寫在最前:
安全產品系列目錄:目錄&總述
解決資料庫應用側和運維側兩方面的問題,是一款基於資料庫協議分析與控制技術的資料庫安全防護系統
主動防禦,實現資料庫的訪問行為控制、危險操作阻斷、可疑行為審計。
資料庫安全技術之一,資料庫安全技術主要包括:資料庫漏掃、資料庫加密、資料庫防火牆、資料脫敏、資料庫安全審計系統
防止sql注入的最好解決辦法
產品簡介
部署在資料庫前端,實時監控資料庫操作行為,通過對資料庫協議的解析,發現違規操作進行精確阻斷
產品特點
前端部署,接管全部操作
內建策略,操作簡單
細粒度協議解析與雙向審計
實時行為監控
應用三層關聯審計
使用者價值
保護資料安全
方便檢視資料庫操作行為
1.功能技術
遮蔽直接訪問資料庫的通道:資料庫防火牆部署介於資料庫伺服器和應用伺服器之間,遮蔽直接訪問的通道,防止資料庫隱通道對資料庫的攻擊。
二次認證:基於獨創的「連線六元組【機器指紋(不可偽造)、ip位址、mac位址、使用者、應用程式、時間段】」授權單位,應用程式對資料庫的訪問,必須經過資料庫防火牆和資料庫自身兩層身份認證。
攻擊保護:實時檢測使用者對資料庫進行的sql注入和緩衝區溢位攻擊。並報警或者阻止攻擊行為,同時詳細的審計下攻擊操作發生的時間、**ip、登入資料庫的使用者名稱、攻擊**等詳細資訊。
連線監控:實時的監控所有到資料庫的連線資訊、運算元、違規數等。管理員可以斷開指定的連線。
安全審計:系統能夠審計對資料庫伺服器的訪問情況。包括使用者名稱、程式名、ip位址、請求的資料庫、連線建立的時間、連線斷開的時間、通訊量大小、執行結果等等資訊。並提供靈活的回放日誌查詢分析功能,並可以生存報表。
審計探針:本系統在作為資料庫防火牆的同時,還可以作為資料庫審計系統的資料獲取引擎,將通訊內容傳送到審計系統中。
細粒度許可權控制:按照sql操作型別包括select、insert、update、delete,物件擁有者,及基於表、檢視物件、列進行許可權控制
精準sql語法分析:高效能sql語義分析引擎,對資料庫的sql語句操作,進行實時捕獲、識別、分類
自動sql學習:基於自學習機制的風險管控模型,主動監控資料庫活動,防止未授權的資料庫訪問、sql注入、許可權或角色公升級,以及對敏感資料的非法訪問等。
透明部署:無須改變網路結構、應用部署、應用程式內部邏輯、前端使用者習慣等
2.部署模式
所有資料操作都要經過db firewall,序列部署在資料庫伺服器前端,檢查全部對資料庫進行的操作
透明模式或**模式
其實也可以旁路,但會犧牲很大一部分功能,但可以避免資料讀取的時延(很多序列部署裝置同理)
生產廠商
資料庫防火牆:
安恆資訊、安華金和、中安位元/中安威士、帕拉迪/漢領資訊、杭州美創、中安星雲、杭州閃捷、華清信安、信諾瑞得、安數雲、東軟、啟明星辰
資料庫加密系統是基於透明加密技術的資料庫防洩漏系統,能夠實現對資料庫中的敏感資料加密儲存、訪問控制增強、應用訪問安全、安全審計以及三權分立等功能。
產品簡介
利用透明加密技術對資料庫加密
產品特點
多金鑰管理
容災備份
處理快速,無影響操作
使用者價值
字段加密;
金鑰動態管理;
合理處理資料;
不影響合法使用者的操作;
防止非法操作
1.加密技術
