数据库防火墙：维护数据安全的坚实堡垒.docxVIP

数据库防火墙：维护数据安全的坚实堡垒作者：安华金和“CSDN泄密事件”、“小米用户账号信息曝光”、“Facebook数据泄”和“12306网站用户泄密事件”，“携程网数据库数据恶意删除”……触目惊心的数据泄漏事件一件接一件层出不穷。由数据库安全原因爆发的安全问题越来越多，引起政企事业单位和社会的极大关注与反思。当前信息化安全时代，以数据库为基础的信息系统在金融、保险、医疗、通讯等领域的基础设施建设中都得到了非常广泛的应用。在这一新的网络环境下，因为信息的易获取性，包含在数据库系统中的关乎商业机密、个人隐私等涉密信息将面临更多的安全威胁。想要保证信息系统的安全，就应该先防御信息系统的服务器漏洞、操作系统漏洞和网络传输入侵数据库。其中，对于网络非法入侵数据库，就可以通过数据库防火墙来防御。数据库防火墙作为信息系统安全体系的基础和核心控制设备，贯穿于受控网络通信主干线，它对通过受控干线的任何通信行为进行安全处理，同时也承担着繁重的通信任务。由于传统边界防御安全产品和解决方案采用的都是被动防御的技术，不能够从根本上解决数据库数据所面临的安全威胁和风险，解决数据库安全需要专用的数据库安全设备从根本上解决数据安全问题。所以，目前很多企业在选择安全产品的时候，首选的也是数据库防火墙。数据库防火墙与传统安全防护产品的区别传统防护模式IDS/IPS的局限IDS和IPS都是基于IP的防护手段。IDS核心功能在于发现异常行为，而IPS与之对应是阻断异常行为。无论是IDS还是IPS，核心的部分在于识别入侵。主流IDS/IPS产品识别的依据通常是特征库。一些IDS/IPS厂商试图在其产品中增加数据库攻击特征指纹，并声称能保护数据库。但是事实上这些通用的IDS/IPS无法为数据库提供真正的保护。主要原因在于数据库服务器与其他类型服务器不同，是高度复杂的服务器，采用丰富的交互式语言和复杂协议。IDS/IPS如果试图采用同样机制将传统的处理方法照搬到数据库，显然是行不通的。?对于数据库攻击来说，攻击特征是非常复杂和千变万化的。比如SQL攻击，一般的文档会举例?OR’1’=’1’,一些声称拥有数据库攻击检测能力的 IDS/IPS其实就是在Payload中寻找’1’=’1’的字符串，但是’2’=’2’呢？。。。这个列表可以说是无止尽的，也就是说IDS /IPSwu无法构建真正的能够涵盖数据库攻击的特征库。?剥离传统的IDS和IPS模式，我们反观一下之前业界常用的web防火墙和网络防火墙，和本文所提倡的数据库防火墙，存在哪些区别Web防火墙与网络防火墙数据库防火墙与传统的防火墙的主要区别就是从各自发挥的作用来看，一般有下述几个区别。1、网络层防火墙一般都是从网络层进行防护。2、WEB防火墙一般性都是对应用层的web协议解析进行防护，注重对WEB服务器的各种非法操作行为。3、数据库防火墙主要是通过对应用层的数据库通讯协议解析进行防护，来控制各种数据库服务器的各种非法行为。了解完数据库防火墙与传统防火墙的区别后，我们再了解下数据库防火墙所带给我们的好处。1、通过系统自身的补丁、SQL注入防护能力，能够防止外部黑客攻击。2、数据库防火墙可以对内部人员、第三方开发人员在敏感业务数据上的批量更新、高危的数据删除、表结构删除等行为，可以进行实时的报警，防止内部人员的高风险操作；3、针对内部人员或黑客对于敏感数据的批量下载、查询的行为进行较为严格的控制。4、对数据库的操作行为进行多角度的分析，来形成各种形式多种观察角度的审计报表，提供给客户进行分析。?主流防火墙产品解析上文我们对数据库防火墙产品产生的必要性进行了必要性论述，下面我们就当前市场上几款主流防火墙产注意做产品解析?Oracle防火墙Oracle在原来Secerno产品的基础之上正式推出了Oracle Database Firewall。该产品致力于防范数据库的非法访问和SQL注入攻击等安全问题，旨在全面加强数据库安全性。Oracle防火墙部署在应用和数据库之间设置的、用于加强数据库访问控制，对非法的访问或攻击进行阻，是一款纯软件的防火墙系统。实现机制是从源头保护数据，通过阻止和记录,审计和监测,访问控制,加密和屏蔽等方式，以避免从应用中非法窃取信息,避免通过盗用身份非法窃取数据。Oracle-DBF的策略管理工具构建于基于语法的 SQL 分析之上，可以针对给定数据库定义经过认可的 SQL 语句白名单，还可以定义主动安全模型。当 Oracle防火墙策略管理使用有关网络的多种因素时，就可以构建功能强大的细粒度策略，从而确定生产环境发生的更改的时间、地点和方式。这种方式有助于识别对应用程序的SQL注入攻击，并且在这些攻击接近数据库之前就将其阻止McAfee数据库防火墙McAfeeFirewall是第一个使用全球信誉技术的数