《LanSecS数据库安全防护系统解决方案》由会员分享,可在线阅读,更多相关《LanSecS数据库安全防护系统解决方案(8页珍藏版)》请在金锄头文库上搜索。
1、细心整理LanSecS数据库平安防护系统解决方案 北京圣博润高新技术股份有限公司2014年3月1 产品背景1.1 概述 随着计算机技术的飞速开展,数据库的应用特殊广泛,深化到各个领域,但随之而来产生了数据的平安问题以及数据库访问的平安问题。各种应用系统的数据库中大量数据的平安问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其平安性至关重要,因此,如何有效地保证数据库系统的平安,实现数据的保密性、完整性和有效性,已经成为业界人士探究探究的重要课题之一。 越来越多的关键业务系统运行在数据库平台上。同时也成为担忧定因素的主要目标。
2、如何确保数据库自身的平安,已成为现代数据库系统的主要评测指标之一。数据库是信息技术的核心和根底,广泛应用在电信、金融、政府、商业、企业等诸多领域,当我们说现代经济依靠于计算机时,我们真正的意思是说现代经济依靠于数据库系统。数据库中储存着诸如银行账户、医疗保险、电话记录、生产或交易明细、产品资料等极其重要和敏感的信息。尽管这些系统的数据完整性和平安性是相当重要的,但对数据库接受的平安检查措施的级别还比不上操作系统和网络的平安检查措施的级别。许多因素都可能破坏数据的完整性并导致非法访问,这些因素包括困难程度、密码平安性较差、误配置、未被觉察的系统后门以及数据库平安策略的缺失等。 在攻击方式中,SQ
3、L注入攻击是黑客对数据库进展攻击的常用手段之一,而且外表看起来跟一般的Web页面访问没什么区分,所以市面上的通用防火墙都不会对SQL注入发出警报,假如管理员没查看IIS日志的习惯,可能被入侵很长时间都不会觉察。如何防备SQL注入攻击也是亟待解决的重点问题之一。 数据库的应用相当困难,驾驭起来特殊困难。许多数据库管理员都忙于管理困难的系统, 所以很可能没有检查出紧要的平安隐患和不当的配置,甚至根本没有进展检测。 正是由于传统的平安体系在很大程度上忽视了数据库平安这一主题,使数据库专业人员也通常没有把平安问题当作他们的首要任务。在平安领域中,类似网页被修改、电脑中病毒、木马、流氓软件、弹出窗口等所
4、造成的经济损失微乎其微,而一旦数据库出现平安风险并被恶意利用所造成的后果几乎是灾难性的和不行挽回的。 由此可见,数据库平安事实上是信息系统信息平安的核心,在这种状况下,有必要接受专业的新型数据库平安产品,特地对信息系统的数据库进展爱惜。1.2 数据库风险分析2 产品概述LanSecS数据库平安防护系统,是一款基于数据库协议分析与限制技术的数据库平安防护系统。LanSecS数据库平安防护系统基于主动防备机制,实现数据库的访问行为限制、紧急操作阻断、可疑行为审计。LanSecS数据库平安防护系统是一款集数据库IPS、IDS和审计功能为一体的综合平安产品。LanSecS数据库平安防护系统通过SQL协
5、议分析,依据预定义的制止和许可策略让合法的SQL操作通过,阻断非法违规操作,形成数据库的外围防备圈,实现SQL紧急操作的主动预防、实时审计。LanSecS数据库平安防护系统面对来自于外部的入侵行为,供应防SQL注入制止和数据库虚拟补订包功能;通过虚拟补丁包,数据库系统不用升级、打补丁,即可完成对主要数据库漏洞的防控。LanSecS数据库平安防护系统支持Oracle、MS SQL Server 、DB2、MySQL、Sybase等多种国际主流数据库产品。能够在不影响数据库原有性能、无需应用进展改造的前提下,供应牢靠数据库平安爱惜效劳。3 功能特性【虚拟补丁】CVE上公布了2000多个数据库平安漏
6、洞,这些漏洞给入侵者放开了大门。数据库厂商会定期推出数据库漏洞补丁,由于数据库打补丁工作的困难性和对应用稳定性的考虑,大多数企业无法刚好更新补丁。LanSecS数据库平安防护系统供应了虚拟补丁功能,在数据库外的网络层创立了一个平安层,在用户在无需补丁状况下,完成数据库漏洞防护。LanSecS数据库平安防护系统支持22类,460个以上虚拟补丁。【黑白名单支持】LanSecS数据库平安防护系统通过学习模式以及SQL语法分析构建动态模型,形成SQL白名单和SQL黑名单,对符合SQL白名单语句放行,对符合SQL黑名单特征语句阻断。【细粒度权限管理】LanSecS数据库平安防护系统对于数据库用户供应比D
7、BMS系统更详细的虚拟权限限制。限制策略包括:用户+操作+对象+时间。在限制操作中增加了Update Nowhere、delete Nowhere等高危操作;限制规那么中增加返回行数和影响行数限制。 【SQL注入制止】LanSecS数据库平安防护系统通过对SQL语句进展注入特征描述,完成对SQL注入行为的检测和阻断。系统供应缺省SQL注入特征库;系统供应定制化的扩展接口。【阻断和审计】阻断动作包括:中断会话和拦截语句。审计行为分为:平凡审计和告警审计。告警通知包括:syslog、snmp、邮件和短信。【行为监控与分析】LanSecS数据库平安防护系统供应全面详细审计记录,告警审计和会话事务记录
