《数据库安全解决及产品介绍课件》由会员分享,可在线阅读,更多相关《数据库安全解决及产品介绍课件(72页珍藏版)》请在金锄头文库上搜索。
1、让数据使用更安全,数据库安全产品技术交流,3 数据库安全产品,2 数据库安全背景,1 安华金和公司介绍,4 相关案例,北京安华金和科技有限公司(简称:安华金和),成立时间:2009年3月2日 创始人:均出自国内专业数据库开发公司,从事数据库开发十余年 主营业务:数据库安全产品 公司优势:唯一掌握大型数据库的内核技术和架构原理的厂商 公司机构: 北京总部 天津研发中心 天津攻防实验室 全国10个地方办事处 A轮融资:绿盟科技 B轮融资:阿里 领投,公司概况,3 数据库安全产品,2 数据库安全背景,1 安华金和公司介绍,4 相关案例,风险1:传统防护方案具有局限性,数据库安全防护相对 薄弱,拒绝服
2、务漏洞,CVE上一共公布了2000多个数据库漏洞,DB,DB,DB,DB,DB,黑客,DB,漏洞,系统注入漏洞,权限提升漏洞,缓冲区溢出漏洞,风险2:数据库自身存在漏洞,DB,DB,DB,DB,DB,数据明文存储,DB,数据文件明文存储,备份文件明文存储,日志文件明文存储,配置文件暴露密码,数据处于状态,敏感信息明文显示,风险3:数据存储无任何保密措施,无返回数量控制,超级用户不受限,SQL注入语句控制,高危SQL控制,内部缺少管理手段,录屏 记录键盘操作 无法控制SQL语句,风险4:运维管控存在泄密途径,3 数据库安全产品,2 数据库安全背景,1 安华金和公司介绍,4 相关案例,DBMS系统
3、,访问路径,核心数据,1,2,3,4,检查预警,事后追查,主动防御,底线防守,数据库纵深安全防护思路,自动 分析数据库 弱点和漏洞,提供 数据库安全 加固建议,威胁分析,安全建议,数据库漏洞扫描DBScan,第一道防线:事前检查预警,等保专用检查工具,敏感数据检测 权限宽泛 缺省配置 弱口令 高危程序,数据库危险使用,DBMS漏洞,系统注入漏洞 缓冲溢出漏洞 权限提升漏洞 补丁未升级,XSecure-DBScan领先国内的数据库漏洞扫描,防患于未然,暴露数据库安全问题,提出修复建议,进行安全加固,威胁分析-找出数据库安全弱点,涵盖等保检测标准和行业要求 支持14级等保检测要求; 不同级别策略、
4、阀值配置; 符合等保规范的专用检测报告。,自身安全性高 管理员、操作员、审计员三权分立; 使用只读权限账户即可扫描; 检测报告中数据库连接信息、 口令等加密存储。,风险级别准 遵循CVE、CNNVD标准的定级原则; 自定义漏洞级别与国际主流专业工具一致。,DBMS漏洞库全,1300个漏洞 涵盖CVE和CNNVD公布的漏洞项; 检查范围全面,4500多个检测项 覆盖DBMS漏洞、管理员维护漏洞、 程序代码漏洞和高危敏感数据检测。,全面,准确,安全,实用,整体安全评估,数据库漏扫 DBScan-产品优势,数据库防火墙,数据库安全运维,防止第三方泄漏生产数据,防止核心敏感信息泄露,第二道防线:主动防
5、御,XSecure-DBF是国内首款专业数据库防火墙产品 XSecure-DBF是一款集数据库IPS、IDS和审计功能为一体的综合安全产品,主动防御:数据库防火墙,虚拟补丁,缓冲区溢出漏洞 权限提升漏洞 系统注入漏洞,攻击防御,访问控制,虚拟补丁,黑白名单 业务语言建模 SQL注入攻击,控制 外部非法操作,限制 内部违规操作,修复 不易加固的漏洞,敏感表操作权限 限制访问行数、 返回行数 限制no where 查询及更新,主动防御-防攻击、防漏洞,,构建合法SQL操作的白名单库,学习模式,DB,应用,攻击防御- 建立合法SQL黑白名单,开启SQL注入防护策略,防范SQL注入访问,DB,SQL注