對資料進行加密,主要有三種方式:系統中加密、客戶端(dbms外層)加密、伺服器端(dbms核心層)加密。客戶端加密的好處是不會加重資料庫伺服器的負載,並且可實現網上的傳輸加密,這種加密方式通常利用資料庫外層工具實現。而伺服器端的加密需要對資料庫管理系統本身進行操作,屬核心層加密,如果沒有資料庫開發商的配合,其實現難度相對較大。
在系統中加密,在系統中無法辨認資料庫檔案中的資料關係,將資料先在記憶體中進行加密,然後檔案系統把每次加密後的記憶體資料寫入到資料庫檔案中去,讀入時再逆方面進行解密就,這種加密方法相對簡單,只要妥善管理金鑰就可以了。缺點對資料庫的讀寫都比較麻煩,每次都要進行加解密的工作,對程式的編寫和讀寫資料庫的速度都會有影響。
在dbms核心層實現加密需要對資料庫管理系統本身進行操作。這種加密是指資料在物理訪問之前完成加解密工作。這種加密方式的優點是加密功能強,並且加密功能幾乎不會影響dbms的功能,可以實現加密功能與資料庫管理系統之間的無縫耦合。其缺點是加密運算在伺服器端進行,加重了伺服器的負載,而且dbms和加密器之間的介面需要dbms開發商的支援。
在dbms外層實現加密的好處是不會加重資料庫伺服器的負載,並且可實現網上的傳輸,加密比較實際的做法是將資料庫加密系統做成dbms的乙個外層工具,根據加密要求自動完成對資料庫資料的加解密處理。採用這種加密方式進行加密,加解密運算可在客戶端進行,它的優點是不會加重資料庫伺服器的負載並且可以實現網上傳輸的加密,缺點是加密功能會受到一些限制,與資料庫管理系統之間的耦合性稍差。
2.功能特性
通訊加密與完整性保護:
有關資料庫的訪問在網路傳輸中都被加密,通訊一次一密的意義在於防重放、防篡改。
資料庫資料儲存加密與完整性保護:
資料庫系統採用資料項級儲存加密,即資料庫中不同的記錄、每條記錄的不同欄位都採用不同的金鑰加密,輔以校驗措施來保證資料庫資料儲存的保密性和完整性,防止資料的非授權訪問和修改。
資料庫加密設定:
系統中可以選擇需要加密的資料庫列,以便於使用者選擇那些敏感資訊進行加密而不是全部資料都加密。只對使用者的敏感資料加密可以提高資料庫訪問速度。這樣有利於使用者在效率與安全性之間進行自主選擇。
多級金鑰管理模式:
主金鑰和主金鑰變數儲存在安全區域,二級金鑰受主金鑰變數加密保護,資料加密的金鑰儲存或傳輸時利用二級金鑰加密保護,使用時受主金鑰保護。
安全備份:
系統提供資料庫明文備份功能和金鑰備份功能
脫敏分為動態脫敏與靜態脫敏
防止敏感資訊洩露,對敏感資訊進行處理
動態是每次使用時檢測脫敏,在外層設定
靜態操作完成後,從內部完成脫敏
產品簡介
實時對資料庫響應資料進行脫敏
產品特點
不同人員許可權管理,反饋不同資訊
白名單策略,方便操作
脫敏方式豐富(替換、數字隨機化、遮蔽、偏移等)
運維脫敏,防止誤操作
使用者價值
不影響使用,適應範圍廣
許可權控制,防止越權訪問
降低敏感資訊洩露風險
產品簡介
針對使用者資料進行流程化管理,對敏感資料進行脫敏的管控平台
產品特點
效能高,處理速度快
脫敏結果高**
結果不可逆,不能反分析出原資料
利用模型,自動識別敏感資料
使用者價值
避免直接對資料庫進行操作(取出-脫敏-傳入)
防止敏感資料額洩露
生產廠商
資料庫加密和脫敏:
中安位元/中安威士、安華金和、邁科龍、中安星雲、杭州美創、上海觀安、優炫、廣州鼎甲、杭州閃捷、華清信安、世平資訊、東軟、啟明星辰
產品簡介
敏感資料防洩露
產品特點
策略管理、裝置管理、事件管理
