防火墻國標(biāo)正式實(shí)施|美創(chuàng)科技解讀數(shù)據(jù)庫防火墻關(guān)鍵能力

  • 人閱讀
  • 2020-11-02 18:08:14

  • 來源:中國資訊網(wǎng)

  • 相關(guān)關(guān)鍵詞

2020年11月1日,《信息安全技術(shù) 防火墻安全技術(shù)要求和測試評價方法》將正式實(shí)施。新版防火墻國家標(biāo)準(zhǔn)實(shí)施后,將替代原有的防火墻國家標(biāo)準(zhǔn)(如下圖所示),為各類防火墻產(chǎn)品的研發(fā)、測試和選型提供最權(quán)威的指導(dǎo)性意見。

防火墻國標(biāo)正式實(shí)施|美創(chuàng)科技解讀數(shù)據(jù)庫防火墻關(guān)鍵能力

替代原有防火墻國家標(biāo)準(zhǔn)

新一代信息技術(shù)發(fā)展和威脅風(fēng)險不斷涌現(xiàn),推動著防火墻技術(shù)和產(chǎn)品的不斷革新,此次新標(biāo)準(zhǔn)在GB/T 20281-2015基礎(chǔ)上,創(chuàng)新性的將各類防火墻國家標(biāo)準(zhǔn)進(jìn)行了系統(tǒng)、全面梳理,形成了統(tǒng)一的技術(shù)框架,將防火墻按照保護(hù)對象和資產(chǎn)角度劃分為網(wǎng)絡(luò)型防火墻、Web應(yīng)用防火墻、數(shù)據(jù)庫防火墻和主機(jī)型防火墻,并明確了各類防火墻的定義、安全技術(shù)要求、測試評價方法及安全等級劃分。

值得注意的是,網(wǎng)絡(luò)型防火墻、WEB應(yīng)用型防火墻、主機(jī)型防火墻都是對原有國家標(biāo)準(zhǔn)的修訂、升級,數(shù)據(jù)庫防火墻則首次以國家標(biāo)準(zhǔn)形式明確定義和要求,這將直接改觀數(shù)據(jù)庫防火墻產(chǎn)品水平參差不齊的市場現(xiàn)狀;解決用戶選擇數(shù)據(jù)庫防火墻產(chǎn)品缺乏國家標(biāo)準(zhǔn)指導(dǎo)的困境;為落地等保2.0數(shù)據(jù)安全建設(shè)、落實(shí)關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)安全保護(hù)提供產(chǎn)品層面標(biāo)準(zhǔn)依據(jù)。

新版防火墻國家標(biāo)準(zhǔn)對數(shù)據(jù)庫防火墻定義為:部署于數(shù)據(jù)庫服務(wù)器前端,對流經(jīng)的數(shù)據(jù)庫訪問和響應(yīng)數(shù)據(jù)進(jìn)行解析,能夠具備數(shù)據(jù)庫訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品,并從安全功能、自身安全功能、性能要求和安全保障四個方面提出明確的要求。

隨著新版防火墻國家標(biāo)準(zhǔn)的發(fā)布與實(shí)施,數(shù)據(jù)庫防火墻將受到越來越多行業(yè)用戶的關(guān)注,那么一個成熟的數(shù)據(jù)庫防火墻產(chǎn)品應(yīng)具備哪些關(guān)鍵能力?

作為該標(biāo)準(zhǔn)核心起草單位之一,數(shù)據(jù)庫防火墻主力編制單位,美創(chuàng)科技在數(shù)據(jù)庫安全及數(shù)據(jù)庫協(xié)議具備十余年的研究經(jīng)驗(yàn),產(chǎn)品也廣泛應(yīng)用于政府、醫(yī)療、金融、通信等各個行業(yè),對此,美創(chuàng)科技總結(jié)了以下七點(diǎn):

