sql 高频数据_【论文写作解决方案】数据库访问安全防护系统

安全背景

除物理存储安全外(【论文写作-解决方案】数据库TDE加密)，数据库日常访问的安全防护也同样重要。很多安全事件的发生是以合法的用户身份，非法的访问方式造成的。

防护种类

数据库访问的安全防护整体可以分为事前、事中和事后三大类。

• 事前防护主要是指在SQL语句发送到数据库正式执行前，防护系统对SQL语句进行解析、分析、规则匹配等前置操作，对判定为非法或高危访问行为进行阻断。

• 事中防护主要是指SQL语句已经在数据库执行，防护系统统计、监控语句，发现存在响应时间过长，或者返回的结果集数据量过大等异常情况，对用户和数据库已建立的连接进行阻断。

• 事后防护主要是指防护系统通过数据库自身以外的日志记录机制，对数据库访问日志进行留存，以备审计。

核心技术

一、SQL特征提取

安全防护系统只有在网络上串接在数据库服务器之前，才有可能阻断对数据库的访问。当数据库事务繁忙时，安全防护系统需要处理的数据量也非常大。这需要系统对即将提交给数据库执行的SQL语句进行解析，抽象其中的参数，提取SQL语句的典型特征。只有这样，系统才能精减、复用特征库，实现在高频次访问的基础上，减少对数据库性能的影响。

二、虚拟补丁

大型数据库厂家定期会针对近期发现的数据库漏洞发布安全补丁包。但是，对于大型企业单位的应用系统而言，通过及时打上安全补丁的方式进行数据库防护，是一项不可能完成的任务(IMF)。

因为很多安全补丁是要求在数据库停机的基础上操作的。即使对于集群RAC环境，也不能保证不停机完成所有补丁升级。这势必会影响业务系统的正常运行。而很多业务系统的停机窗口时间非常短，或者影响范围非常大，需要耗费比较长的时间协调和测试。此外，安全补丁升级操作本身也有一定的风险。厂家新推出的补丁程序未必在所有操作系统和数据库版本环境中都能稳定运行。在此情况下，虚拟补丁成为一个不错的替代方案。虚拟补丁是通过对原厂补丁程序的逆向工程，还原漏洞防护的技术原理，然后在防护设备中通过自开发的程序，虚拟实现原厂补丁的功能，达到漏洞无法被外部利用的最终效果。

主要功能

• 合规性检查。国家信息安全主管部门，基于网络安全法和等保条例等法律法规，对于核心信息系统的定义，以及安全防护要求有明确的细则。

  安全防护系统能够通过持续升级服务，帮助企业满足数据库软硬件安全防护与审计合规要求。

• 漏洞防护。通过特征匹配与虚拟补丁，外部高危访问能够被拦截在实际数据库访问之外。

  这样，一方面能够降低访问风险，另一方面也能减轻访问压力。

• 误操作防护。系统管理员、系统开发人员等，由于日常运维管理与应用开发调试的原因，往往拥有比较高的数据库访问权限。

  防护系统通过设置数据访问权限，避免大规模的数据删除(没有任何where条件的delete)或表截断(truncate table)、表删除(drop table)等操作。

• 敏感数据保护。安全防护系统可以通过定义敏感数据表的形式，限制和监控用户对敏感数据的访问，禁止批量导出等操作。

本公众号会持续更新提供论文写作方面的项目背景与各管理过程中的实际问题与解决方案素材，供备考人员结合自身实际情况，组合应用。同时也欢迎广大考生将自己感兴趣的问题或者遇到的备考难题(不局限于论文考试)通过公众号留言的方式反馈给我们。我们将竭尽全力为大家提供更加有针对性的问题解答。 【论文写作-深度服务】项目背景优化 【论文写作-深度服务】论文合集下载