展示數據庫服務器和敏感數據的分佈情況

   - 實時監控數據庫運行狀態，在狀態異常時進行預警，防止業務癱瘓，保障業務系統的可用性

   - 打開數據庫系統“黑盒子”，全面發現各種管理和系統的風險、幫助修復風險和漏洞

· 安全性與可用性的完美結合，對合法應用和用戶透明：

   - 智能學習，自動生成安全基線，無需手動複雜配置規則

   - 高穩定性與高性能，支持雙機熱備，保障正常業務的連續性

   - 不需要對應用程序作任何修改，不改變應用程序的使用環境

   - 對於授權用戶的數據庫操作與管理等過程無需改變

· 輸出合規報表，滿足合規要求，快速通過測評：

   - 等級保護：能夠滿足等級保護中對數據庫中存儲的系統管理數據、鑑別信息和重要業務數據的保密性、強制身份論證和安全審計要求

   - 分級保護：能夠滿足分級保護系統內的數據庫應採用安全加強措施的要求

   - 軍隊：能夠滿足要求四級及以上系統中的核心業務數據必須強身份論證和加強保護

   - 《網絡安全法》：核心數據防泄密的要求

   - 《數據庫管理系統安全技術要求》、《中國塞班斯法案（SOX）》、《信用卡標準（PCI）》、電力SG168、衛生部防統方、互聯網金融安全基本法、央企商業機密保護條例......