安华金和数据库安全防护系统

安华金和数据库安全防护系统

1、产品概述

安华金和数据库安全防护系统(简称DPS)，是一款基于网络和数据库协议分析与控制技术的数据库安全防护系统。DPS基于主动防御机制，可实现对数据库的访问行为权限控制、恶意及危险操作阻断式防范、可疑行为的审计。DPS通过SQL协议分析，根据预定的白名单、黑名单策略决定让合法的SQL操作通过执行，让可疑的非法违规操作禁止，从而形成一个数据库的外围防御圈，真正做到SQL危险操作的主动预防、实时审计。DPS面对来自于外部的入侵行为，提供防SQL注入和数据库虚拟补丁包功能；通过虚拟补丁包，数据库系统不用升级、打补丁，即可完成对主要数据库漏洞的防护。

2、客户价值

（1）防止外部黑客攻击

l  威胁：黑客利用应用系统漏洞，进行SQL注入攻击；或以Web应用服务器为跳板，利用数据库自身漏洞攻击和入侵。

l  防护：通过数据库漏洞攻击防护能力，捕获和阻断漏洞攻击行为；并提供SQL注入特征库和XSS攻击防护能力，保障数据库应用侧的安全。

（2）防止内部高危操作

l  威胁：系统维护人员、外包人员、开发人员等，拥有直接访问数据库的权限，有意无意的高危操作对数据库造成破坏。

l  防护：通过限制系统表和敏感对象的访问权限，限定SQL更新和删除操作的影响行、限定No Where语句更新和删除操作，限定Drop、Tuncate等高危操作，以避免大规模数据损失。

（3）防止敏感数据泄露

l  威胁：黑客、开发人员通过应用批量下载敏感数据，内部维护人员远程或本地批量导出敏感数据。

l  防护：基于字段级的“与或”关系设置，建立敏感数据组，限定敏感数据的访问时间、来源IP地址和账户信息，并针对高危操作执行会话阻断或语句拦截。

（4）防止应用违规操作

l  威胁：业务操作人员和系统维护人员，通过应用系统非法登录数据库，并执行违规操作篡改或盗取敏感数据。

l  防护：通过应用关联审计，捕获应用账号、应用登录IP和应用URL等信息，结合风险行为管控机制，实现应用关联防护，阻断非法的应用登录和操作行为。

（5）防止频次攻击

l  威胁：黑客、开发人员通过应用对敏感数据做轻量级、高频词操作，非法篡改和盗取敏感数据信息。

l  防护：通过学习期行为建模，针对敏感数据的频次操作，进行趋势分析和风险行为管控。

3、产品优势

（1）全面入侵检测

提供全面的数据库攻击行为检测和防御技术：

l  口令攻击规则：限定不同客户端和数据库账户的失败登录频次；

l  访问规则：针对应用端信息、客户端信息、时间等条件限定非法账户登录行为；

l  操作规则：针对高危语句操作、批量数据篡改和大规模数据泄露等风险行为防护；

l  注入攻击防护：提供SQL注入防护和XSS攻击防护规则；

l  频次操作规则：针对高频次执行的语句行为，提供灵活的规则配置，实现频次行为管控；

l  漏洞攻击防护技术：针对CVE、CNNVD公布的数据库漏洞库，提供漏洞特征检测、防御技术。

（2）高度应用兼容

对于数据库安全防护系统最重要的是在保持“低漏报率”的同时维护“低误报率”；对于数据库而言这点更为关键，一点点“误报”可能就会造成重大业务影响。

（3）业务保持能力

DPS支持多种网络部署模式，并不断完善“高可用容灾”机制，以增强数据库业务连续性保持能力，并在金融、互联网和物流等大型应用场景得到验证。

l  多层bypass能力：支持硬件断电bypass和软件异常bypass能力。

l  网络三通：提供三通模式，保障在流量异常情况下，实现业务系统流量放行，以保障异常高压力下的业务连续性。

l  双机部署模式：产品主备、双活模式继承网络拓扑结构，并通过网络协议或HA跳线进行主备间探测与切换；采用绘话同步、策略同步机制，保障多设备间的一致性。

（4）敏感数据防护

可针对数据库字段设置规则，并基于“与/或”关系的灵活排列组合，建立敏感数据组。针对不同种类的数据库结构，完善敏感对象的操作规则。例如Oracle、SQLServer、Mysql数据库，可针对数据库名称、数据库实例、Schema等不同层级，进行深入解析和防护规则设置。

（5）应用关联防护能力

系统通过在应用端部署轻量级插件，可捕获应用账户、应用登录IP、URL等业务信息。系统将这些业务信息和数据库的操作行为进行有效关联，可以有效追溯到应用系统的原始访问者和请求信息，实现精准的业务匹配。系统可自定义操作规则，并引用应用账户和应用登录IP等信息，建立并完善应用关联防护体系。

（6）学习期行为建模

产品可自定义“学习周期”，并基于学习期建立语句、风险、会话的行为模型，用于构建数据库安全防护体系。

学习期可采集应用账户、应用登录IP地址、URL模块、客户端IP、数据库用户、访问工具、SQL操作、影响对象、执行时长、应答信息等多种审计要素，建立唯一且关联的数据库行为模型，从而预定义数据库风险规则。相关功能如下：

l  系统通过SQL语法分析，抽象描述SQL语句并形成“语句模板”。系统可基于语句模板和对应的会话信息建立黑白名单规则，阻断非法的语句模板并对合法的语句模板放行。

l  学习期会根据默认规则自动识别数据库风险，学习期结束后会自动生成【学习期规则组】，引用学习期未命中过风险的规则；并提供【违规行为查询】功能。

l  系统可勾选源IP地址、DB账户等信息在学习期完成会话建模分析，并提供【行为分析】进行相关查询。

4、适用场景

l  国际应用防御中心界定十大数据库安全威胁，您是否需要一个综合性解决方案解决70%以上的威胁？

l  在等保测评工作中，遇到测评人员提出对数据库漏洞攻击进行防护，您有什么应对措施？

l  上级单位使用数据库安全评估系统检查数据库，每个月都能报几十个高中危数据库漏洞，您是否考虑使用数据库安全防护系统进行防护？

l  您是否担心由于应用程序对SQL注入校验存在缺陷，导致数据库大量敏感信息泄露？

l  单位已使用了国产数据库，是否有相应的安全防护手段实现对数据库的防护?

l  对于数据库批量导出数据、误操作、恶意操作，您有什么安全防护手段？

l  贵单位有多个不同类型的数据库，是否有整体的安全防护措施？

l  分级保护中要求主动防御SQL注入、数据库管理员越权、漏洞攻击，您是否有相应的数据库安全防护产品来应对？