產(chǎn)品概述

安華金和數(shù)據(jù)庫防火墻系統(tǒng)（簡稱DPS），是一款針對應(yīng)用側(cè)異常數(shù)據(jù)訪問的數(shù)據(jù)庫安全防護(hù)產(chǎn)品。

DPS采用主動防御機(jī)制，通過虛擬補(bǔ)丁技術(shù)捕獲和阻斷漏洞攻擊行為，通過SQL注入特征庫捕獲和阻斷SQL注入行為，實現(xiàn)數(shù)據(jù)庫的訪問行為控制、高危風(fēng)險阻斷和可疑行為審計DPS通過SQL協(xié)議分析，根據(jù)預(yù)定義的禁止和許可策略讓合法的SQL操作通過，阻斷非法違規(guī)操作，形成數(shù)據(jù)庫的外圍防御圈,實現(xiàn)SQL危險操作的主動預(yù)防、實時審計。
對于IPS類產(chǎn)品最重要的是在保持“低漏報率”的同時維護(hù)“低誤報率”；對于數(shù)據(jù)庫而言這點更為關(guān)鍵，一點點“誤報”可能就會造成重大業(yè)務(wù)影響。 DPS提供強(qiáng)大的應(yīng)用行為描述方法，以對合法應(yīng)用行為放行，將誤報率降低為“零”。 SQL白名單：DPS通過語法抽象描述不同類型的SQL語句，規(guī)避參數(shù)帶來的多樣化；通過應(yīng)用學(xué)習(xí)捕獲所有合法SQL的語法抽象，建立應(yīng)用SQL白名單庫。
DPS面對來自于外部的入侵行為，提供防SQL注入禁止和數(shù)據(jù)庫虛擬補(bǔ)訂包功能；通過虛擬補(bǔ)丁包，數(shù)據(jù)庫系統(tǒng)不用升級、打補(bǔ)丁，即可完成對主要數(shù)據(jù)庫漏洞的防控。
DPS支持Oracle、SQL Server 、MySQL等國際主流數(shù)據(jù)庫產(chǎn)品。能夠在不影響數(shù)據(jù)庫原有性能、無需應(yīng)用進(jìn)行改造的前提下，提供可靠數(shù)據(jù)庫安全保護(hù)服務(wù)。

產(chǎn)品功能

應(yīng)用‘零’誤報技術(shù)、快速部署實施能力、全面的入侵防御技術(shù)、審計追蹤非法行為、虛擬補(bǔ)丁技術(shù)、返回行超標(biāo)禁止技術(shù)。?
防止外部黑客攻擊 威脅：黑客利用Web應(yīng)用漏洞，進(jìn)行SQL注入；或以Web應(yīng)用服務(wù)器為跳板，利用數(shù)據(jù)庫自身漏洞攻擊和侵入。 防護(hù)：通過虛擬補(bǔ)丁技術(shù)捕獲和阻斷漏洞攻擊行為，通過SQL注入特征庫捕獲和阻斷SQL注入行為。
? 防止內(nèi)部高危操作 威脅：系統(tǒng)維護(hù)人員、外包人員、開發(fā)人員等，擁有直接訪問數(shù)據(jù)庫的權(quán)限，有意無意的高危操作對數(shù)據(jù)造成破壞。 防護(hù)：通過限定更新和刪除影響行、限定無Where的更新和刪除操作、限定drop、truncate等高危操作避免大規(guī)模損失。
? 防止敏感數(shù)據(jù)泄漏 威脅：黑客、開發(fā)人員可以通過應(yīng)用批量下載敏感數(shù)據(jù)，內(nèi)部維護(hù)人員遠(yuǎn)程或本地批量導(dǎo)出敏感數(shù)據(jù)。 防護(hù)：限定數(shù)據(jù)查詢和下載數(shù)量、限定敏感數(shù)據(jù)訪問的用戶、地點和時間。
? 審計追蹤非法行為 威脅：業(yè)務(wù)人員在第三方利益誘惑下，通過業(yè)務(wù)系統(tǒng)提供的功能完成對敏感信息的訪問，進(jìn)行信息的售賣和數(shù)據(jù)篡改。 防護(hù)：提供對所有數(shù)據(jù)訪問行為的記錄，對風(fēng)險行為進(jìn)行SysLog、郵件、短信等方式的告警，提供事后追蹤分析工具

產(chǎn)品部署和適用場景

透明網(wǎng)橋模式：在網(wǎng)絡(luò)上物理串聯(lián)接入DPS設(shè)備，所有用戶訪問的網(wǎng)絡(luò)流量都串聯(lián)流經(jīng)設(shè)備，通過透明網(wǎng)橋技術(shù)，客戶端看到的數(shù)據(jù)庫地址不變。 代理接入模式：網(wǎng)絡(luò)上并聯(lián)接入DPS設(shè)備，客戶端邏輯連接防火墻設(shè)備地址，防火墻設(shè)備轉(zhuǎn)發(fā)流量到數(shù)據(jù)庫服務(wù)器。 適用場景： 場景1: 防止外部黑客通過互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)侵入數(shù)據(jù)庫，進(jìn)行數(shù)據(jù)竊取和數(shù)據(jù)破壞；對非法或危險行為進(jìn)行實時攔截 場景2：對內(nèi)部人員進(jìn)行控制，包括：開發(fā)人員（本公司&外包）和DBA可以實時地監(jiān)控所有對數(shù)據(jù)庫的訪問 在旁路部署模式DPS設(shè)備不直接接入網(wǎng)絡(luò)，而是通過TAP、SPAN等技術(shù)將網(wǎng)絡(luò)流量映射到防火墻設(shè)備；DPS對數(shù)據(jù)庫流量進(jìn)行審計和告警。 適用于高吞吐量、性能高度敏感業(yè)務(wù)系統(tǒng)（如電信計費(fèi)系統(tǒng)），需要持續(xù)監(jiān)控系統(tǒng)的訪問行為和安全事件的事后分析。 DPS支持在一臺數(shù)據(jù)庫防火墻設(shè)備上同時進(jìn)行串聯(lián)和旁路兩種接入模式，對不同的數(shù)據(jù)庫實例支持IPS和IDS兩種運(yùn)行模式。
在一個大型企業(yè)環(huán)境下，根據(jù)不同的數(shù)據(jù)庫安全需要，可以接入多臺DPS設(shè)備，不同的設(shè)備對應(yīng)不同的安全需求，實現(xiàn)不同的安全策略。根據(jù)不同的安全設(shè)備接入方式和不同的應(yīng)用策略，DPS可以有如下的產(chǎn)品應(yīng)用形式：1、作為數(shù)據(jù)庫審計產(chǎn)品，提供全面數(shù)據(jù)庫審計能力，符合等保三級需求。2、作為數(shù)據(jù)庫入侵防御產(chǎn)品，接入在應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器之間，防止外部黑客入侵。3、作為數(shù)據(jù)庫運(yùn)維管控產(chǎn)品，內(nèi)部數(shù)據(jù)庫運(yùn)維接口，防止運(yùn)維人員高危操作和泄漏敏感數(shù)據(jù)。4、作為內(nèi)外網(wǎng)隔離裝置，替代傳統(tǒng)防火墻、IDS、IPS產(chǎn)品，實現(xiàn)唯一內(nèi)網(wǎng)接入通道——安全數(shù)據(jù)庫通訊。