高可用和高性能

☆ 高可用:數(shù)據(jù)庫防火墻部署在應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器之間,數(shù)據(jù)庫防火墻任何的風(fēng)吹草動都會影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行。因此數(shù)據(jù)庫防火墻需要具備冗余部署的能力,能夠支持“主主”、“主備”、“集群”模式,支持軟硬件bypass等可靠性技術(shù),確保系統(tǒng)在各種未知的突發(fā)情況發(fā)生時,能夠快速切換至正常狀態(tài),保證整個業(yè)務(wù)的穩(wěn)定運(yùn)行。

☆ 高性能:由于業(yè)務(wù)系統(tǒng)的高并發(fā)訪問,數(shù)據(jù)庫需要對標(biāo)直連訪問數(shù)據(jù)庫,1毫秒內(nèi)SQL處理速率要基本同直連訪問數(shù)據(jù)庫,避免因數(shù)據(jù)庫防火墻部署影響業(yè)務(wù)系統(tǒng)的正常使用。

全面的入侵防御

☆ 數(shù)據(jù)庫漏洞攻擊防護(hù):依據(jù)已公開的CVE漏洞形成檢測策略,能夠精確捕獲、阻斷漏洞攻擊行為。

☆ 虛擬補(bǔ)丁:數(shù)據(jù)庫的復(fù)雜性決定了其會有諸多安全漏洞,這些漏洞一旦被入侵者或非授權(quán)用戶利用,后果不堪設(shè)想。數(shù)據(jù)庫廠商并不能在第一時間對漏洞進(jìn)行修復(fù)并發(fā)布升級補(bǔ)丁,這要求數(shù)據(jù)庫防火墻在受保護(hù)的數(shù)據(jù)庫外部建立一個策略實(shí)施點(diǎn),以便在漏洞到達(dá)目標(biāo)之前識別和攔截利用這些漏洞的行為,通過虛擬補(bǔ)丁的功能,能夠在無需修補(bǔ)數(shù)據(jù)庫內(nèi)核漏洞的情況下,保護(hù)數(shù)據(jù)庫的安全,從而讓漏洞在非法攻擊中隱形。

☆ SQL注入檢測防護(hù):SQL注入攻擊是數(shù)據(jù)庫防火墻的核心應(yīng)用場景,這要求數(shù)據(jù)庫防火墻對注入攻擊的SQL特征能精準(zhǔn)識別和實(shí)時阻斷。

☆ 拖庫與撞庫:能夠識別拖庫行為,及時阻斷及時告警,避免數(shù)據(jù)庫被非法拖庫導(dǎo)致信息泄露事件的發(fā)生。撞庫是業(yè)務(wù)系統(tǒng)面臨的一類非漏洞的攻擊行為,數(shù)據(jù)庫防火墻要能及時預(yù)警、阻斷撞庫行為,解決業(yè)務(wù)層面的極大風(fēng)險威脅。

精細(xì)度訪問控制

能夠?qū)崿F(xiàn)基于訪問數(shù)據(jù)庫的應(yīng)用程序、運(yùn)維工具;數(shù)據(jù)庫用戶名、數(shù)據(jù)庫名、數(shù)據(jù)表名和數(shù)據(jù)字段名;SQL語句關(guān)鍵字、數(shù)據(jù)庫返回內(nèi)容關(guān)鍵字;影響行數(shù)、返回行數(shù)的細(xì)粒度訪問控制。如:

☆ 多維度準(zhǔn)入控制:支持對授權(quán)的身份賬號(如用戶名密碼)、用戶指紋特征(如IP地址、應(yīng)用程序、主機(jī)名、登陸的時間等)、數(shù)字證書客戶端等因素進(jìn)行多方位鑒定識別,防止惡意身份非法進(jìn)入數(shù)據(jù)庫。

☆ 訪問頻次和行數(shù)管理:提供訪問頻次控制,避免一定時間內(nèi)對核心數(shù)據(jù)的高頻次訪問,避免數(shù)據(jù)流失。提供基于敏感表格訪問的返回行控制技術(shù),同時能夠?qū)Υ罅糠祷匦惺录龀龈婢?、能夠?qū)︻l繁的相同語句做出告警,避免數(shù)據(jù)大量泄漏,保證數(shù)據(jù)的安全訪問。

