《LanSecS数据库安全防护系统解决方案.pdf》由会员分享,可在线阅读,更多相关《LanSecS数据库安全防护系统解决方案.pdf(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 LanSecS LanSecS数据库安全防护系统 解决方案 北京圣博润高新技术股份有限公司 2014 年 3 月 Information LanSecS数据库安全防护系统解决方案 1产品背景 1.1概述 随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域,但随之而来产 生了数据的安全问题以及数据库访问的安全问题。各种应用系统的数据库中大量数据的安全 问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。数据库系统作为信息 的聚集体,是计算机信息系统的核心部件,其安全性至关重要,因此,如何有效地保证数据 库系统的安全,实现数据的保密性、完整性和有效性,已经成为业界人士探索研
2、究的重要课 题之一。越来越多的关键业务系统运行在数据库平台上。同时也成为不安定因素的主要目标。如 何确保数据库自身的安全,已成为现代数据库系统的主要评测指标之一。数据库是信息技术 的核心和基础,广泛应用在电信、金融、政府、商业、企业等诸多领域,当我们说现代经济 依赖于计算机时,我们真正的意思是说现代经济依赖于数据库系统。数据库中储存着诸如银 行账户、医疗保险、电话记录、生产或交易明细、产品资料等极其重要和敏感的信息。尽管 这些系统的数据完整性和安全性是相当重要的,但对数据库采取的安全检查措施的级别还比 不上操作系统和网络的安全检查措施的级别。许多因素都可能破坏数据的完整性并导致非法 访问,这些
3、因素包括复杂程度、密码安全性较差、误配置、未被察觉的系统后门以及数据库 安全策略的缺失等。在攻击方式中,SQL注入攻击是黑客对数据库进行攻击的常用手段之一,而且表面看起 来跟一般的Web页面访问没什么区别,所以市面上的通用防火墙都不会对 SQL注入发出警 报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。如何防御 SQL注 入攻击也是亟待解决的重点问题之一。数据库的应用相当复杂,掌握起来非常困难。许多数据库管理员都忙于管理复杂的系统,所以很可能没有检查出严重的安全隐患和不当的配置,甚至根本没有进行检测。正是由于 传统的安全体系在很大程度上忽略了数据库安全这一主题,使数据库专业
4、人员也通常没有把 安全问题当作他们的首要任务。在安全领域中,类似网页被修改、电脑中病毒、木马、流氓 软件、弹出窗口等所造成的经济损失微乎其微,而一旦数据库出现安全风险并被恶意利用所 造成的后果几乎是灾难性的和不可挽回的。由此可见,数据库安全实际上是信息系统信息安全的核心,在这种情况下,有必要采用 专业的新型数据库安全产品,专门对信息系统的数据库进行保护。LanSecS数据库安全防护系统解决方案 Information|SMlnformation LanSecS数据库安全防护系统解决方案 1.2数据库风险分析 凤险名称 风险说明 越权潘用 账号授权不合理*特权用户越权査看、操惟敏感数振 授权管理
5、 权限盗用 逋过玫击手毀锻取权限.访區紀感幻抿 身份验证措施薄弱 只便弔口令腔证夫使克等脸i正方法 数据屋漏洞 井未对数据庫歉件系统自身躍淞加以弥补如缓冲区 溢出漏洞等 注入攻击 aitSQL注入攻击,破坏数据库系统或靑盗取敏感信 意 攻击类 拒维服务攻击 大莹隆接、孫度嵌蠶、频帑游问等方式.谴坏Sr搏擁 漿统可用性 违信协讼漏汨 基于通佰协仪的攻击例如发送超长连接请求.破坏 数据庠握手协议 操作系统漏胡 井未对操乍系统诵拥站以弥补、幻系统甲户权凰 审计类 审计措施不力 开启了数据库自身甫计.但是其详细度.可信麼不足 对于敏感数揺依然采用明文存储.并未逬行期密 存储*m 粉类 缺少安全毎份措施
