“CSDN泄密事件”、“小米用戶賬號(hào)信息曝光”、“Facebook數(shù)據(jù)泄”……觸目驚心的數(shù)據(jù)庫泄漏事件一件接一件層出不窮。不但給企業(yè)、客戶帶來經(jīng)濟(jì)損失,也造成了巨大的社會(huì)影響。
而針對(duì)這種存儲(chǔ)在數(shù)據(jù)庫中的數(shù)據(jù),信息安全行業(yè)內(nèi)一直都在嘗試各種安全防護(hù)手段。比如堡壘主機(jī)、數(shù)據(jù)庫審計(jì)等產(chǎn)品,但是很明顯,即使客戶在實(shí)施了這些對(duì)數(shù)據(jù)庫的安全防護(hù)方案的情況下,大量針對(duì)數(shù)據(jù)庫中數(shù)據(jù)的攻擊行為、數(shù)據(jù)庫數(shù)據(jù)的泄漏/篡改行為還是屢見不鮮。因?yàn)楸局鳈C(jī)解決的是否能登錄到數(shù)據(jù)庫服務(wù)器的問題,即進(jìn)數(shù)據(jù)庫之前的問題;數(shù)據(jù)庫審計(jì)是將所有對(duì)數(shù)據(jù)庫的訪問行為做記錄供事后追溯,解決的是發(fā)生泄露事件之后的追責(zé)問題。這兩類產(chǎn)品對(duì)于用戶登錄數(shù)據(jù)庫后對(duì)庫中數(shù)據(jù)進(jìn)行的各種操作、各種修改、各種數(shù)據(jù)下載的問題,無法及時(shí)發(fā)現(xiàn)、及時(shí)制止。只能在數(shù)據(jù)庫泄漏、篡改事件發(fā)生之前、之后,進(jìn)行登錄權(quán)限檢查和操作內(nèi)容追溯。這種“馬后炮”的防護(hù)方式,已經(jīng)遠(yuǎn)遠(yuǎn)無法解決當(dāng)前數(shù)據(jù)庫面臨的安全風(fēng)險(xiǎn)。
大量的客戶,特別是已經(jīng)部署了堡壘主機(jī)、數(shù)據(jù)庫審計(jì)等防護(hù)手段的客戶,已經(jīng)開始考慮一種針對(duì)用戶登錄數(shù)據(jù)庫之后能夠?qū)崟r(shí)控制操作過程的思路,即是否有這樣一種產(chǎn)品,首先,它能夠在用戶登錄數(shù)據(jù)庫之前就對(duì)用戶身份權(quán)限進(jìn)行驗(yàn)證,并且將驗(yàn)證信息與用戶能夠訪問的數(shù)據(jù)庫中的表的內(nèi)容關(guān)聯(lián)起來,特定的用戶只能訪問特定的表,滿足安全體系中的最小化權(quán)限分配要求;其次,它能夠?qū)崟r(shí)監(jiān)控登錄用戶對(duì)數(shù)據(jù)庫的訪問行為,當(dāng)發(fā)現(xiàn)違規(guī)的數(shù)據(jù)庫數(shù)據(jù)泄漏、篡改的行為時(shí),立刻將正在進(jìn)行的違規(guī)行為阻斷,從而實(shí)時(shí)阻止針對(duì)數(shù)據(jù)庫的違規(guī)操作事件的發(fā)生,保證數(shù)據(jù)庫中的數(shù)據(jù)不會(huì)出現(xiàn)安全危害;最后,它還能記錄所有用戶對(duì)數(shù)據(jù)庫的各種訪問行為,供追溯非重要的安全事件。
在大量客戶的真實(shí)迫切的需求驅(qū)動(dòng)下,業(yè)內(nèi)出現(xiàn)了一種專門針對(duì)數(shù)據(jù)庫實(shí)時(shí)防御的一種產(chǎn)品——數(shù)據(jù)庫防火墻??赡艽蠹叶几乙粯?,現(xiàn)在行業(yè)內(nèi)已經(jīng)有了網(wǎng)絡(luò)防火墻、WEB防火墻,怎么又出來一種數(shù)據(jù)庫防火墻,這種設(shè)備到底跟傳統(tǒng)的防火墻有什么本質(zhì)的區(qū)別?請(qǐng)看下圖:
圖:常見的網(wǎng)絡(luò)安全防護(hù)架構(gòu)
從邏輯部署位置看:
1、 網(wǎng)絡(luò)防火墻部署在網(wǎng)絡(luò)出口處;
