数据库防火墙——实现数据库的访问行为控制、危险操作阻断、可疑行为审计...

最新推荐文章于 2023-02-22 18:06:16 发布
最新推荐文章于 2023-02-22 18:06:16 发布
阅读量609 收藏 1
点赞数
文章标签: 数据库 人工智能 前端 ViewUI
原文链接:http://www.cnblogs.com/bonelee/p/6638963.html
版权

自百度百科

  数据库防火墙 系统,串联部署在数据库服务器之前,解决数据库应用侧和运维侧两方面的问题,是一款基于 数据库 协议分析与控制技术的数据库安全防护系统。DBFirewall基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
数据库安全技术之一, 数据库安全技术主要包括:数据库漏扫、 数据库加密数据库防火墙数据脱敏数据库安全审计系统
数据库安全风险包括: 刷库拖库撞库
数据库安全攻击手段包括: SQL注入攻击

简介

数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术,数据库防火墙部署于应用服务器和数据库之间。 用户必须通过该系统才能对数据库进行访问或管理。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界(FireWall、IDS\IPS等)防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏的等,从数据库SQL语句精细化控制的技术层面,提供一种主动安全防御措施,并且,结合独立于数据库的安全访问控制规则,帮助用户应对来自内部和外部的数据安全威胁。

核心功能

  • 屏蔽直接访问数据库的通道:数据库防火墙部署介于数据库服务器和应用服务器之间,屏蔽直接访问的通道,防止数据库隐通道对数据库的攻击。
  • 二次认证:基于独创的“连接六元组【机器指纹(不可伪造)、IP地址、MAC地址、用户、应用程序、时间段】”授权单位,应用程序对数据库的访问,必须经过数据库防火墙和数据库自身两层身份认证。
  • 攻击保护:实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为,同时详细的审计下攻击操作发生的时间、来源IP、登录数据库的用户名、攻击代码等详细信息。
  • 连接监控:实时的监控所有到数据库的连接信息、操作数、违规数等。管理员可以断开指定的连接。
  • 安全审计:系统能够审计对数据库服务器的访问情况。包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、执行结果等等信息。并提供灵活的回放日志查询分析功能,并可以生存报表。
  • 审计探针:本系统在作为数据库防火墙的同时,还可以作为数据库审计系统的数据获取引擎,将通信内容发送到审计系统中。
  • 细粒度权限控制:按照SQL操作类型包括Select、Insert、Update、Delete,对象拥有者,及基于表、视图对象、列进行权限控制
  • 精准SQL语法分析:高性能SQL语义分析引擎,对数据库的SQL语句操作,进行实时捕获、识别、分类
  • 自动SQL学习:基于自学习机制的风险管控模型,主动监控数据库活动,防止未授权的数据库访问、SQL注入、权限或角色升级,以及对敏感数据的非法访问等。
  • 透明部署:无须改变网络结构、应用部署、应用程序内部逻辑、前端用户习惯等

防护能力

防止外部黑客攻击威胁:黑客利用Web应用漏洞,进行SQL注入;或以Web应用服务器为跳板,利用数据库自身漏洞攻击和侵入。
  防护:通过 虚拟补丁技术捕获和阻断漏洞攻击行为,通过SQL注入特征库捕获和阻断SQL注入行为。
  防止内部高危操作
  威胁:系统维护人员、外包人员、开发人员等,拥有直接访问数据库的权限,有意无意的高危操作对数据造成破坏。
  防护:通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。
  防止敏感数据泄漏
  威胁:黑客、开发人员可以通过应用批量下载敏感数据,内部维护人员远程或本地批量导出敏感数据。
  防护:限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。
  审计追踪非法行为
  威胁:业务人员在利益诱惑下,通过业务系统提供的功能完成对敏感信息的访问,进行信息的售卖和数据篡改。
  防护:提供对所有数据访问行为的记录,对风险行为进行SysLog、邮件、短信等方式的告警,提供事后追踪分析工具。
 
更多的信息可以看下Oracle 的DBfirewall:http://www.oracle.com/technetwork/cn/community/developer-day/3-firewall-technology-exchange-1879657-zhs.pdf