6、 采用简单复制的手段进行备价 2产品概述 Lan SecS数据库安全防护系统,是一款基于数据库协议分析与控制技术的数据库安全防 护系统。La nSecS数据库安全防护系统基于主动防御机制,实现数据库的访问行为控制、危 险操作阻断、可疑行为审计。LanSecS数据库安全防护系统是一款集数据库 IPS、IDS和审计 功能为一体的综合安全产品。Lan SecS数据库安全防护系统通过 SQL协议分析,根据预定义的禁止和许可策略让合法 的SQL操作通过,阻断非法违规操作,形成数据库的外围防御圈,实现SQL危险操作的主动 H 预防、实时审计。Information 佃必取伍昭则L嗣 LanSecS数据库安
7、全防护系统解决方案 第3页 Lan SecS数据库安全防护系统面对来自于外部的入侵行为,提供防 SQL注入禁止和数据 库虚拟补订包功能;通过虚拟补丁包,数据库系统不用升级、打补丁,即可完成对主要数据 库漏洞的防控。LanSecS数据库安全防护系统支持 Oracle、MS SQL Server、DB2 MySQL Sybase 等多 种国际主流数据库产品。能够在不影响数据库原有性能、无需应用进行改造的前提下,提供 可靠数据库安全保护服务。3功能特性【虚拟补丁】CVE上公布了 2000多个数据库安全漏洞,这些漏洞给入侵者敞开了大门。数据库厂商会 定期推出数据库漏洞补丁,由于数据库打补丁工作的复杂性
8、和对应用稳定性的考虑,大 多数企业无法及时更新补丁。Lan SecS数据库安全防护系统提供了虚拟补丁功能,在数据库外的网络层创建了一个安 全层,在用户在无需补丁情况下,完成数据库漏洞防护。Lan SecS数据库安全防护系统 支持22类,460个以上虚拟补丁。【黑白名单支持】Lan SecS数据库安全防护系统通过学习模式以及 SQL语法分析构建动态模型,形成 SQL 白名单和SQL黑名单,对符合SQL白名单语句放行,对符合 SQL黑名单特征语句阻断。【细粒度权限管理】Lan SecS数据库安全防护系统对于数据库用户提供比 DBMS系统更详细的虚拟权限控制。控制策略包括:用户+操作+对象+时间。在
9、控制操作中增加了 Update Nowhere、delete Nowhere等高危操作;控制规则中增加返 回行数和影响行数控制。【SQL注入禁止】Lan SecS数据库安全防护系统通过对 SQL语句进行注入特征描述,完成对 SQL注入行为 的检测和阻断。系统提供缺省 SQL注入特征库;系统提供定制化的扩展接口。【阻断和审计】阻断动作包括:中断会话和拦截语句。审计行为分为:普通审计和告警审计。告警通知包括:syslog、snmp、邮件和短信。【行为监控与分析】|9R Information LanSecS数据库安全防护系统解决方案 第4页 Lan SecS数据库安全防护系统提供全面详细审计记录,
10、告警审计和会话事件记录,并在 此基础上实现了内容丰富的审计浏览、访问分析和问题追踪,提供实时访问仪表盘。LanSecS数据库安全防护系统通过对捕获的 SQL语句进行精细SQL语法分析,并根据SQL 行为 特征和关键词特征进行自动分类,系统访问 SQL语句有效“归类”到几百个类别范围内,完成审计结果的高精确和高可用分析。4产品价值 4.1完备数据库安全防护 Lan SecS数据库安全防护系统提供四大产品核心价值,包括防止外部黑客攻击、防止内 部高危操作、防止敏感数据泄漏、审计追踪非法行为。通泣煌拟i卜丁耳杭捕疾和爼计闭洞玖+苻为.通过SQL注入特征除捕荻和殂斯SQL注入忏为.通过限运更新和删除罷
11、响行、限定无Where的 更新和8H除操作,限定drop,trvnw恰爭高危犠 作姐免乂灿慎插丈*防止外部黑客攻击 威胁:黑客利用 Web应用漏洞,进行SQL注入;或以 Web应用服务器为跳板,利用数据 库自身漏洞攻击和侵入。防护:通过虚拟补丁技术捕获和阻断漏洞攻击行为,通过 SQL注入特征库捕获和阻断 SQL注入行为。防止内部高危操作 H 防止内部髙危 操作 防止敏感数据 池漏 防止敏感数据 泄漏 限定数据查询和下載数捷、限定敏感数据访问 的需户.地点和时珂 提供对所有数据访问厅为的记录,对风险行为 进fjSysLog邮件、的佼等方咒的告警提供 事右追琮分析T县 审计追踪非法 行为|$U I
