首页 » 安全产品 » 数据库应用安全网关系统
  • 数据库应用安全网关系统


    产品概述


    安全是多个环节层层防范、共同配合的结果。也就是说在安全领域不能够仅靠某一个环节完成所有的安全防范措施。一个安全的系统需要数据库的安全、操作系统的安全、网络的安全、应用系统自身的安全共同完成。数据库领域的安全措施通常包括:身份识别和身份验证、自主访问控制和强制访问控制、安全传输、系统审计、数据库存储加密等。只有通过综合有关安全的各个环节,才能确保高度安全的系统。

    天相-DAF数据库防火墙系列是国联天成公司自主研制开发的新一代数据库防火墙,属于国联天成公司的数据库安全加固平台的一个重要部分,针对数据库和业务系统的重要性以及面临的风险,该产品提供数据库实时攻击检测、实时监控和审计等功能,提升数据库和业务系统的整体安全水平。具体来说,产品解决如下核心问题:对访问数据库的数据流和用户进行采集、分析、识别、屏蔽、替换、阻断、授权、身份验证和身份识别等操作,并对访问数据库的相关行为、发送和接收的相关内容进行存储,分析和查询等功能。


    核心技术


    1、部署方式简单,操作简捷

    本产品支持防火墙部署方式。在该模式下,系统在应用系统和数据库之间设置一个透明的防火墙,以加固数据库系统的访问入口。用户通过数据库防火墙才能对数据库进行访问或管理。数据库防火墙提供透明代理、独立的授权管理、攻击保护、连接监控、日志审计等功能。从而达到牢牢控制数据库入口,提高数据库应用安全性的目的。

    2、屏蔽直接访问数据库的通道

    部署数据库防火墙之前,应用服务器和用户直接连接到数据库服务器。由于数据库服务器直接与用户和应用服务器连接并提供数据服务,极易受到各种攻击。并且数据库系统可能存在未发布的隐通道,也很容易被攻击者利用。数据库服务器通常采用默认的端口,比如Oracle的1521端口。攻击者可以轻易的扫描这些端口,根据服务器的回复信息获得数据库以及操作系统的类型,进而进行攻击。

    数据库服务器与应用程序之间通过数据库防火墙进行隔离。数据库防火墙提供端口映射功能,隐藏实际的数据库端口,使得对外提供的服务端口可以是任意空闲的端口,攻击者难以根据端口扫描得到数据库信息。所有对数据库的访问都必须经过防火墙进行。部分隐通道也相应被屏蔽,不会被攻击者直接利用。

    3、独立访问控制

    在部署数据库防火墙以前,由于数据库直接与应用程序进行连接,且只能通过口令进行认证,数据库极易受到假冒用户的连接和恶意的攻击。

    由于DBA角色具有超级权限,当恶意攻击者通过窃取口令、或者SQL注入的方法将自己的角色提高到DBA时,整个数据库将完全被其操纵。应用服务器也极易在类似SQL注入攻击的过程中,成为攻击者的跳板。

    部署数据库防火墙之后,应用程序对数据库的访问,必须经过安全网关和数据库自身两层身份认证和权限检查。

    数据库防火墙使用IP地址与数据库用户名唯一甄别一个访问请求,只有配置到数据库防火墙中的合法用户才能连接数据库。也可以根据需要部署更安全的认证方式,如证书认证等。

    数据库防火墙提供与数据库系统完全独立的授权检查,对每个IP来源上的每一个用户单独进行权限控制。权限的控制可以精确到表级。

    通过二次认证和二次权限检查,攻击者无法伪造连接到数据库进行直接的攻击。而且,攻击者通过其它方式成功将角色提高到DBA也将是徒劳的。因为数据库防火墙提供了独立的权限管理,不受制于数据库自身的DAC授权机制。攻击者仍然只能获得受限的权限,不能获取DBA的真正特权。从而达到有效保护数据安全的目的。

    4、阻止对数据库的攻击

    数据库防火墙提供了攻击保护功能。该功能能够实时检测出用户对数据库进行的SQL注入和缓冲区溢出攻击,替换或者阻断高危SQL语句并报警,同时详细的审计下攻击操作发生的时间、来源IP、登录数据库的用户名、攻击代码等详细信息。

    5、智能学习

    数据库防火墙支持智能学习模式,自动学习数据库访问行为,评估访问风险,发现并阻断非法访问。从而减轻了管理人员定义策略的负担,增加了防御攻击的准确性。

    6、虚拟补丁

    通过扫描数据库系统发现漏洞(比如缓冲区溢出漏洞、SQL注入漏洞等),对该漏洞进行防护,起到与真实补丁相同的保护能力。

    7、数据库口令审计

    强制使用人员使用高强度口令,在建立用户的时候如果密码强度过低,将无法新建用户。另外系统会强制使用人员定期更改密码(比如每6个月更改一次密码),在快到期限的前一周开始每天会发送邮件通知使用人员更换密码,如果到达期限后依然没有更换密码,将会无法再访问数据库。

    产品特点


    1、程序采用B/S模式,通过浏览器进行管理。中文界面轻松上手,人性化设计方便用户浏览查看;

    2、支持双机热备、bypass功能,保障持续安全工作。

    3、系统采用开放式设计,便于添加新的数据库支持;

    4、数据库防火墙采用多线程技术和缓存技术,支持高并发连接;

    5、广泛的规则支持。支持正则表达式、多关键字、访问控制规则、白名单、攻击检测规则等规则的定制;

    6、支持到字段级的细粒度审计和控制;

    7、提供对日志灵活的查询功能。支持任意关键字查询、通配符查询以及布尔查询。并可以使用多个查询条件,包括时间、IP、用户名、操作类型、风险等级等;

    8、支持jdbc、odbc、oci、ado、oledb等主流连接协议;

    9、系统透明接入,不影响原有应用系统的结构和正常使用;

    10、本系统使用专用的工控机作为硬件平台,具有卓越的峰值处理能力、高峰抗压能力、平均处理能力以及大数量级下的查询能力;

    11、操作系统采用定制的安全LINUX,具有高性能、高稳定性、高安全性等特点;

    12、系统采用灵活有效的缓存机制,系统整体具有很高的效率;

    13、基于自主研发的存储系统,具有超高的存储吞吐量。

    典型应用


    DAF