关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

数据库安全防火墙需要具备哪些功能

发布时间:2019-07-15 11:31:43

进入网络时代,由于数据库查询引起的安全事故越来越多,例如Facebook超出8600万条用户数据备泄漏。数据库防火墙作为保护数据库安全不可或缺的防御工事,越来越受到企业的关注。那么数据库防火墙到底应具有哪些能力,才能为保护业务数据财产充分发挥需有的作用?

01.数据库防火墙的高可用性和性能

数据库查询在企业中背负着关键核心业务,其重要性显而易见。由于数据库防火墙是串连到数据库查询与应用服务器之间的安全防护设备, 因此不能因为安全防护设备的布署而影响业务管理系统正常使用,数据库防火墙自身需要具有高可用性和高速率高并发处理能力:

当安全防护设备因服务器宕机、系统本身主程序无效、运行内存持续被占等问题造成无效时,自动转换到另外每台安全防护设备进行运作,进而能够达到设备的高可用性,避免因平时维护操作(方案)和突发性的系统安装失败(非方案)所造成的关机时间,影响生产业务,提高系统和应用的高可用性。

因业务管理系统的分布式系统浏览,数据库查询需要对标管理直连浏览数据库查询,1毫秒内SQL处理速度要基本同直连浏览数据库查询,避免因数据库防火墙布署影响业务管理系统的正常使用。

数据库防火墙

02.准入条件控制

就跟人需要有身份证号码一样,连接数据库查询也需要根据不同的真实身份系数对人进行多层次的鉴别,保证真实身份真实有效和可信性。

多因素真实身份:数据库查询登录名、软件系统用户、ip地址、Mac详细地址、客户端程序名、登陆时间等系数的多因素组合准入条件。

应用防仿冒:可对手机应用程序进行特点鉴别,鉴别应用的真实有效,避免应用被仿冒,可能会导致应用被不法利用。

03.侵入安全防护功能

数据库防火墙每天都需要面对环境因素的各种进攻,在鉴别真实人员的基础上,我们还需要对他们的浏览行为和特点进行检测,并对不安全行为进行防御力,主要防御力功能需有:

SQL引入安全防御力,搭建SQL引入特点库,实现对引入进攻的SQL特点鉴别,融合SQL白名单体制实现即时进攻阻隔;

系统漏洞攻击防御,由于数据库查询升级艰难的前提条件存在,需要对数据库查询系统漏洞进行扫描仪鉴别系统漏洞,并对这些系统漏洞进行虚似傻瓜包,避免网络黑客通过这些系统漏洞进行进攻;

比较敏感SQL防御力,即SQL所含有比较敏感信息,对这些SQL需要单独管理,只授权给可以浏览的真实身份,回绝没经授权的真实身份进行浏览。

04.访问控制

很多手机应用程序往往存在权限管理系统漏洞,控制不了一些不法浏览、高风险操作,例如统方、机密资料的获得等。这些潜藏巨大风险的行为,需要进行管理和控制:

防滑库,当登陆密码键入频次达到预置阀值时,锁住进攻终端设备;

风险操作阻隔,当应用在实行全量删掉、改动等高危行为的时候,需要对这些行为进行阻隔;

比较敏感信息浏览脱敏,根据来访者的管理权限,回到不同的数据,管理权限足够时见到真实的数据,管理权限不足时回到经过脱敏的数据,避免比较敏感数据泄露;

浏览回到行数控制,可对浏览结果进行管理,避免不法一次性导出来大量数据库查询,造成数据的大量外流。

05.SQL白名单

SQL白名单,就是建立应用的SQL白名单库,对于这些安全SQL进行放行,对于风险SQL进行阻隔;SQL白名单可以只针对可靠SQL做特点鉴别、而不符合可靠SQL特点的我们都可以认为他是不明或高风险的SQL,并进行阻隔或告警。

06.风险监控器

通常情况下数据库防火墙往往会管理多个数据库查询,当数据库查询达到一定数量时,通过人工很难监控器数据库查询的整体安全情况,因此需要监控管理平台进行一致的安全防范:

监控器数据库防火墙的整体安全情况,当出现风险时可快速的定位当前黑客攻击的数据库查询及进行进攻的手机客户端等;

数据可视化展现,形象化、全局变量、清楚的掌握数据库安全情况。

07.告警

对于任何不认识的新面孔和操作进行鉴别并即时告警,是数据库安全安全防护不可或缺的二环,包括:探索与发现的ip地址,手机应用程序,数据库查询帐户,应用帐户,浏览对象,浏览操作,SQL句子。

系统可通过短消息、电子邮件、动画片主要告警方式来保证告警的实时性。

08.风险评估与跟踪

营销人员在权益的引诱下,往往通过业务管理系统提供的功能完成对比较敏感信息的浏览,进而造成数据泄露的风险。因此提供对风险浏览的详细记录,有利于风险评估和问题追朔尤为重要。详细的风险评估和跟踪,应包括以下基本前提:

Who?—真实的数据库查询账号、服务器名字、电脑操作系统账号等到底是谁;

What?—什么对象数据被浏览了,实行了什么操作,开启了什么安全策略;

When?—每个恶性事件发生的具体时间;

Where?—恶性事件的来源于和目的,包括ip地址、Mac详细地址等;

How?—通过哪些手机应用程序或第三方工具进行的操作。



/../template/Home/Databay/PC/Static