转载于:https://www.cnblogs.com/bonelee/p/6638963.html

djph26741
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数据库审计系统技术方案(1).docx
03-18
事务的定义:一个事务是指一次针对业务系统的FTP指令操作,一次TELNET下的命令行语句的执行操作,或者一次SQL语句操作。SecFox-NBA〔业务审计型〕对每个事务记录一条事件〔Event〕。 数据库审计系统技术方案(1) 数据库审计系统技术方案 随着信息和网络技术的普及,政府和企事业单位的核心业务信息系统不断的网络化,随之而来的确实是面临的信息安全风险日益增加。而这些安全风险中,来自内部的违规操作和信息泄漏最为突出。 由于政府和企事业单位的核心业务系统〔例如数据库系统、核心业务主机系统〕都实现了网络化访问,内部用户能够方便地利用内部网络通过各种通讯协议进行刺探,猎取、删除或者篡改重要的数据和信息。同时,一些内部授权用户由于对系统不熟悉而导致的误操作也经常给业务系统造成难以复原的缺失。此外,关于使用IT外包和代维的大型机构而言,如何限制外部人员对核心业务系统的访问权限也是一个难题,外包方的技术工程师可能在开发业务系统的时候留下后门或者幽灵帐号,为今后侵入核心业务系统埋下隐患。 另一方面,为了加强内控,国家强制机关和行业的主管部门相继颁布了各种合规和内控方面的法律法规和指引,例如«企业内部操纵差不多规范»、«银行业信息科技风险治理指引»、«证券公司内部操纵指引»、«保险公司风险治理指引〔试行〕»等。而在国际上,美国政府针对上市公司的萨班斯〔SOX〕法案、针对医疗卫生气构的HIPAA法案、针对联邦政府机构的FISMA法案,支付卡行业数据安全标准〔PCI DSS〕都对内控提出了严格的要求。这些内控条例和指引都要求对网络中的重要业务系统进行专门的安全审计。 能够说,随着安全需求的不断提升,网络安全差不多从以防范外部入侵和攻击为主逐步转变为以防止内部违规和信息泄漏为主了。 在这种情形下,政府和企事业单位迫切需要一款专门针对网络中业务信息系统进行全方位审计的系统。网御神州借助多年在安全治理领域的积存,推出了SecFox-NBA网络行为审计系统〔业务审计型〕产品,专门好地满足了客户的安全审计需求。 网御神州SecFox-NBA〔Network Behavior Analysis for Business Audit〕网络行为审计系统〔业务审计型〕采纳旁路侦听的方式对通过网络连接到重要业务系统〔服务器、数据库、业务中间件、数据文件等〕的数据进行采集、分析和识别,实时监视用户访问业务系统的状态,记录各种访问行为,发觉并及时禁止用户的误操作、违规访问或者可疑行为。产品部署简便,不需要修改任何网络结构和应用配置,可不能阻碍用户的业务运行。 数据库审计系统技术方案(1)全文共20页,当前为第1页。SecFox-NBA〔业务审计型〕独有面向业务的安全审计技术,通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,审计人员能够依照业务网络的变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。 数据库审计系统技术方案(1)全文共20页,当前为第1页。 SecFox-NBA网络行为审计系统〔业务审计型〕能够对业务环境下的网络操作行为进行细粒度审计。系统通过制定符合业务网的审计策略,对符合策略的网络操作行为进行解析、分析、记录、汇报,以关心用户事前规划预防,事中实时监控、违规行为响应,事后合规报告、事故追踪回放,关心用户加强内外部网络行为监管、幸免核心资产〔数据库、网络服务器等〕缺失、保证业务系统的正常运营。 SecFox-NBA〔业务审计型〕能够自动地或者在治理员人工干预的情形下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,并能够实时阻断可疑的网络通讯,实现安全审计的治理闭环。 SecFox-NBA〔业务审计型〕为客户提供了丰富的报表,使得治理人员能够从各个角度对业务系统的安全状况进行审计,并自动、定期地产生报表。 数据库审计系统技术方案(1)全文共20页,当前为第2页。 数据库审计系统技术方案(1)全文共20页,当前为第2页。 