2、 WEB防火墻(WAF)部署在WEB服務(wù)器之前,網(wǎng)絡(luò)防火墻之后;
3、 數(shù)據(jù)庫防火墻(DBFW)部署在數(shù)據(jù)庫服務(wù)器之前,WEB服務(wù)器之后。
從各自發(fā)揮的作用來看:
1、 網(wǎng)絡(luò)防火墻主要從網(wǎng)絡(luò)層進(jìn)行安全防護(hù);
2、 WEB防火墻通過對(duì)應(yīng)用層的web協(xié)議解析進(jìn)行防護(hù),側(cè)重對(duì)WEB服務(wù)器的各種非法操作行為;
3、 數(shù)據(jù)庫防火墻(DBFW)通過對(duì)應(yīng)用層的數(shù)據(jù)庫通訊協(xié)議解析進(jìn)行防護(hù),控制針對(duì)數(shù)據(jù)庫服務(wù)器的各種非法行為。
下面用一個(gè)簡(jiǎn)單的例子來說明數(shù)據(jù)庫防火墻(DBFW)的功能特性。假設(shè)有這樣一個(gè)數(shù)據(jù)庫泄露事件:一名擁有數(shù)據(jù)庫用戶名、密碼的黑客要從外網(wǎng)進(jìn)入內(nèi)網(wǎng)導(dǎo)出數(shù)據(jù)庫中所有數(shù)據(jù)并公布大眾。
首先,這個(gè)連接會(huì)通過網(wǎng)絡(luò)防火墻,網(wǎng)絡(luò)防火墻根據(jù)五元組(源IP、源端口、目的IP、目的端口、協(xié)議)分析,這個(gè)連接是很正常的一個(gè)訪問數(shù)據(jù)庫的連接,網(wǎng)絡(luò)防火墻會(huì)將此連接放行;然后,這個(gè)連接到了web防火墻的位置,web防火墻檢測(cè)到這個(gè)連接的目的端口和協(xié)議不是針對(duì)web服務(wù)器的,也會(huì)將此連接放行;這樣這個(gè)連接就到了數(shù)據(jù)庫的門口。如果沒有數(shù)據(jù)庫防火墻,因?yàn)檫@個(gè)連接中攜帶著正確的數(shù)據(jù)庫用戶名及密碼,這個(gè)連接可以正常訪問數(shù)據(jù)庫,并且讀取數(shù)據(jù)庫中的所有數(shù)據(jù),數(shù)據(jù)泄露在劫難逃,造成的后果不堪設(shè)想;而當(dāng)我們?cè)跀?shù)據(jù)庫門前放上一臺(tái)數(shù)據(jù)庫防火墻時(shí),這一切全都變了。當(dāng)這個(gè)連接到了數(shù)據(jù)庫的門口,數(shù)據(jù)庫防火墻會(huì)檢測(cè)這個(gè)用戶是否可以訪問數(shù)據(jù)庫、可以訪問數(shù)據(jù)庫中的哪張表、在讀取數(shù)據(jù)庫中數(shù)據(jù)的時(shí)候能讀出來幾行、有沒有增、刪、改、查數(shù)據(jù)的權(quán)限等,從而防止這個(gè)用戶在數(shù)據(jù)庫中為所欲為,將可能出現(xiàn)的數(shù)據(jù)泄露事件扼殺在萌芽狀態(tài),防止對(duì)企業(yè)、對(duì)個(gè)人造成不良影響。
通過上面的例子我們可以看到,數(shù)據(jù)庫防火墻(DBFW)這種產(chǎn)品,它的工作方式、工作內(nèi)容、保護(hù)內(nèi)容都與數(shù)據(jù)庫審計(jì)、與傳統(tǒng)的網(wǎng)絡(luò)防火墻、與WEB防火墻不盡相同。大家從上面的例子也基本可以了解到這種產(chǎn)品的核心功能及與眾不同的特點(diǎn)。