8、,并在此根底上实现了内容丰富的审计阅读、访问分析和问题追踪,供应实时访问仪表盘。 LanSecS数据库平安防护系统通过对捕获的SQL语句进展精细SQL语法分析,并依据SQL行为 特征和关键词特征进展自动分类,系统访问SQL语句有效“归类”到几百个类别范围内, 完成审计结果的高精确和高可用分析。4 产品价值4.1 完备数据库平安防护LanSecS数据库平安防护系统供应四大产品核心价值,包括防止外部黑客攻击、防止内部高危操作、防止敏感数据泄漏、审计追踪非法行为。u 防止外部黑客攻击威逼:黑客利用Web应用漏洞,进展SQL注入;或以Web应用效劳器为跳板,利用数据库自身漏洞攻击和侵入。防护:通过虚拟
9、补丁技术捕获和阻断漏洞攻击行为,通过SQL注入特征库捕获和阻断SQL注入行为。u 防止内部高危操作威逼:系统维护人员、外包人员、开发人员等,拥有干脆访问数据库的权限,有意无意的高危操作对数据造成破坏。防护:通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作幸免大规模损失。u 防止敏感数据泄漏威逼:黑客、开发人员可以通过应用批量下载敏感数据,内部维护人员远程或本地批量导出敏感数据。防护:限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。u 审计追踪非法行为威逼:业务人员在第三方利益诱惑下,通过业务系统供应的功能完成对敏感信息的访问,进展
10、信息的售卖和数据篡改。防护:供应对全部数据访问行为的记录,对风险行为进展SysLog、邮件、短信等方式的告警,供应事后追踪分析工具4.2 多种应用模式数据库审计产品:供应全面数据库审计实力,符合等保三级需求数据库入侵防备产品:接入在应用效劳器和数据库效劳器之间,防止外部黑客入侵数据库运维管控产品:内部数据库运维接口,防止运维人员高危操作和泄漏敏感数据内外网隔离装置:替代传统防火墙、IDS、IPS产品,实现唯一内网接入通道平安数据库通讯5 产品优势5.1 全面入侵阻断供应业界最为全面的数据库攻击行为检测和阻断技术:l 虚拟补丁技术:针对CVE公布的漏洞库,供应漏洞特征检测技术。l 高危访问限制技
11、术:供应对数据库用户的登录、操作行为,供应依据地点、时间、用户、操作类型、对象等特征定义高危访问行为。l SQL注入制止技术:供应SQL注入特征库。l 返回行超标制止技术:供应对敏感表的返回行数限制。l SQL黑名单技术:供应对非法SQL的语法抽象描述。5.2 高度应用兼容 对于IPS类产品最重要的是在保持“低漏报率”的同时维护“低误报率”;对于数据库而言这点更为关键,一点点“误报”可能就会造成重大业务影响。 LanSecS数据库平安防护系统供应强大的应用行为描述方法,以对合法应用行为放行,将误报率降低为“零”。 LanSecS数据库平安防护系统通过语法抽象描述不同类型的SQL语句,躲避参数带
12、来的多样化;通过应用学习捕获全部合法SQL的语法抽象,建立应用SQL白名单库。5.3 快速部署实施l 预定义策略模版: LanSecS数据库平安防护系统供应应用场景、维护场景、混合场景多种策略模版帮助用户快速建立平安策略。l 预定义风险特征库: 通过预定义风险特征库快速建立风险阻断规那么。l 多种运行模式: LanSecS数据库平安防护系统供应IPS、IDS运行模式,供应学习期、学习完善期、爱惜期三种运行周期,以帮助用户在防火墙建立的不同阶段平滑过渡。5.4 丰富产品系列 产品共分为2大系列,满足不同生产环境和访问压力级别的应用需求。6 典型部署6.1 串联模式LanSecS数据库平安防护系统
13、支持两种串联模式:透亮网桥模式:在网络上物理串联接入LanSecS数据库平安防护系统设备,全部用户访问的网络流量都串联流经设备;通过透亮网桥技术,客户端看到的数据库地址不变。代理接入模式:网络上并联接入LanSecS数据库平安防护系统设备,客户端逻辑连接防火墙设备地址,防火墙设备转发流量到数据库效劳器;通过代理接入模式,网络拓扑构造不变。6.2 旁路部署模式 LanSecS数据库平安防护系统设备不干脆接入网络,而是通过TAP、SPAN等技术将网络流量映射到防火墙设备;通过旁路部署模式既不变更网络拓扑,也不在应用链路上增加新的设备点。6.3 混合部署模式LanSecS数据库平安防护系统支持在一台设备上同时进展串联和旁路两种接入模式,对不同的数据库实例支持IPS和IDS两种运行模式。