6、入特征库,注入描述,SQL,特 征 库,自 定 义,高危SQL语句 注释语句 包含风险函数,攻击防御- SQL注入防护,可信访问,主客体资源授权,避免高权限账号对数据库进行违规操作,控制谁、什么时间、什么地点(IP+MAC)是否允许登录哪个数据库 控制谁、对什么对象、执行什么操作,返回行数限制,防止批量导出数据,对select动作的返回行数进行限制,影响行数限制,避免update及delete两种行为造成大面积影响,对update和delete的影响行数进行限制 对是否携带where条件进行控制:delete Nowhere、Update Nowhere,1,2,3,访问控制-人员权限控制,D
7、B,数据库防火墙,虚拟补丁,让相关人员第一时间就能知道数据库访问风险的发生,从而有机会第一时间对数据库内机密信息的泄漏或者数据库遭到的攻击进行应对。,应用,阻断,允许,设定控制策略,授权合法用户,合理操作,非法用户,风险操作,DB,丰富的及时告警方式,数据库防火墙系统的部署支持串接、旁路两种方式。,串联方式:物理上串联接入,确保非法行为无法绕开。 旁路方式:学习建模期;有利用用户快速进入使用状态。在不改变物理拓扑的前提下,直接监控、审计所有数据库访问行为。,数据库防火墙部署周期,数据库防火墙产品部署,主动防御:数据库安全运维系统,工作流程,提交申请,申请详情,审批通过,获得口令,任意客户端连接
8、,使用口令注册, 执行申请操作,合法,放行,任意客户端建立连接,无口令 或执行未申请的操作,被拒绝,申请人,审批人,申请方式,多种通知方式,本系统提供了多形式的信息通知(告警和审批消息),包括手机短信、邮件、以及SYSLOG、SNMP等,报表展现形式: 日报、周报、月报 PDF、Word、Html导出 报表内容: 申请统计 执行语句、 风险分析、 告警报表 统计图展现形式: 饼状图 柱形图 条形图 双轴折线图,申请统计,执行语句,风险分析,告警分析,完善的报表展示,产品功能特点,数据库安全运维系统,事中运维控制,支持多数据库与SQL类型,自主识别、风险提示,多角色多权限管理,可拓展接口,丰富报
9、表与技术报告,产品功能特点,不同用户在统一平台集中登录进行身份认证,不同申请方式都要通过审批人审核通过后才可以执行SQL操作,通过集中检索语句、会话、风险等重要数据集中分析,对SQL进行风险提示,执行SQL触发风险有告警、阻断、拦截等管控手段,产品价值,安华DBController安全管控产品具备一套标准的审批流程,使运维人员访问行为得到事中管控。,规范审批流程,实时运维监控,自动根据预设置的风险控制策略,对数据特征检测及审计规则检测,任何尝试的攻击或违反规则的操作都会被检测到并实时阻断或告警,完善管控手段,DBController通过开放审批接口和报表接口,使数据库运维管控与当前的办公OA软
10、件、运维管理平台无缝兼容。,开放管理接口,部署方式,DBController支持两种串联模式:,数据加密,数据脱敏,防止第三方泄漏生产数据,防止核心敏感信息泄露,第三道防线:底线防守,XSecure-DBCoffer是一款基于加密技术的的数据库防泄漏产品能力,是国内唯一成熟的数据库加密产品,底线防守-数据库保险箱 DBCoffer,独立的权控体系 三权分立,加密存储,应用身份鉴别 SQL级API,对加密数据 权限访问控制,DBCoffer-泄密方式,Database,ID,Name,Dept,Sal,Mgr,PKEY,Sal,加密前,加密后,存储加密 以列为单位有选择的进行加密 支持各种常用数
11、据类型 每个加密列拥有唯一的密钥 支持随机盐进行密文扰乱 支持国家自主加密设备和加密算法,产品特性-数据加密,定义了谁、什么时间、什么地点、访问什么敏感数据,数据库(表、列),增强访问控制-细粒度访问控制,安全管理 工具,安全代理,安全服务系统(主),安全服务系统(从),部署方式,异地容灾,同步信号,本地应急服务,应用,DBC安全服务(主),DBC安全服务(从),手动应急办法,容灾部署,充分满足等保、分保数据库安全要求;全方位主动预防敏感信息的泄露、篡改,系统稳定运行 具有完善的容错和容灾能力,数据透明加解密技术 应用系统不用改造 数据库维护工作不受影响,Oracle SQLServer主流版
