1、LanSecS數(shù)據庫安全防護系統(tǒng)解決方案 北京圣博潤高新技術股份有限公司2014年3月1 產品背景1.1 概述 隨著計算機技術的飛速發(fā)展，數(shù)據庫的應用十分廣泛，深入到各個領域，但隨之而來產生了數(shù)據的安全問題以及數(shù)據庫訪問的安全問題。各種應用系統(tǒng)的數(shù)據庫中大量數(shù)據的安全問題、敏感數(shù)據的防竊取和防篡改問題，越來越引起人們的高度重視。數(shù)據庫系統(tǒng)作為信息的聚集體，是計算機信息系統(tǒng)的核心部件，其安全性至關重要，因此，如何有效地保證數(shù)據庫系統(tǒng)的安全，實現(xiàn)數(shù)據的保密性、完整性和有效性，已經成為業(yè)界人士探索研究的重要課題之一。 越來越多的關鍵業(yè)務系統(tǒng)運行在數(shù)據庫平臺上。同時也成為不安定因素的主要目標。如何確保

2、數(shù)據庫自身的安全，已成為現(xiàn)代數(shù)據庫系統(tǒng)的主要評測指標之一。數(shù)據庫是信息技術的核心和基礎，廣泛應用在電信、金融、政府、商業(yè)、企業(yè)等諸多領域，當我們說現(xiàn)代經濟依賴于計算機時，我們真正的意思是說現(xiàn)代經濟依賴于數(shù)據庫系統(tǒng)。數(shù)據庫中儲存著諸如銀行賬戶、醫(yī)療保險、電話記錄、生產或交易明細、產品資料等極其重要和敏感的信息。盡管這些系統(tǒng)的數(shù)據完整性和安全性是相當重要的，但對數(shù)據庫采取的安全檢查措施的級別還比不上操作系統(tǒng)和網絡的安全檢查措施的級別。許多因素都可能破壞數(shù)據的完整性并導致非法訪問，這些因素包括復雜程度、密碼安全性較差、誤配置、未被察覺的系統(tǒng)后門以及數(shù)據庫安全策略的缺失等。 在攻擊方式中，SQL注入攻

3、擊是黑客對數(shù)據庫進行攻擊的常用手段之一，而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別，所以市面上的通用防火墻都不會對SQL注入發(fā)出警報，如果管理員沒查看IIS日志的習慣，可能被入侵很長時間都不會發(fā)覺。如何防御SQL注入攻擊也是亟待解決的重點問題之一。 數(shù)據庫的應用相當復雜，掌握起來非常困難。許多數(shù)據庫管理員都忙于管理復雜的系統(tǒng)， 所以很可能沒有檢查出嚴重的安全隱患和不當?shù)呐渲茫踔粮緵]有進行檢測。 正是由于傳統(tǒng)的安全體系在很大程度上忽略了數(shù)據庫安全這一主題，使數(shù)據庫專業(yè)人員也通常沒有把安全問題當作他們的首要任務。在安全領域中，類似網頁被修改、電腦中病毒、木馬、流氓軟件、彈出窗口等所造成的經

4、濟損失微乎其微，而一旦數(shù)據庫出現(xiàn)安全風險并被惡意利用所造成的后果幾乎是災難性的和不可挽回的。 由此可見，數(shù)據庫安全實際上是信息系統(tǒng)信息安全的核心，在這種情況下，有必要采用專業(yè)的新型數(shù)據庫安全產品，專門對信息系統(tǒng)的數(shù)據庫進行保護。1.2 數(shù)據庫風險分析2 產品概述LanSecS數(shù)據庫安全防護系統(tǒng)，是一款基于數(shù)據庫協(xié)議分析與控制技術的數(shù)據庫安全防護系統(tǒng)。LanSecS數(shù)據庫安全防護系統(tǒng)基于主動防御機制，實現(xiàn)數(shù)據庫的訪問行為控制、危險操作阻斷、可疑行為審計。LanSecS數(shù)據庫安全防護系統(tǒng)是一款集數(shù)據庫IPS、IDS和審計功能為一體的綜合安全產品。LanSecS數(shù)據庫安全防護系統(tǒng)通過SQL協(xié)議分析，

