LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)解決方案資料

1、SBR InformationLanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)解決方案(gLanSecSLanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)解決方案北京圣博潤(rùn)高新技術(shù)股份有限公司2014年3月Information I r I I u b i w v vSBRln北京圣博潤(rùn)高新掛術(shù)腔悅有限公司1產(chǎn)品背景LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)解決方案1.1概述隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，數(shù)據(jù)庫的應(yīng)用十分廣泛，深入到各個(gè)領(lǐng)域，但隨之而來產(chǎn) 生了數(shù)據(jù)的安全問題以及數(shù)據(jù)庫訪問的安全問題。各種應(yīng)用系統(tǒng)的數(shù)據(jù)庫中大量數(shù)據(jù)的安全 問題、敏感數(shù)據(jù)的防竊取和防篡改問題，越來越引起人們的高度重視。數(shù)據(jù)庫系統(tǒng)作為信息 的聚集體，是計(jì)算機(jī)信息系

2、統(tǒng)的核心部件，其安全性至關(guān)重要，因此，如何有效地保證數(shù)據(jù) 庫系統(tǒng)的安全，實(shí)現(xiàn)數(shù)據(jù)的保密性、完整性和有效性，已經(jīng)成為業(yè)界人士探索研究的重要課 題之一。越來越多的關(guān)鍵業(yè)務(wù)系統(tǒng)運(yùn)行在數(shù)據(jù)庫平臺(tái)上。同時(shí)也成為不安定因素的主要目標(biāo)。如 何確保數(shù)據(jù)庫自身的安全，已成為現(xiàn)代數(shù)據(jù)庫系統(tǒng)的主要評(píng)測(cè)指標(biāo)之一。數(shù)據(jù)庫是信息技術(shù) 的核心和基礎(chǔ)，廣泛應(yīng)用在電信、金融、政府、商業(yè)、企業(yè)等諸多領(lǐng)域，當(dāng)我們說現(xiàn)代經(jīng)濟(jì) 依賴于計(jì)算機(jī)時(shí)，我們真正的意思是說現(xiàn)代經(jīng)濟(jì)依賴于數(shù)據(jù)庫系統(tǒng)。數(shù)據(jù)庫中儲(chǔ)存著諸如銀 行賬戶、醫(yī)療保險(xiǎn)、電話記錄、生產(chǎn)或交易明細(xì)、產(chǎn)品資料等極其重要和敏感的信息。盡管 這些系統(tǒng)的數(shù)據(jù)完整性和安全性是相當(dāng)重要的，但對(duì)

3、數(shù)據(jù)庫采取的安全檢查措施的級(jí)別還比 不上操作系統(tǒng)和網(wǎng)絡(luò)的安全檢查措施的級(jí)別。許多因素都可能破壞數(shù)據(jù)的完整性并導(dǎo)致非法 訪問，這些因素包括復(fù)雜程度、密碼安全性較差、誤配置、未被察覺的系統(tǒng)后門以及數(shù)據(jù)庫 安全策略的缺失等。在攻擊方式中，SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫進(jìn)行攻擊的常用手段之一，而且表面看起 來跟一般的Web頁面訪問沒什么區(qū)別，所以市面上的通用防火墻都不會(huì)對(duì)SQL注入發(fā)出警報(bào)，如果管理員沒查看IIS日志的習(xí)慣，可能被入侵很長(zhǎng)時(shí)間都不會(huì)發(fā)覺。如何防御SQL注入攻擊也是亟待解決的重點(diǎn)問題之一。數(shù)據(jù)庫的應(yīng)用相當(dāng)復(fù)雜，掌握起來非常困難。許多數(shù)據(jù)庫管理員都忙于管理復(fù)雜的系統(tǒng)，所以很可能沒有檢查出嚴(yán)重

4、的安全隱患和不當(dāng)?shù)呐渲?，甚至根本沒有進(jìn)行檢測(cè)。正是由于傳統(tǒng)的安全體系在很大程度上忽略了數(shù)據(jù)庫安全這一主題，使數(shù)據(jù)庫專業(yè)人員也通常沒有把安 全問題當(dāng)作他們的首要任務(wù)。在安全領(lǐng)域中，類似網(wǎng)頁被修改、電腦中病毒、木馬、流氓軟 件、彈出窗口等所造成的經(jīng)濟(jì)損失微乎其微，而一旦數(shù)據(jù)庫出現(xiàn)安全風(fēng)險(xiǎn)并被惡意利用所造 成的后果幾乎是災(zāi)難性的和不可挽回的。由此可見，數(shù)據(jù)庫安全實(shí)際上是信息系統(tǒng)信息安全的核心，在這種情況下，有必要采用 專業(yè)的新型數(shù)據(jù)庫安全產(chǎn)品，專門對(duì)信息系統(tǒng)的數(shù)據(jù)庫進(jìn)行保護(hù)。分類風(fēng)險(xiǎn)名稱風(fēng)險(xiǎn)說明越權(quán)濫用賬號(hào)授權(quán)不合理，特權(quán)用戶越權(quán)査看、操作敏感數(shù)據(jù)授權(quán)管理權(quán)限盜用通過攻擊手段盜取權(quán)限，訪問敏感數(shù)據(jù)身