12、nformation 圻也曲刊裤时LanSecS数据库安全防护系统解决方案 第5页 威胁:系统维护人员、外包人员、开发人员等,拥有直接访问数据库的权限,有意无意 的高危操作对数据造成破坏。防护:通过限定更新和删除影响行、限定无 Where的更新和删除操作、限定 drop、truncate等高危操作避免大规模损失。防止敏感数据泄漏 威胁:黑客、开发人员可以通过应用批量下载敏感数据,内部维护人员远程或本地批量 导出敏感数据。防护:限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。审计追踪非法行为 威胁:业务人员在第三方利益诱惑下,通过业务系统提供的功能完成对敏感信息的访问,进行信息的售卖
13、和数据篡改。防护:提供对所有数据访问行为的记录,对风险行为进行 SysLog、邮件、短信等方式的 告警,提供事后追踪分析工具 4.2多种应用模式 数据库审计产品:提供全面数据库审计能力,符合等保三级需求 数据库入侵防御产品:接入在应用服务器和数据库服务器之间,防止外部黑客入 侵 数据库运维管控产品:内部数据库运维接口,防止运维人员高危操作和泄漏敏感 巴数据 H 内外网隔离装置:替代传统防火墙、安全数据库通讯 IDS、IPS产品,实现唯一内网接入通道 5产品优势 5.1全面入侵阻断 提供业界最为全面的数据库攻击行为检测和阻断技术:虚拟补丁技术:针对 CVE公布的漏洞库,提供漏洞特征检测技术。高危
14、访问控制技术:提供对数据库用户的登录、操作行为,提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为。SQL注入禁止技术:提供 SQL注入特征库。返回行超标禁止技术:提供对敏感表的返回行数控制。SQL黑名单技术:提供对非法 SQL的语法抽象描述。5.2高度应用兼容 对于IPS类产品最重要的是在保持“低漏报率”的同时维护“低误报率”;对于数据 库而言这点更为关键,一点点“误报”可能就会造成重大业务影响。LanSecS数据库安全防护系统提供强大的应用行为描述方法,以对合法应用行为放 行,将误报率降低为“零”。LanSecS数据库安全防护系统通过语法抽象描述不同类型的 SQL语句,规避参数
15、带 来的多样化;通过应用学习捕获所有合法 SQL的语法抽象,建立应用 SQL白名单库。5.3快速部署实施 预定义策略模版:Lan SecS数据库安全防护系统提供应用场景、维护场景、混合场 景多种策略模版帮助用户快速建立安全策略。预定义风险特征库:通过预定义风险特征库快速建立风险阻断规则。多种运行模式:LanSecS数据库安全防护系统提供 IPS、IDS运行模式,提供学习 期、学习完善期、保护期三种运行周期,以帮助用户在防火墙建设的不同阶段平滑过渡。Information 5.4丰富产品系列 产品共分为2大系列,满足不同生产环境和访问压力级别的应用需求。6典型部署 6.1串联模式 LanSecS
16、数据库安全防护系统支持两种串联模式:透明网桥模式:在网络上物理串联接入 LanSecS数据库安全防护系统设备,所有用户访问 的网络流量都串联流经设备;通过透明网桥技术,客户端看到的数据库地 址不变。代理接入模式:网络上并联接入 LanSecS数据库安全防护系统设备,客户端逻辑连接防火 墙设备地址,防火墙设备转发流量到数据库服务器;通过代理接入模式,网络拓扑结构不变。6.2旁路部署模式 LanSecS数据库安全防护系统设备不直接接入网络,而是通过 TAP、SPAN等技术将 网络流量映射到防火墙设备;通过旁路部署模式既不改变网络拓扑,也不在应用链路上增 加新的设备点。6.3 混合部署模式 Lan SecS数据库安全防护系统支持在一台设备上同时进行串联和旁路两种接入模式,对 不同的数据库实例支持IPS和IDS两种运行模式。Information