12、本,密文索引技术 提高密文情况下检索效率 保证密文数据可以快速查询,数据库加密保险箱 DBCoffer-产品优势,数据库,业务系统,含有敏感数据 的文件或数据流,无敏感数据 的文件或数据流,不能使用敏感数 据的设备、业务 系统、和用户,数据库脱敏,XSecure-DBM是国内关联性保持最专业数据库脱敏产品 XSecure-DBM是一款拥有自动发现、自动脱敏、算法丰富的脱敏工具,数据分析,测试环境,开发环境,底线防守-数据库脱敏产品DBMasker,数据文件,数据库,数据发现,数据抽取,数据脱敏,数据发放,数据脱敏系统,数据分析,测试环境,开发环境,DBMasker,随机替换,掩码处理,部分替换
13、,数据脱敏-生产数据自动化脱敏,关联不变,脱敏数据关联性,产品优势-数据发现和关联能力,产品部署方式,XSecure-DBAudit是一款基于精确协议解析的专业数据库审计产品, 具备强大风险发现和告警能力,是国内最为精确、性能最好的数据库审计产品,C/S应用 B/S应用 WebLogic Tomcat WebSphere IIS,Oracle SQL Server DB2 MySQL DM GBase,第四道防线:事后审计,DBAudit 数据库监控与审计系统,实时告警,溯源定位,性能梳理,数据库审计产品的意义,谁 : sys 哪里 :202.102.34.51 干什么 :update sal
14、ary(薪水) 时间 : 2007/01/02 22:14:23 方式 : SQL语句:update salary set account =10000000 emloyee_name = 王小明 通过工具: HR,5W,全面的行为审计,在一个典型的“连接池”化应用中,应用服务器使用一个共享的数据库帐户来访问数据库 这样就不能识别出究竟是 谁 发起的交易,获取应用服务器会话信息 提取应用服务器SQL语句参数 Jtap将应用会话关联,DBAudit,多种技术结合使用, 达到100%精确效果,* 传统通过时序关联和模式匹配,实现应用用户关联的方式,准确率低,应用用户关联难题,三层关联-精准的关联审
15、计,实现数据库运维操作有效安全监管,与业务紧密结合安全措施更好落地,构建核心应用的行为模型,通过学习期,学习完善期,然后切换到保护期,发现后门程序批量导出敏感信息的行为; 业务人员数据库操作通过对数据库精确应用关联审计,准确率100%。,通过业务语言识别技术,业务人员也能看懂用户执行SQL语句的作用。,SQL语言-业务行为描述与翻译,实现数据库运维审计过程防泄密,防止数据库审计产品成为银行业务信息泄露源头;,掩码 卡号19位数字 采用规则替换为“卡号为#“ 原文: select distinct group_id from rt_overtime_detail where curent_st
16、= 1 and (create_time is not null) and (time_out_time is null) and cardid = 6217900100001101157,敏感信息掩码-防止审计信息泄密,,实现数据库整体性能实施查看,执行平均耗时Top N,发现SQL较慢的语句; SQL吞吐量、响应时间,找出最占据SQL开销业务;,性能监控-找出业务性能瓶颈,报表展现形式: 全库报表和单库报表 日报、周报、月报 报表推送 PDF、Word、Html导出 报表内容: 多数据库综合分析 性能状态、 会话分布、 语句分布、 风险分析 萨班斯法案 PCI报表 统计图展现形式: 饼状图 柱形图 条形图 双轴折线图,综合性报表,合规性报表,专项性报表,自定义报表,报表展示-全面的、合规的报表展现