产品特点 SecFox-NBA 网络行为审计系统〔业务审计型〕的要紧特点包括: 旁路侦听的工作模式和简洁的部署方式 全方位的数据库审计 面向业务的安全审计 业务操作实时监控、过程回放 快速响应和跨设备协同防备 事后分析、调查取证 安全审计报表报告 内置防攻击策略 旁路侦听的工作模式和简洁的部署方式 SecFox-NBA〔业务审计型〕采纳旁路侦听的方式进行工作,对业务网络中的数据进行应用层协议和流量分析与审计,就像真实世界的摄像机。利用网御神州先进的业务协议检测技术〔Business Protocol Inspection Technology〕,SecFox-NBA〔业务审计型〕能够识别各类数据库访问
greensql mysql_greensql-fw-1.3.0.tar GreenSQL是一个开源的数据库防火墙(Database firewall) - 下载 - 搜珍网...
weixin_30141959的博客
02-15 250
greensql-fw-1.3.0/greensql-fw-1.3.0/compilation.txtgreensql-fw-1.3.0/src/greensql-fw-1.3.0/src/normalization.hppgreensql-fw-1.3.0/src/connection.cppgreensql-fw-1.3.0/src/dbmap.hppgreensql-fw-1.3.0/src...
系统知识点(一 SQL 注入防御机制)
Aidang的博客
05-08 1014
1.SQL注入理解与应用 要想知道如何进行SQL注入,首先我们就必须知道,到底什么才是SQL注入,通过查询百度百科可以知道: 通过对于这段话的理解,我们同样可以知道,SQL注入产生的很大一部分原因,更多是程序员自身代码编写水平造成的,使得应用程序产生了安全方面的漏洞,例如在编写程序的过程当中,是否对于敏感字符进行了相应过滤,变量是否进行了唯一性的确定等等,而SQL注入正是通过多变的查询数据手法,或...
医疗卫生信息化数据防泄漏保护系统解决方案
风儿轻轻吹
04-22 2576
卫生信息化数据防泄漏保护系统解决方案,WEB安全、数据安全、运维安全、漏洞扫描
数据库防火墙
Zhang_Jian
05-13 534
转自百度百科   数据库防火墙 系统,串联部署在数据库服务器之前,解决数据库应用侧和运维侧两方面的问题,是一款基于 数据库 协议分析与控制技术的数据库安全防护系统。DBFirewall基于主动防御机制,实现数据库访问行为控制危险操作阻断可疑行为审计数据库安全技术之一, 数据库安全技术主要包括:数据库漏扫、 数据...
数据安全治理常见技术和对应产品总结
锦慈的技术博客
02-06 980
部分类型的数据库自身可以实现数据加密操作,当然也可以使用专门的数据库加密产品,无论是哪种方式,都会受限于加密算法的易破解性和数据加解密效率的影响,因此数据加密算法的选择是数据加密技术的关键。简单的加密算法加解密效率较高、占用空间小,但很容易被破解,若使用复杂加密算法可以提高加密数据的安全性,但同时也会造成数据加解密效率低下,甚至还会出现解密后的数据与原来的明文不一致的情况,因此实际上很多组织会特别慎重使用数据库加密系统,反而更担心因为数据加密造成业务影响。数据安全治理的第一步,是了解数据资产本身。
Oracle数据库审计(五)
Keep_Trying_Go的博客
10-01 3678
Oracle数据库审计(五)
临时阻断应用程序对数据库访问
Uncle.Cui的技术博客
02-15 273
在做某些操作的时候不希望应用程序访问数据库,特别对于自动重连的业务来说,要阻断业务对数据库访问还是比较麻烦的。 通常的做法是: 1、修改sqlhosts中的端口号,重启数据库; 2、重连的应用肯定报错退出; 3、处理完毕之后,再修改回原来的端口号,重启数据库; 这个方法基本上没有问题,只是需要重启2次数据。   这里我们介绍一个更简单的方法: onmode -P start|st...
关于SqlServer高并发死锁现象的分析排查
flyfhj的博客
02-22 2898
通过定期对生成环境SqlServer日志的梳理,发现经常会出现类似事务与另一个进程被死锁在资源上,并且已被选作死锁牺牲品,请重新运行该事务的异常 简单分析一下原因:在高并发场境下,多个事务同时对某个资源进行持锁 [ 读/写 ] 操作,同时又需要对方释放锁资源,进而出现死锁