數(shù)據(jù)庫防火墻(DBFW),是一種通過對(duì)于數(shù)據(jù)庫通訊協(xié)議的分析而衍生出的一種數(shù)據(jù)庫的訪問控制類系統(tǒng)。數(shù)據(jù)庫防火墻(DBFW)有多種工作模式,在串聯(lián)模式下可具有SQL注入防護(hù)、數(shù)據(jù)庫訪問權(quán)限控制、數(shù)據(jù)庫虛擬補(bǔ)丁防護(hù)等功能,當(dāng)并聯(lián)在網(wǎng)絡(luò)中時(shí)又具備傳統(tǒng)數(shù)據(jù)庫審計(jì)的能力。它串聯(lián)在網(wǎng)絡(luò)中與并聯(lián)在網(wǎng)絡(luò)中實(shí)現(xiàn)的不同功能的異同點(diǎn)相當(dāng)于傳統(tǒng)網(wǎng)絡(luò)安全中IPS(入侵防御系統(tǒng))和IDS(入侵檢測(cè)系統(tǒng))的區(qū)別。通俗的講,數(shù)據(jù)庫防火墻(DBFW)系統(tǒng)能夠通過對(duì)數(shù)據(jù)庫通訊協(xié)議的分析而實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的權(quán)限訪問控制、SQL防火墻功能,并且具備數(shù)據(jù)庫審計(jì)能力。
那么這種產(chǎn)品在實(shí)施后,能為客戶帶來哪些好處呢?請(qǐng)看下圖 所示數(shù)據(jù)庫防火墻(DBFW)的防護(hù)效果。
圖:數(shù)據(jù)庫防火墻(DBFW)防護(hù)效果
1、 通過系統(tǒng)的虛擬補(bǔ)丁、SQL注入防護(hù)能力,能夠防止外部黑客攻擊;
2、 對(duì)內(nèi)部人員,比如運(yùn)維人員、第三方開發(fā)人員在敏感業(yè)務(wù)數(shù)據(jù)上的批量更新、高危的數(shù)據(jù)刪除、表結(jié)構(gòu)刪除等行為,可進(jìn)行實(shí)時(shí)阻斷和告警,防止內(nèi)部人員的高危操作;
3、 對(duì)于內(nèi)部人員或黑客對(duì)于敏感數(shù)據(jù)的批量下載、查詢的行為進(jìn)行嚴(yán)格控制;
4、 對(duì)數(shù)據(jù)庫的操作行為,進(jìn)行分析,形成多種形式、多種觀察角度的審計(jì)報(bào)表,提供給客戶進(jìn)行分析。
我們可以看出,通過部署數(shù)據(jù)庫防火墻(DBFW)系統(tǒng),可從根本上杜絕多種針對(duì)數(shù)據(jù)庫的安全事件發(fā)生。
在這類產(chǎn)品的實(shí)施過程中,對(duì)于客戶在購買時(shí)考慮到數(shù)據(jù)庫的安全性、穩(wěn)定性,一般不希望或者不敢直接串聯(lián)在數(shù)據(jù)庫前時(shí),這種產(chǎn)品也提供旁路接入模式??蛻艨赏耆鶕?jù)自己的需要,前期進(jìn)行旁路部署,在產(chǎn)品運(yùn)行穩(wěn)定、策略配置完備后再進(jìn)行串聯(lián)接入,實(shí)時(shí)防護(hù)。
數(shù)據(jù)庫防火墻(DBFW)的推出,,在傳統(tǒng)的網(wǎng)絡(luò)安全的防護(hù)體系中,補(bǔ)充上了對(duì)數(shù)據(jù)庫的防護(hù)這一環(huán)節(jié),細(xì)化了網(wǎng)絡(luò)安全設(shè)備的防護(hù)內(nèi)容,真正實(shí)現(xiàn)了“術(shù)業(yè)有專攻”的數(shù)據(jù)庫安全防護(hù)系統(tǒng),從根本上解決了困擾大家多年的數(shù)據(jù)庫安全問題。而天融信公司推出的數(shù)據(jù)庫防火墻產(chǎn)品與天融信公司已有的數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫加密等產(chǎn)品一起構(gòu)成了天融信數(shù)據(jù)庫安全防護(hù)體系,為廣大社會(huì)團(tuán)體、企業(yè)用戶的數(shù)據(jù)庫數(shù)據(jù)提供了更完善的防護(hù)方案,為用戶的數(shù)據(jù)庫中的數(shù)據(jù)保駕護(hù)航。
相信從這類產(chǎn)品的問世以來,數(shù)據(jù)庫的安全問題會(huì)越來越少,社會(huì)團(tuán)體、企業(yè)、個(gè)人的隱私信息被任意泄露的現(xiàn)象將得到極大改善。