5、根據預定義的禁止和許可策略讓合法的SQL操作通過，阻斷非法違規(guī)操作，形成數(shù)據庫的外圍防御圈,實現(xiàn)SQL危險操作的主動預防、實時審計。LanSecS數(shù)據庫安全防護系統(tǒng)面對來自于外部的入侵行為，提供防SQL注入禁止和數(shù)據庫虛擬補訂包功能；通過虛擬補丁包，數(shù)據庫系統(tǒng)不用升級、打補丁，即可完成對主要數(shù)據庫漏洞的防控。LanSecS數(shù)據庫安全防護系統(tǒng)支持Oracle、MS SQL Server 、DB2、MySQL、Sybase等多種國際主流數(shù)據庫產品。能夠在不影響數(shù)據庫原有性能、無需應用進行改造的前提下，提供可靠數(shù)據庫安全保護服務。3 功能特性【虛擬補丁】CVE上公布了2000多個數(shù)據庫安全漏洞，這些

6、漏洞給入侵者敞開了大門。數(shù)據庫廠商會定期推出數(shù)據庫漏洞補丁，由于數(shù)據庫打補丁工作的復雜性和對應用穩(wěn)定性的考慮，大多數(shù)企業(yè)無法及時更新補丁。LanSecS數(shù)據庫安全防護系統(tǒng)提供了虛擬補丁功能，在數(shù)據庫外的網絡層創(chuàng)建了一個安全層，在用戶在無需補丁情況下，完成數(shù)據庫漏洞防護。LanSecS數(shù)據庫安全防護系統(tǒng)支持22類，460個以上虛擬補丁。【黑白名單支持】LanSecS數(shù)據庫安全防護系統(tǒng)通過學習模式以及SQL語法分析構建動態(tài)模型，形成SQL白名單和SQL黑名單，對符合SQL白名單語句放行，對符合SQL黑名單特征語句阻斷?！炯毩６葯嘞薰芾怼縇anSecS數(shù)據庫安全防護系統(tǒng)對于數(shù)據庫用戶提供比DBMS系

7、統(tǒng)更詳細的虛擬權限控制?？刂撇呗园ǎ河脩?操作+對象+時間。在控制操作中增加了Update Nowhere、delete Nowhere等高危操作；控制規(guī)則中增加返回行數(shù)和影響行數(shù)控制。 【SQL注入禁止】LanSecS數(shù)據庫安全防護系統(tǒng)通過對SQL語句進行注入特征描述，完成對SQL注入行為的檢測和阻斷。系統(tǒng)提供缺省SQL注入特征庫；系統(tǒng)提供定制化的擴展接口?！咀钄嗪蛯徲嫛孔钄鄤幼靼ǎ褐袛鄷捄蛿r截語句。審計行為分為：普通審計和告警審計。告警通知包括：syslog、snmp、郵件和短信。【行為監(jiān)控與分析】LanSecS數(shù)據庫安全防護系統(tǒng)提供全面詳細審計記錄，告警審計和會話事件記錄，并在此基

8、礎上實現(xiàn)了內容豐富的審計瀏覽、訪問分析和問題追蹤，提供實時訪問儀表盤。 LanSecS數(shù)據庫安全防護系統(tǒng)通過對捕獲的SQL語句進行精細SQL語法分析,并根據SQL行為 特征和關鍵詞特征進行自動分類，系統(tǒng)訪問SQL語句有效“歸類”到幾百個類別范圍內， 完成審計結果的高精確和高可用分析。4 產品價值4.1 完備數(shù)據庫安全防護LanSecS數(shù)據庫安全防護系統(tǒng)提供四大產品核心價值，包括防止外部黑客攻擊、防止內部高危操作、防止敏感數(shù)據泄漏、審計追蹤非法行為。u 防止外部黑客攻擊威脅：黑客利用Web應用漏洞，進行SQL注入；或以Web應用服務器為跳板，利用數(shù)據庫自身漏洞攻擊和侵入。防護：通過虛擬補丁技術捕