[详细完整版]数据库审计.pptx
06-17
它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。 当发生数据被非法存取时,DBA可以利用审计跟踪的信息,确定...
数据库安全审计系统.doc
02-27
它还可以根据设置的规则,智能 的判断出违规操作数据库行为,并对违规行为进行记录、报警。由于数据库安全审计 系统是以网络旁路的方式工作于数据库主机所在的网络,因此它可以在根本不改变数据 库系统的任何设置...
数据库审计系统在医院HIS数据库中的应用.docx
03-18
它还可以根据设置的规则,智能的判断出违规操作数据库行为,并对违规行为进行记录、报警。由于数据库安全审计系统是以网络旁路的方式工作于数据库主机所在的网络,因此它可以在根本不改变数据库系统的任何设置的...
数据库审计系统技术方案.docx
03-18
并与包括各种类型的交换机、路由器、防火墙、IDS、 机系统等在内的众多第三方设备和系统进行预定义的策略联动,并能够实时阻断可疑的网络通讯,实现安全审计的管理闭环。 SecFox-NBA(业务审计型)为客户提供了丰富...
数据库监控一般监控什么?
云呐
09-23 449
  近年来公司各项业务的迅速发展和信息系统的不断增加,必须管理的数据库的数量和类型也在增加。运行系统产生大量的应用监控、日志分析、快速部署、性能诊断、故障处理等工作。同时,为了满足业务连续性规定,数据库即时性能分析和优化的需求不断增加,即时性能后诊断和干预方法效率低下的问题也逐渐暴露出来;此外,传统的数据库管理和监控系统缺乏高效率、直观的分析工具,数据库指标的收集涉及范围狭窄,数据分析方法相对单一,报警对策复杂,批量监控匹配差,缺乏报警自动化解决方案等诸多缺陷亟待改进。传统意义上的数据库监控服务  传统意义
windows server 2012 防火墙 安全策略 限制ip远程及访问mysql
闷骚的男
07-06 4433
今天在服务器上设置安全策略,有个奇葩的设置试了很多次,仍然不太理解,但按照以下方法是起作用的: 目标:开启防火墙,限制服务器A上的MySQL数据库只能通过B访问实现: 1、首先设置A上的入站规则,添加更改后远程端口可访问,然后开启防火墙(如果不先增加入站规则,则无法远程)。 2、添加A上的mysql端口入站规则,允许所有IP访问(设置控制域中的IP不起作用,查资料设置了多次不成功,所以需要后续设置安全策略) 3、gpedit.msc开启安全策略 4、设置B可访问A的mysql端口,同时设置A阻
如何设置mysql远程访问防火墙设置
ProgramVAE的博客
05-02 3463
我们要想让局域网中的所有机器都能连接MySQL数据库,首先要给MySQL开启远程连接的功能,在MySQL服务器上MySQL命令行执行以下命令: grant all privileges on *.* to root@"%" identified by 'abc' with grant option; flush privileges; 其中上面两行代码的意思是给从任意ip地址连接的用户...
mysql防火墙_如何设置mysql远程访问防火墙设置
weixin_42299310的博客
01-18 534
笔者在一个实际的项目中需要MYSQL远程访问.情景: 安装好Mysql, 本地访问正常,很奇怪局域的机器都无法访问该服务器上的MYSQL数据库.经过资料查找原来Mysql默认是不可以通过远程机器访问的,通过下面的配置可以开启远程访问 .在MySQL Server端:登陆MYSQL ..bin\ mysql -h localhost -u root -p提示你输入密码,输入密码后进入mysql ...
pythonlogger.error会阻断程序么
最新发布
06-06
`pythonlogger.error` 不会阻断程序的执行。它只是将错误信息记录到日志中,如果在程序中使用了 `try-except` 语句来捕获异常并处理,程序会继续执行。如果没有使用 `try-except` 处理异常,程序会崩溃并停止执行。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值