Imperva SecureSphere 数据库安全网关概述 - 201 1-1-20.docVIP

Imperva SecureSphereTM 数据库安全网关 － 全面、精确、自动的专用数据库安全平台 前言 数据库安全代表信息技术领域中最富有挑战性的部分。公司和公共部门的数据库中的信息是战略性资产，其需要经过严格的制度监管，满足苛刻的运行要求，并抵御各种攻击。来自内部和外部的数据库入侵以及通过商业应用程序的，蠕虫感染及攻击持续的危险着系统安全。包括美国在内的许多国家的通过了公开法案对数据信息的安全有很明确的规定,其中比较著名的是Sarbanes-Oxley萨班斯—奥克斯利Payment Card Industry data standard) 规定. 传统的各种方法，包括一些初级的数据库安全防护产品，如：传统IPS的针对性扩展和代理软件，都无法完全满足这些安全需要。而使用Imperva公司的产品将完全可以使得重要的企业和政府部门实现所必须的重要数据的保护. Imperva的数据安全解决方案已经使全球超过120家大型企业、银行、政府部门等相关机构达到了相关规定的安全标准，实现了企业和部门所必须的数据保护. 专业的新一代数据库安全平台必须解决的问题 即能保护破坏性攻击，也能保护侵入性攻击 传统的基于防火墙的保护主要是针对破坏性攻击，而许多侵入性攻击，如数据窃取和篡改都是隐藏在完全正常的访问的交互中的。只有采用新的防范技术才能根本性的提供相应的保护。 既能有外在特征的攻击，也能保护隐藏于内容的攻击 IPS（包括针对数据库安全进行了扩展的IPS）都是基于特定外部特征的进行攻击识别的。而许多侵入性攻击的基本行为都是正常的或基本正常（只会触发IPS的低级告警）的，但实际上这些攻击往往正是带有直接的经济危害的。必须采用新的防范思路才能有效保护。 既能保护已知的攻击，也能保护新出现的攻击 现有的各种防攻击的技术都是基于已知的攻击特征的，如：针对特定端口，很有特征代码等。但是，一方面，新型的蠕虫、病毒具有非常强的变形能力，且新的蠕虫、病毒层出不穷；另一方面，应用系统入侵的手段因人而异。这些都是依靠特征识别无法防范的。“第零日保护”必须依赖新一代的安全技术来解决。 既能对可疑事件报警，也能准确识别攻击的 传统的产品和早期的专业平台都通常只看到数据库安全的一个方面，而没有全面的包括，网络层次、应用层次、交互方式、用户权限等多种信息，因此，没有足够的信息，也没有足够的能力对攻击作精确的识别。这样，通常只能产生大量的告警信息，必须依靠专业的人员从海量的事件中通过综合分析来确定攻击。不仅效率极低，而且时效性远远不能满足实际的需要，并且成本非常高。最终的效果通常是安全产品搁置不用，同时攻击和入侵反复出现。 能够足够灵活的适应用系统和数据库系统的变化 传统的产品和早期的专业平台都通常需要制定大量的安全规则。这在网络层次的攻击防范方面是可行的——策略条目通常可以控制到几十条，最多几百条。而在数据库和应用系统防护方面，要全面的定义各个方面的安全策略几乎是不可能的，尤其考虑到实际应用中这些系统频繁的在进行升级、优化和调整。目前也只有Imperva 的智能、自动建模技术可以从本质上解决这个难题。 SecureSphere的主要功能 SecureSphereTM是业界唯一成熟的专业数据库安全平台。它可以有多种应用形式，如监视模式、在线保护模式、前后台结合模式 图1 监视模式 图二 在线保护模式 图三 前后台保护模式 智能建模技术- Dynamic Profiling SecureSphere数据安全自动评估方法的核心是Imperva的Dynamic Profiling技术。Dynamic Profiling技术自动检查实际数据库流量并使用复杂的学习算法创建每个访问数据库的用户或应用的所有合法活动分析文件。 此文件不仅仅作为后来审计评估使用变化或应用行为的基准，并且是自动生成的数据库使用安全政策，允许信息安全小组不仅仅可以监视并审计使用，而且保护数据库免受攻击。SecureSphere学习算法不断应用到实际流量中以便当用户活动随着时间发展时，有效变化将自动重新组织并集成到分析文件中。文件偏差将自动触发一个报警并可以根据严重性进行阻塞。 数据库使用评估 保证一个数据库安全的第一阶段是理解其使用。SecureSphere的Dynamic Profiling检查真实的数据库网络流量以构建一个使用的基准模型，并自动创建数据库安全政策。 管理员可以通过审查分析文件轻松掌握适当的数据库使用。这对那些不是数据库技术领域内专家的安全及检查小组特别有用。基于角色的管理支持“仅仅浏览”访问的功能，以便需要评估使用的用户(但不管理SecureSphere)可以访问大量信息。如果需要，具有管理特权的管理员可以修改分析政策以将他们与公司安全或规定指南进行比较。 数据库审计 Sec