9、獲和阻斷漏洞攻擊行為，通過SQL注入特征庫捕獲和阻斷SQL注入行為。u 防止內部高危操作威脅：系統(tǒng)維護人員、外包人員、開發(fā)人員等，擁有直接訪問數(shù)據庫的權限，有意無意的高危操作對數(shù)據造成破壞。防護：通過限定更新和刪除影響行、限定無Where的更新和刪除操作、限定drop、truncate等高危操作避免大規(guī)模損失。u 防止敏感數(shù)據泄漏威脅：黑客、開發(fā)人員可以通過應用批量下載敏感數(shù)據，內部維護人員遠程或本地批量導出敏感數(shù)據。防護：限定數(shù)據查詢和下載數(shù)量、限定敏感數(shù)據訪問的用戶、地點和時間。u 審計追蹤非法行為威脅：業(yè)務人員在第三方利益誘惑下，通過業(yè)務系統(tǒng)提供的功能完成對敏感信息的訪問，進行信息的售賣

10、和數(shù)據篡改。防護：提供對所有數(shù)據訪問行為的記錄，對風險行為進行SysLog、郵件、短信等方式的告警，提供事后追蹤分析工具4.2 多種應用模式數(shù)據庫審計產品：提供全面數(shù)據庫審計能力，符合等保三級需求數(shù)據庫入侵防御產品：接入在應用服務器和數(shù)據庫服務器之間，防止外部黑客入侵數(shù)據庫運維管控產品：內部數(shù)據庫運維接口，防止運維人員高危操作和泄漏敏感數(shù)據內外網隔離裝置：替代傳統(tǒng)防火墻、IDS、IPS產品，實現(xiàn)唯一內網接入通道安全數(shù)據庫通訊5 產品優(yōu)勢5.1 全面入侵阻斷提供業(yè)界最為全面的數(shù)據庫攻擊行為檢測和阻斷技術：l 虛擬補丁技術：針對CVE公布的漏洞庫，提供漏洞特征檢測技術。l 高危訪問控制技術：提供對

11、數(shù)據庫用戶的登錄、操作行為，提供根據地點、時間、用戶、操作類型、對象等特征定義高危訪問行為。l SQL注入禁止技術：提供SQL注入特征庫。l 返回行超標禁止技術：提供對敏感表的返回行數(shù)控制。l SQL黑名單技術：提供對非法SQL的語法抽象描述。5.2 高度應用兼容 對于IPS類產品最重要的是在保持“低漏報率”的同時維護“低誤報率”；對于數(shù)據庫而言這點更為關鍵，一點點“誤報”可能就會造成重大業(yè)務影響。 LanSecS數(shù)據庫安全防護系統(tǒng)提供強大的應用行為描述方法，以對合法應用行為放行，將誤報率降低為“零”。 LanSecS數(shù)據庫安全防護系統(tǒng)通過語法抽象描述不同類型的SQL語句，規(guī)避參數(shù)帶來的多樣化

12、；通過應用學習捕獲所有合法SQL的語法抽象，建立應用SQL白名單庫。5.3 快速部署實施l 預定義策略模版： LanSecS數(shù)據庫安全防護系統(tǒng)提供應用場景、維護場景、混合場景多種策略模版幫助用戶快速建立安全策略。l 預定義風險特征庫： 通過預定義風險特征庫快速建立風險阻斷規(guī)則。l 多種運行模式： LanSecS數(shù)據庫安全防護系統(tǒng)提供IPS、IDS運行模式，提供學習期、學習完善期、保護期三種運行周期，以幫助用戶在防火墻建設的不同階段平滑過渡。5.4 豐富產品系列 產品共分為2大系列，滿足不同生產環(huán)境和訪問壓力級別的應用需求。6 典型部署6.1 串聯(lián)模式LanSecS數(shù)據庫安全防護系統(tǒng)支持兩種串聯(lián)模式：透明網橋模式：在網絡上物理串聯(lián)接入LanSecS數(shù)據庫安全防護系統(tǒng)設備，所有用戶訪問的網絡流量都串聯(lián)流經設備；通過透明網橋技術，客戶端看到的數(shù)據庫地址不變。代理接入模式：網絡上并聯(lián)接入LanSecS數(shù)據庫安全防護系統(tǒng)設備，客戶端邏輯連接防火墻設備地址，防火墻設備轉發(fā)流量到數(shù)據庫