☆ 數(shù)據(jù)庫合規(guī)訪問控制:數(shù)據(jù)庫防火墻需具有強(qiáng)大的自身安全機(jī)制,實(shí)現(xiàn)系統(tǒng)管理員、審計(jì)員等特權(quán)賬戶權(quán)限的有效劃分,避免出現(xiàn)單一用戶權(quán)限過高造成的越權(quán)行為。例如:數(shù)據(jù)庫防火墻系統(tǒng)默認(rèn)有系統(tǒng)管理員,具有數(shù)據(jù)防火墻系統(tǒng)的維護(hù)權(quán)限,但是不具備查看審計(jì)結(jié)果與創(chuàng)建用戶的權(quán)限。

☆ 敏感SQL語句管理:即SQL所帶有敏感信息,對這些SQL需要單獨(dú)管理,只授權(quán)給可以訪問的身份,拒絕未經(jīng)授權(quán)的身份進(jìn)行訪問。

敏感數(shù)據(jù)保護(hù)

☆ 應(yīng)用防假冒認(rèn)證機(jī)制:對于數(shù)據(jù)庫應(yīng)用假冒,數(shù)據(jù)庫防火墻提供相應(yīng)的應(yīng)用防假冒認(rèn)證機(jī)制,防止假冒應(yīng)用訪問數(shù)據(jù)庫,進(jìn)行非法操作。

☆ 業(yè)務(wù)動態(tài)脫敏:敏感數(shù)據(jù)訪問過程中,數(shù)據(jù)庫防火墻應(yīng)具備業(yè)務(wù)動態(tài)脫敏功能,根據(jù)不同訪問者的權(quán)限,返回不同的脫敏數(shù)據(jù),避免敏感數(shù)據(jù)和個人隱私信息泄露。

精確的安全審計(jì)和分析

對于審計(jì)管理,能夠按照使用場景的不同提供簡單搜索、擴(kuò)展搜索和高級搜索,能夠根據(jù)客戶搜索的條件搜索特定的安全事件信息。

對于業(yè)務(wù)審計(jì),提供全面詳細(xì)的審計(jì)記錄、豐富的告警、跟蹤事件記錄,并在此基礎(chǔ)上實(shí)現(xiàn)了內(nèi)容豐富的、動態(tài)可跟蹤的實(shí)時審計(jì)分析和追蹤。

對于審計(jì)分析,提供安全事件分析功能,可針對某個登錄主題進(jìn)行從數(shù)據(jù)庫登陸到當(dāng)前操作的時間序列安全事件回溯,是真正基于數(shù)據(jù)庫會話的一致性回溯,也可以對某條安全事件進(jìn)行同類事件回顧,回溯相同的安全審計(jì)事件在歷史上的發(fā)生情況。提供全方面的、細(xì)粒度的數(shù)據(jù)庫審計(jì)管理。

智能化告警與風(fēng)險可視化

☆ 智能化告警:數(shù)據(jù)庫防火墻能夠?qū)θ魏涡旅婵谆虍惓2僮鬟M(jìn)行主動識別、告警,包括新發(fā)現(xiàn)的IP地址、應(yīng)用程序、數(shù)據(jù)庫賬戶、應(yīng)用賬戶、訪問對象、訪問操作、SQL語句等,并通過短信、郵件、動畫等多種手段來保證告警的實(shí)時性。

☆ 風(fēng)險可視化:能夠從數(shù)據(jù)庫訪問、終端、風(fēng)險策略、敏感資產(chǎn)等多角度進(jìn)行監(jiān)控并可視化展示,直觀、全局、清晰的把握數(shù)據(jù)庫安全情況。

多種數(shù)據(jù)庫類型和部署方式支持

☆ 支持透明網(wǎng)橋、代理多種部署模式,能夠滿足不同部署場景需求。

☆ 能夠支持各種主流的關(guān)系型、非關(guān)系型數(shù)據(jù)庫(NoSQL)以及大數(shù)據(jù)平臺組件等數(shù)據(jù)庫的安全防護(hù)。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )