目前世界上主流的關系型數據庫,諸如Oracle、Sybase、Microsoft SQL Server、IBM DB2/Informix等數據庫數據庫都(dōu)具有以下特征:用戶帳号及密碼、校驗系統、優先級模型和控制數據庫的特别許可、内置命令(存儲過(guò)程、觸發(fā)器等)、唯一的腳本和編程語言(例如PL/SQL、Transaction-SQL、OEMC等)、中間件、網絡協議、強有力的數據庫管理實用程序和開(kāi)發(fā)工具。 數據庫領域的安全措施通常包括:身份識别和身份驗證、自主訪問控制和強制訪問控制、安全傳輸、系統審計、數據庫存儲加密等。隻有通過(guò)綜合有關安全的各個環節,才能(néng)确保高度安全的系統。
帕拉迪下一代數據庫應用安全防禦系統(簡稱NGDAP)是杭州梵汐網絡科技有限公司自行研制開(kāi)發(fā)的新一代數據防護系統。NGDAP通過(guò)對(duì)訪問數據庫的數據流進(jìn)行采集、分析和識别。實時監視數據庫的運行狀态,記錄多種(zhǒng)訪問數據庫行爲,發(fā)現對(duì)數據庫的異常訪問,并進(jìn)行及時的阻斷。
網絡防火牆
數據庫網絡防火牆主要基于網絡行爲的控制,基于TCP五元組來實現,根據五元組内的源地址,目标地址,源端口,目标端口,傳輸層協議進(jìn)行策略控制。
準入防火牆
通過(guò)白名單自學(xué)習進(jìn)行訪問準入規則的固化(自動學(xué)習到數據庫訪問行爲的五元素—訪問源地址異常,訪問源主機名稱異常,訪問源用戶名稱異常,訪問工具名稱異常,登錄帳号名稱異常,固化安全規則),未被(bèi)匹配到的數據庫接入行爲都(dōu)會(huì)進(jìn)行實時的預警和阻斷會(huì)話,在不影響性能(néng)和修改數據庫的情況下,通過(guò)持續跟蹤所有數據庫操作來識别未授權的活動或可疑的活動,并及時阻斷,避免數據庫遭受網絡攻擊,從根本上解決數據庫惡意訪問威脅。
行爲防火牆
可以精準的追蹤到用戶的SQL語句命令,可以對(duì)來源、目标庫、目标表和指定行爲進(jìn)行控制,防止高危違規操作和誤操作。
業務防火牆
學(xué)習階段,它會(huì)記錄分析并統計所有的應用程序發(fā)來的查詢請求,將(jiāng)其自動添加到白名單中來,用戶可以确認并調整白名單的内容。切換到主動防禦模式後(hòu),數據庫防火牆首先會(huì)對(duì)發(fā)來的請求數據進(jìn)行标準化處理,然後(hòu)將(jiāng)處理後(hòu)的數據送往模式匹配引擎中,跟白名單中的數據進(jìn)行比較,如果匹配到相關規則,則認爲是合法請求,該數據會(huì)被(bèi)傳遞到真實的數據庫中進(jìn)行查詢,并最後(hòu)返回給應用程序;如果不匹配相關規則,則做出告警或者阻斷響應,徹底解決SQL注入、APT等攻擊。
部署方式