5、份驗(yàn)證措施薄弱僅使用口令驗(yàn)還，未使用IP/MAC/證書等驗(yàn)證方法數(shù)據(jù)庫漏洞并未對(duì)數(shù)據(jù)庫軟件系統(tǒng)自身漏洞加以彌補(bǔ)，如緩沖區(qū)溢出漏洞等SQL注入攻擊通過5QL注入萇擊.破壞數(shù)據(jù)庫系統(tǒng)或者盜収敏感信息攻擊類拒絕服務(wù)攻擊大量連接、深度嵌套、頻繁訪問等方式，堿壞數(shù)據(jù)庫系統(tǒng)可用性通倍協(xié)議漏侗棊于通信協(xié)議的攻擊，例如發(fā)送超長(zhǎng)連接請(qǐng)求”破壞數(shù)據(jù)庫握手協(xié)議操作系統(tǒng)漏侗并未對(duì)操作系統(tǒng)漏洞加以彌補(bǔ)，如系統(tǒng)用戶權(quán)限審計(jì)類審計(jì)措施不力開啟了數(shù)據(jù)庫自身審計(jì)但是其詳細(xì)度.可信度不足加密類缺藝加密措施對(duì)于敏感數(shù)據(jù)依然采用明文存儲(chǔ).并未進(jìn)疔加密存譙備份類缺少安全備份措施采用簡(jiǎn)單復(fù)制的手段進(jìn)行備份TMInInformation駅

6、獻(xiàn)蚤進(jìn)驀JS理羽忙HI iwr V I V I U fail V V VLanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)解決方案2產(chǎn)品概述Lan SecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)， 是一款基于數(shù)據(jù)庫協(xié)議分析與控制技術(shù)的數(shù)據(jù)庫安全防護(hù) 系統(tǒng)。LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)基于主動(dòng)防御機(jī)制，實(shí)現(xiàn)數(shù)據(jù)庫的訪問行為控制、危險(xiǎn)操 作阻斷、可疑行為審計(jì)。LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)是一款集數(shù)據(jù)庫IPS、IDS和審計(jì)功能為一體的綜合安全產(chǎn)品。LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)通過 SQL協(xié)議分析，根據(jù)預(yù)定義的禁止和許可策略讓合法的 SQL操作通過，阻斷非法違規(guī)操作，形成數(shù)據(jù)庫的外圍防御圈,實(shí)現(xiàn)SQL危險(xiǎn)操作的主動(dòng)預(yù)防、 實(shí)時(shí)

7、審計(jì)。TMInformation:二彎LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)解決方案第4頁ecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)面對(duì)來自于外部的入侵行為,提供防SQL注入禁止和數(shù)據(jù)庫 虛擬補(bǔ)訂包功能；通過虛擬補(bǔ)丁包，數(shù)據(jù)庫系統(tǒng)不用升級(jí)、打補(bǔ)丁，即可完成對(duì)主要數(shù)據(jù)庫 漏洞的防控。LanSecS 數(shù)據(jù)庫安全防護(hù)系統(tǒng)支持 Oracle、MS SQL Server、DB2 MySQL Sybase 等多 種國(guó)際主流數(shù)據(jù)庫產(chǎn)品。能夠在不影響數(shù)據(jù)庫原有性能、無需應(yīng)用進(jìn)行改造的前提下，提供 可靠數(shù)據(jù)庫安全保護(hù)服務(wù)。3功能特性【虛擬補(bǔ)丁】CVE上公布了 2000多個(gè)數(shù)據(jù)庫安全漏洞，這些漏洞給入侵者敞開了大門。數(shù)據(jù)庫廠商會(huì) 定期推

