讓你詳細的瞭解資料庫防火牆的功能

在網際網路時代，資料庫引發的安全事件越來越多，資料庫防火牆是資料庫安全保護不可或缺的防禦手段，也越來越受到企業的重視。

那麼，為了為企業資料資產建立一個堅不可摧的安全線，資料庫防火牆應該具備哪些功能呢？作為國家資料防火牆標準的重要參與者，梅昌科技曾主導制定了資料庫防火牆標準。結合成熟的資料庫防火牆產品在該領域的強大技術積累和產品經驗，總結出該產品應具備的一系列關鍵功能。

1.資料庫防火牆的高可用性和高效能

資料庫承載著企業的核心業務，其重要性不言而喻。由於資料庫防火牆是連線到資料庫和應用伺服器的安全裝置，因此不能因為安全裝置的部署而影響業務系統的正常使用。資料庫防火牆本身需要具有高可用性和高速併發處理能力：

當安全裝置因當機、系統本身主程式不可用、記憶體持續被佔等問題導致不可用時，自動切換到另外一臺安全裝置進行執行，從而能夠達到裝置的高可用，避免因日常維護操作（計劃）和突發的系統崩潰（非計劃）所導致的停機時間，影響生產業務，提升系統和應用的高可用性。

由於業務系統的高併發訪問，資料庫需要直接訪問資料庫。 1毫秒的SQL處理速率與直接訪問資料庫的處理速率基本相同，以避免由於部署資料庫防火牆而導致業務系統的正常使用。

2. 准入控制

就跟人需要有身份證一樣，接入資料庫也需要有授權身份才可以接入，根據不同的身份因子對人進行多維度的識別，保證身份真實性和可靠性。

多因素身份：資料庫使用者名稱、應用系統使用者、IP地址、MAC地址、客戶端程式名、登入時間等多因素組合訪問因素。

應用程式防偽：它可以識別應用程式，識別應用程式的真實性，並防止應用程式被模擬，從而導致應用程式的非法使用。

3. 入侵防護功能

每天，資料庫防火牆都需要面對來自外部環境的各種攻擊。在識別真人的基礎上，我們還需要檢測他們的訪問行為和特徵，並抵禦危險行為。主要的防禦功能應該是：

SQL隱碼攻擊安全防禦，構建SQL隱碼攻擊特徵庫，實現對注入攻擊的SQL特徵識別，結合SQL白名單機制實現實時攻擊阻斷;

漏洞攻擊防禦由於資料庫升級的困難前提，需要對資料庫漏洞進行掃描識別，並對這些漏洞進行虛擬補丁，以避免駭客透過這些漏洞進行攻擊。

敏感SQL防禦，即SQL所帶有敏感資訊，對這些SQL需要單獨管理，只授權給可以訪問的身份，拒絕未經授權的身份進行訪問。

4. 訪問控制

許多應用程式通常具有許可權控制漏洞，無法控制某些非法訪問和高風險操作，例如獲取統一和絕密資料。這些潛在的風險行為需要得到管理和控制：

防碰撞庫，當密碼輸入次數達到預設門限時，鎖定攻擊終端；

危險的行動被封鎖了。當應用程式執行完全刪除和修改等高風險行為時，這些行為需要被阻止。

敏感資訊訪問脫敏，根據來訪者主管部門，在主管部門足以看到真實資料時，在主管部門不足以退回脫敏資料時，返還不同的資料，以避免洩露敏感資訊；

訪問返回行控制可以管理訪問結果，避免一次非法匯出大量資料庫，造成大量資料丟失。

5. SQL白名單

SQL白名單，就是建立應用的SQL白名單庫，對於這些安全SQL進行放行，對於危險SQL進行阻斷;SQL白名單可以只針對可信SQL做特徵識別、而不符合可信SQL特徵的我們都可以認為他是未知或高危的SQL，並進行阻斷或告警。

6. 風險監控

一般來說，資料庫防火牆通常管理多個資料庫。當資料庫達到一定數量時，很難監視人類對資料庫的整體安全性。因此，監控平臺需要執行統一的安全監控：

監視資料庫防火牆的總體安全性，並在有風險時快速定位當前被攻擊的資料庫和被攻擊的客戶端。

視覺顯示，直觀，全域性，清晰掌握資料庫安全情況。

7. 告警

對於任何不認識的新面孔和操作進行識別並實時告警，是資料庫安全防護必不可少的一環，包括：新發現的IP地址，應用程式，資料庫賬戶，應用賬戶，訪問物件，訪問操作，SQL語句。

系統可以透過SMS，電子郵件和動畫等各種警報確保警報的實時性。

8. 風險分析與追蹤

在興趣誘惑下，業務人員經常透過業務系統提供的功能完成對敏感資訊的訪問，從而導致資料洩露的風險。因此，必須提供詳細的風險獲取記錄，以便利風險分析和問題追蹤。詳細的風險分析和跟蹤應包括以下基本要素：

―真實的資料庫帳號、主機名稱、作業系統帳號等真實身份;What?

―什麼物件資料被訪問了，執行了什麼操作，觸發了什麼安全策略;When?

When?—每個事件發生的具體時間;

Where？— 事件的來源和目的，包括 IP 地址、MAC 地址等。

How?—透過哪些應用程式或第三方工具進行的操作。

中安威士 ：保護核心資料，捍衛網路安全

來源：網路收集