數據庫防火牆

隨着互聯網技術和信息技術的迅速發展，以數據庫為基礎的信息系統在經濟、金融、醫療等領域的信息基礎設施建設中得到了廣泛的應用，越來越多的數據信息被不同組織和機構(例如，統計部門、醫院、保險公司等)蒐集、存儲以及發佈，其中大量信息被用於行業合作和數據共享。但是在新的網絡環境中，由於信息的易獲取性，這些包含在數據庫系統中的關乎國家安全、商業或技術機密、個人隱私等涉密信息將面臨更多的安全威脅。當前，日益增長的信息泄露問題已然成為影響社會和諧的一大障礙。

數據泄漏事件幾乎覆蓋所有行業，例如：

(1) 金融行業：2012年4月，visa信用卡泄密事件致使150萬個賬户受影響。 ^[1] 

(2) 政府部門：2011年12月，廣東公安廳技術漏洞致444萬出入境數據泄漏。 ^[2] 

(3) 互聯網：2011年歲末，數據泄密信息過億，其中噹噹網1200萬用户信息泄漏；支付寶賬户泄漏達1500萬到2500萬；CSDN 600餘萬用户信息泄漏。

(4) 電信行業：2011年3月，陝西移動1394萬用户信息被盜。

(5) 醫療行業：2008年深圳4萬餘名孕婦信息泄漏。 ^[3] 

由上述案例可見，數據泄漏無處不在，且愈演愈烈。據Verizon公司的數據泄漏調查報告統計顯示：有90%以上的數據泄漏是由數據庫被盜引起的。 ^[4] 

現有邊界防禦安全產品和解決方案均採用被動防禦技術，無法從根本上解決各組織數據庫數據所面臨的安全威脅和風險，解決數據庫數據安全需要專用的數據庫安全設備從根本上解決數據安全問題。

數據庫防火牆技術是針對關係型數據庫保護需求應運而生的一種數據庫安全主動防禦技術，數據庫防火牆部署於應用服務器和數據庫之間。用户必須通過該系統才能對數據庫進行訪問或管理。數據庫防火牆所採用的主動防禦技術能夠主動實時監控、識別、告警、阻擋繞過企業網絡邊界（FireWall、IDS\IPS等）防護的外部數據攻擊、來自於內部的高權限用户（DBA、開發人員、第三方外包服務提供商）的數據竊取、破壞、損壞的等，從數據庫SQL語句精細化控制的技術層面，提供一種主動安全防禦措施，並且，結合獨立於數據庫的安全訪問控制規則，幫助用户應對來自內部和外部的數據安全威脅。數據庫防火牆技術使用了《一種基於通信協議和SQL語法的數據庫自動發現方法的專利技術》。

屏蔽直接訪問數據庫的通道：數據庫防火牆部署介於數據庫服務器和應用服務器之間，屏蔽直接訪問的通道，防止數據庫隱通道對數據庫的攻擊。

二次認證：基於獨創的“連接六元組【機器指紋（不可偽造）、IP地址、MAC地址、用户、應用程序、時間段】”授權單位，應用程序對數據庫的訪問，必須經過數據庫防火牆和數據庫自身兩層身份認證。

攻擊保護：實時檢測用户對數據庫進行的SQL注入和緩衝區溢出攻擊。並報警或者阻止攻擊行為，同時詳細的審計下攻擊操作發生的時間、來源IP、登錄數據庫的用户名、攻擊代碼等詳細信息。

連接監控：實時的監控所有到數據庫的連接信息、操作數、違規數等。管理員可以斷開指定的連接。

安全審計：系統能夠審計對數據庫服務器的訪問情況。包括用户名、程序名、IP地址、請求的數據庫、連接建立的時間、連接斷開的時間、通信量大小、執行結果等等信息。並提供靈活的回放日誌查詢分析功能，並可以生成報表。

審計探針：本系統在作為數據庫防火牆的同時，還可以作為數據庫審計系統的數據獲取引擎，將通信內容發送到審計系統中。

細粒度權限控制：按照SQL操作類型包括Select、Insert、Update、Delete,對象擁有者，及基於表、視圖對象、列進行權限控制

精準SQL語法分析：高性能SQL語義分析引擎，對數據庫的SQL語句操作，進行實時捕獲、識別、分類

自動SQL學習：基於自學習機制的風險管控模型，主動監控數據庫活動，防止未授權的數據庫訪問、SQL注入、權限或角色升級，以及對敏感數據的非法訪問等。

透明部署：無須改變網絡結構、應用部署、應用程序內部邏輯、前端用户習慣等

支持橋接、網關和混合接入方式

基於硬件的BYPASS能力，防止單點失效

多線程技術和緩存技術，支持高併發連接

配置管理採用瀏覽器界面，方便學習和使用

現有應用程序與透明數據庫防火牆之間可以無縫連接，部署和配置過程簡單

可以靈活的對每個應用程序的訪問權限進行配置，可以選擇全部放行、到數據庫級別、模式級別、表級別、字段級別的權限控制

支持基於安全等級標記的訪問控制策略

可以選擇違規響應策略，審計、拒絕訪問

可以配置審計的內容，對於違規等重要的事件，系統進行強制審計。用户也可以選擇對常規操作進行審計

先進的查詢功能，並可以使用多個查詢條件，包括時間、IP、用户名、風險等級等

支持雙機熱備功能，保障連續服務能力

DBFirewall數據庫防火牆支持兩種串聯模式：　

透明網橋模式：在網絡上物理串聯接入DBFirewall設備，所有用户訪問的網絡流量都串聯流經設備；通過透明網橋技術，客户端看到的數據庫地址不變。

代理接入模式：網絡上並聯接入DBFirewall設備，客户端邏輯連接防火牆設備地址，防火牆設備轉發流量到數據庫服務器；通過代理接入模式，網絡拓撲結構不變。

也支持旁路部署模式：

DBFirewall設備不直接接入網絡，而是通過TAP、SPAN等技術將網絡流量映射到防火牆設備；通過旁路部署模式既不改變網絡拓撲，也不在應用鏈路上增加新的設備點。

防止外部黑客攻擊威脅：黑客利用Web應用漏洞，進行SQL注入；或以Web應用服務器為跳板，利用數據庫自身漏洞攻擊和侵入。

防護：通過虛擬補丁技術捕獲和阻斷漏洞攻擊行為，通過SQL注入特徵庫捕獲和阻斷SQL注入行為。

威脅：系統維護人員、外包人員、開發人員等，擁有直接訪問數據庫的權限，有意無意的高危操作對數據造成破壞。

防護：通過限定更新和刪除影響行、限定無Where的更新和刪除操作、限定drop、truncate等高危操作避免大規模損失。

威脅：黑客、開發人員可以通過應用批量下載敏感數據，內部維護人員遠程或本地批量導出敏感數據。

防護：限定數據查詢和下載數量、限定敏感數據訪問的用户、地點和時間。

威脅：業務人員在利益誘惑下，通過業務系統提供的功能完成對敏感信息的訪問，進行信息的售賣和數據篡改。

防護：提供對所有數據訪問行為的記錄，對風險行為進行SysLog、郵件、短信等方式的告警，提供事後追蹤分析工具。