8、出數(shù)據(jù)庫漏洞補(bǔ)丁，由于數(shù)據(jù)庫打補(bǔ)丁工作的復(fù)雜性和對(duì)應(yīng)用穩(wěn)定性的考慮，大 多數(shù)企業(yè)無法及時(shí)更新補(bǔ)丁。Lan SecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)提供了虛擬補(bǔ)丁功能，在數(shù)據(jù)庫外的網(wǎng)絡(luò)層創(chuàng)建了一個(gè)安全層，在用戶在無需補(bǔ)丁情況下，完成數(shù)據(jù)庫漏洞防護(hù)。LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)支持22類，460個(gè)以上虛擬補(bǔ)丁?！竞诎酌麊沃С帧縇anSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)通過學(xué)習(xí)模式以及SQL語法分析構(gòu)建動(dòng)態(tài)模型，形成SQL白名單和SQL黑名單，對(duì)符合 SQL白名單語句放行，對(duì)符合SQL黑名單特征語句阻斷?！炯?xì)粒度權(quán)限管理】Lan SecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)對(duì)于數(shù)據(jù)庫用戶提供比DBM療統(tǒng)更詳細(xì)的虛擬權(quán)限控制?？刂撇呗园?/p>

9、：用戶+操作+對(duì)象+時(shí)間。在控制操作中增加了 Update Nowhere、delete Nowhere等高危操作；控制規(guī)則中增加返回 行數(shù)和影響行數(shù)控制。【SQL注入禁止】LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)通過對(duì)SQL語句進(jìn)行注入特征描述，完成對(duì)SQL注入行為的檢測(cè)和阻斷。系統(tǒng)提供缺省SQL注入特征庫；系統(tǒng)提供定制化的擴(kuò)展接口?！咀钄嗪蛯徲?jì)】阻斷動(dòng)作包括：中斷會(huì)話和攔截語句。審計(jì)行為分為：普通審計(jì)和告警審計(jì)。告警通知包括：syslog、snmp、郵件和短信?！拘袨楸O(jiān)控與分析】防止內(nèi)部高危 操作通過限定更新和刪除影響行、限定無Where的 更新和刪除操作、限疋drop, truncate等高危操

10、 作避免大規(guī)模損失。防止敏感數(shù)據(jù) 泄漏限定數(shù)據(jù)查詢和下載數(shù)量、限定敏感數(shù)據(jù)訪問 的用戶、地點(diǎn)和時(shí)間。審計(jì)追蹤非法 行為提供對(duì)所有數(shù)據(jù)訪問行為的記錄.對(duì)風(fēng)險(xiǎn)行為 進(jìn)SysLog.郵件*短信等方式的告警，提供 事后追蹤分析工具TMInformationSBRln-Lan SecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)提供全面詳細(xì)審計(jì)記錄,第5頁 并在此 基礎(chǔ)上實(shí)現(xiàn)了內(nèi)容豐富的審計(jì)瀏覽、訪問分析和問題追蹤，提供實(shí)時(shí)訪問儀表盤。LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)通過對(duì)捕獲的SQL語句進(jìn)行精細(xì) SQL語法分析，并根據(jù)SQL行為特征和關(guān)鍵詞特征進(jìn)行自動(dòng)分類，系統(tǒng)訪問SQL語句有效“歸類”到幾百個(gè)類別范圍內(nèi)，完成審計(jì)結(jié)果的高精確

11、和高可用分析。I I V I I U fa I W I VLanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)解決方案告警審計(jì)和會(huì)話事件記錄,4產(chǎn)品價(jià)值4.1完備數(shù)據(jù)庫安全防護(hù)La nSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)提供四大產(chǎn)品核心價(jià)值,高危操作、防止敏感數(shù)據(jù)泄漏、審計(jì)追蹤非法行為。包括防止外部黑客攻擊、防止內(nèi)部防止外部黑客攻擊威脅：黑客利用 Web應(yīng)用漏洞，進(jìn)行 SQL注入；或以 Web應(yīng)用服務(wù)器為跳板，利用數(shù)據(jù) 庫自身漏洞攻擊和侵入。防護(hù)：通過虛擬補(bǔ)丁技術(shù)捕獲和阻斷漏洞攻擊行為，通過SQL注入特征庫捕獲和阻斷 SQL注入行為。防止內(nèi)部高危操作TMInformationLanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)解決方案第6頁威

12、脅：系統(tǒng)維護(hù)人員、外包人員、開發(fā)人員等，擁有直接訪問數(shù)據(jù)庫的權(quán)限，有意無意的高危操作對(duì)數(shù)據(jù)造成破壞。防護(hù)：通過限定更新和刪除影響行、限定無 Where的更新和刪除操作、限定drop、truncate等高危操作避免大規(guī)模損失。防止敏感數(shù)據(jù)泄漏威脅：黑客、開發(fā)人員可以通過應(yīng)用批量下載敏感數(shù)據(jù)，內(nèi)部維護(hù)人員遠(yuǎn)程或本地批量導(dǎo)出敏感數(shù)據(jù)。防護(hù)：限定數(shù)據(jù)查詢和下載數(shù)量、限定敏感數(shù)據(jù)訪問的用戶、地點(diǎn)和時(shí)間。審計(jì)追蹤非法行為威脅：業(yè)務(wù)人員在第三方利益誘惑下，通過業(yè)務(wù)系統(tǒng)提供的功能完成對(duì)敏感信息的訪問，進(jìn)行信息的售賣和數(shù)據(jù)篡改。防護(hù)：提供對(duì)所有數(shù)據(jù)訪問行為的記錄，對(duì)風(fēng)險(xiǎn)行為進(jìn)行SysLog、郵件、短信等方式的告