內容檢測、響應阻斷、事件上報
外發控制
使用者價值
保護資料安全,防止資料洩露
實時檢測,記錄,方便分析追責
1.產品功能
辦公蒐集和手工蒐集文件維護
在辦公區域網等內部蒐集中,採用透明加密蒐集內的手工文件、設計圖紙、源**、電路圖等中間資料自動、強迫、實時加密。採用文件許可權管理對管理部門的辦公信件、財務部門的財務資料、發賣部門的客戶資料、市場部門的謀劃方案等商業機密檔案中止許可權節制。經由兩種管理體式款式,確保內部蒐集終端安全,防止內部中間資訊外洩。
文件外發節制
對企業內部發往出差人員、協作單位等系統外的文件。當外發檔案掀開時,需經由使用者身份認證,方可閱讀檔案。同時,外發檔案可以限制**者的閱讀次數和運用時分等細粒度的許可權,從而有效防止了客戶首要資訊被非法擴散。
離線離線辦公管理
在人員出差或其他情況下,需求外帶膝上型電腦,經由計謀設定,可以確保對離線膝上型電腦資料的節制。
膝上型電腦管理
對存有首要資料的膝上型電腦,採用磁碟加密。
內網埠管理和移動裝置管理
對內網中的一切埠和移動裝置,對u盤、行動硬碟、紅外、wifi、藍芽等輸出埠中止節制,並能對拷貝到移動儲存裝置的文件加密。
文件自動備份
文件每次保管後均自動備份到備份伺服器中。文件管理員可經由改動備份的方式和路子,完成備份管理。使用者在分開伺服器方式下的文件,也將自動備份到當地硬碟中。經由備份,可有效避免因為各類意外招致的資料損失。
日誌審計
能夠看管、跟蹤、記錄一切使用者的悉數操作,實時檢視系統的運用情況,完成最高的系統安全。可以從嚴重的記錄資料中抽取有用的資訊,對使用者的某些操作中止分類整理,經由操作記錄,回溯歷史活動,從而發現洩密渠道。經由跟蹤使用者操作,能及時發現使用者的風險操作,在洩密工作發現前就獲得警報,遏止洩密工作的發生。一旦洩密工作發生,經由使用者操作記錄, 可以第一時分拿出最有力的證據。
2.部署模式
資料洩密防護需要部署服務端、控制台和客戶端,管理人員通過控制台處理客戶端加密檔案的申請,服務端負責數字證書生成、記錄檔案加密資訊和解密日誌,進行統一管理。
生產廠商
億賽通、明朝萬達、天銳、大成天下
資料庫防火牆 資料庫防火牆的阻斷方式
01 行為阻斷 行為阻斷是資料庫防火牆的自然工作方式。當檢測到入侵行為的時候,阻斷該行為的操作。行為阻斷依據響應偏好的不同,可以工作在不同模式之下。模式一 錯誤響應模式 阻斷操作之後,返回預先定義的錯誤資訊,使應用程式可以構造合理的錯誤響應。錯誤響應模式的好處在於可以讓應用程式檢測到入侵發生,並響應...
資料庫安全 Oracle資料庫防火牆技術
oracle資料庫防火牆技術是甲骨文探索出的一種先進的資料庫縱深防禦體系,提供的系列資料庫安全產品能夠在資料加密和遮蔽的基礎上,實行訪問控制,並實時監控整個資料環境裡的活動,實現立體化的資料保護。oracle資料庫防火牆基於網路的安全軟體監控資訊流,使oracle和非oracle資料庫免於攻擊。它圍...
資料庫防火牆 資料庫防火牆商業化的前提條件
資料庫防火牆和一般的傳統資料庫安全裝置不同,它部署在應用伺服器和資料庫伺服器之間。業務系統巨大的流量將穿越資料庫防火牆,資料庫防火牆任何的風吹草動都會影響業務系統的正常執行。資料庫防火牆投放市場之前,不管資料庫防火牆功能的多寡,都必須解決兩個基本問題 效能和可靠性。效能主要考慮兩方面的影響 延遲和併...