隨著互聯網�����、物聯網�、云計算等信息技術與通信技術的迅猛發展����,數據大規模的被生產、存儲與使用���,大量的數據在帶給人們巨大價值的同時,也帶來了各種數據泄露的風險。近年來,數據泄露事件頻繁發生��,給國家��、單位和個人都造成了嚴重的損失���。分析已發生的數據泄露事件原因��,既有黑客的攻擊也有內部工作人員有意無意對數據的操作,今天我們來說下既可以防外又可以防內的數據庫防火墻應具備的功能。
一���、數據庫防火墻應具備的基本功能
功能一:應用身份識別
通過應用URL、賬號的關聯,只有合法應用發出的SQL語句可以穿過防火墻訪問數據庫,其他登陸工具和應用都無法通過防火墻登陸后臺數據庫,確保數據來自指定應用。
功能二:建立應用“白名單”
基于學習期建立語句�����、風險�����、會話的行為模型,學習期將合法應用的SQL語句全部捕獲����,統一放到“白名單”里����,防止合法語句被誤報�。通過學習完善期,然后切換到保護期��,此時如果出現了批量導出敏感數據的操作���,數據庫防火墻會報“新型語句”�����,安全管理員要根據具體情況判斷語句風險防止批量導出敏感信息的行為�。
功能三:操作權限細粒度管理
擁有比數據庫系統更詳細的權限控制�����,控制權限細粒到用戶���、操作語句�、操作對象�����、操作時間等�����;另外在控制操作中增加對不帶條件的刪除、修改等高危操作的阻斷�;對于返回行數和影響行數實現精確控制��,增強對用戶的細粒度控制。
功能四:抵御SQL注入
通過對SQL語句進行注入特征描述�����,完成對“SQL注入”行為的檢測和阻斷��。數據庫防火墻提供了虛擬補丁功能��,在數據庫外的網絡層創建了一個安全層,用戶在無需補丁情況下���,完成數據庫漏洞防護,對于有“擴展腳本”和“緩沖區溢出”攻擊的特征的SQL語句����,直接進行攔截��。
功能五:阻斷漏洞攻擊
按照SQL自身語法結構劃分SQL類別,通過自定義模型手動添加新的SQL注入特征���,進行有效攔截。數據庫漏洞攻擊防控:開啟虛擬補丁配置策略���,即可防范數據庫漏洞的攻擊。
二�����、數據庫防火墻應具備的增值功能
功能一:協議解析
傳統解析手段采用字符串匹配技術和較為簡單的協議解析技術來分析SQL語句��,因解析結果不準確基本不可用�。數據庫防火墻采用準確的協議解析技術�,解決了審計產品面臨的難點,例如長SQL語句��、參數化語句�、參數值����、字符集等。
功能二:分權管理
數據庫防火墻提供“三權分立”機制�,對特權用戶的權力進行有效拆分�����。系統管理員、安全管理員和審計管理員三大特權用戶各司其職�。系統管理員用于監控系統狀態����、管理系統證書����、管理系統網絡等;安全管理員用于管理賬號、監查系統安全狀態��、配置安全策略����、分析審計日志等;審計管理員用于記錄系統管理員和安全管理員的系統級操作行為。
功能三:高可靠性
數據庫防火墻提供多種高可用容災方案����,包括多重Bypass能力����、代理網絡三通和雙機HA部署����。
三�����、數據庫防火墻相關文章
? 數據庫安全關鍵技術之數據庫防火墻技術
? 數據庫防火墻技術研究
? 數據庫防火墻串聯部署和旁路部署的區別
? 數據庫防火墻技術市場調研報告
? 誰說數據庫防火墻風險大�?那是你還不知道應用關聯防護
? 數據庫防火墻的七種武器
? 論數據庫防火墻的自我修養之一丨高可用性
? 論數據庫防火墻的自我修養之二丨高性能和可擴縮
產品咨詢:4000 258 365 