13、警，提供事后追蹤分析工具4.2多種應(yīng)用模式數(shù)據(jù)庫審計(jì)產(chǎn)品：提供全面數(shù)據(jù)庫審計(jì)能力，符合等保三級(jí)需求數(shù)據(jù)庫入侵防御產(chǎn)品：接入在應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器之間，防止外部黑客入 侵?jǐn)?shù)據(jù)庫運(yùn)維管控產(chǎn)品：內(nèi)部數(shù)據(jù)庫運(yùn)維接口，防止運(yùn)維人員高危操作和泄漏敏感 數(shù)據(jù)內(nèi)外網(wǎng)隔離裝置：替代傳統(tǒng)防火墻、IDS、IPS產(chǎn)品，實(shí)現(xiàn)唯一內(nèi)網(wǎng)接入通道 安全數(shù)據(jù)庫通訊Information I r I I u b i w v vSBRln北京圣博潤(rùn)高新拉術(shù)腔悅有限分司5產(chǎn)品優(yōu)勢(shì)LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)解決方案5.1全面入侵阻斷提供業(yè)界最為全面的數(shù)據(jù)庫攻擊行為檢測(cè)和阻斷技術(shù)：虛擬補(bǔ)丁技術(shù)：針對(duì) CVE公布的漏洞庫，提供漏

14、洞特征檢測(cè)技術(shù)。高危訪問控制技術(shù)：提供對(duì)數(shù)據(jù)庫用戶的登錄、操作行為，提供根據(jù)地點(diǎn)、時(shí)間、 用戶、操作類型、對(duì)象等特征定義高危訪問行為。SQL注入禁止技術(shù)：提供 SQL注入特征庫。返回行超標(biāo)禁止技術(shù)：提供對(duì)敏感表的返回行數(shù)控制。SQL黑名單技術(shù)：提供對(duì)非法 SQL的語法抽象描述。5.2高度應(yīng)用兼容對(duì)于ips類產(chǎn)品最重要的是在保持“低漏報(bào)率”的同時(shí)維護(hù)“低誤報(bào)率”；對(duì)于數(shù)據(jù)庫而言這點(diǎn)更為關(guān)鍵，一點(diǎn)點(diǎn)“誤報(bào)”可能就會(huì)造成重大業(yè)務(wù)影響。LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)提供強(qiáng)大的應(yīng)用行為描述方法，以對(duì)合法應(yīng)用行為放行，將誤報(bào)率降低為“零”。LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)通過語法抽象描述不同類型的SQL

15、語句，規(guī)避參數(shù)帶來的多樣化；通過應(yīng)用學(xué)習(xí)捕獲所有合法SQL的語法抽象，建立應(yīng)用 SQL白名單庫。5.3快速部署實(shí)施預(yù)定義策略模版：LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)提供應(yīng)用場(chǎng)景、維護(hù)場(chǎng)景、混合場(chǎng)景多種策略模版幫助用戶快速建立安全策略。預(yù)定義風(fēng)險(xiǎn)特征庫：通過預(yù)定義風(fēng)險(xiǎn)特征庫快速建立風(fēng)險(xiǎn)阻斷規(guī)則。多種運(yùn)行模式：LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)提供 IPS、IDS運(yùn)行模式，提供學(xué)習(xí)期、 學(xué)習(xí)完善期、保護(hù)期三種運(yùn)行周期，以幫助用戶在防火墻建設(shè)的不同階段平滑過渡。5.4豐富產(chǎn)品系列產(chǎn)品共分為2大系列，滿足不同生產(chǎn)環(huán)境和訪問壓力級(jí)別的應(yīng)用需求。Information I r I I u b i w v vSBRln北京圣博潤(rùn)高新拉術(shù)腔悅有眼盤司6典型部署LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)解決方案6.1串聯(lián)模式LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)支持兩種串聯(lián)模式：透明網(wǎng)橋模式：在網(wǎng)絡(luò)上物理串聯(lián)接入 LanSecS數(shù)據(jù)庫安全防護(hù)系統(tǒng)設(shè)備，所有用戶訪問的 網(wǎng)絡(luò)流量都串聯(lián)流經(jīng)設(shè)備；通過透明網(wǎng)橋技術(shù)，客戶端看到的數(shù)據(jù)庫地址不變。代理接入模式：網(wǎng)絡(luò)上并聯(lián)接入L