進入互聯(lián)網時代，由于數(shù)據庫引發(fā)的安全事件越來越多，比如Facebook超過8700萬條用戶數(shù)據備泄露。數(shù)據庫防火墻作為保護數(shù)據庫安全必不可少的防御工事，越來越受到企業(yè)的關注。那么數(shù)據庫防火墻究竟應具備哪些能力，才能為保護企業(yè)數(shù)據資產發(fā)揮應有的作用？

01.數(shù)據庫防火墻的高可用性和高性能

數(shù)據庫在企業(yè)中承載著關鍵核心業(yè)務，其重要性不言而喻。由于數(shù)據庫防火墻是串聯(lián)到數(shù)據庫與應用服務器之間的安全設備， 因此不能因為安全設備的部署而影響業(yè)務系統(tǒng)正常使用，數(shù)據庫防火墻自身需要具備高可用性和高速率并發(fā)處理能力：

當安全設備因宕機、系統(tǒng)本身主程序不可用、內存持續(xù)被占等問題導致不可用時，自動切換到另外一臺安全設備進行運行，從而能夠達到設備的高可用，避免因日常維護操作（計劃）和突發(fā)的系統(tǒng)崩潰（非計劃）所導致的停機時間，影響生產業(yè)務，提升系統(tǒng)和應用的高可用性。

因業(yè)務系統(tǒng)的高并發(fā)訪問，數(shù)據庫需要對標直連訪問數(shù)據庫，1毫秒內SQL處理速率要基本同直連訪問數(shù)據庫，避免因數(shù)據庫防火墻部署影響業(yè)務系統(tǒng)的正常使用。

02.準入控制

就跟人需要有身份證一樣，接入數(shù)據庫也需要根據不同的身份因子對人進行多維度的識別，保證身份真實性和可靠性。

多因素身份：數(shù)據庫用戶名、應用系統(tǒng)用戶、IP地址、MAC地址、客戶端程序名、登錄時間等因子的多因素組合準入。

應用防假冒：可對應用程序進行特征識別，識別應用的真實性，避免應用被假冒，從而導致應用被非法利用。

03.入侵防護功能

數(shù)據庫防火墻每天都需要面對外部環(huán)境的各種攻擊，在識別真實人員的基礎上，我們還需要對他們的訪問行為和特征進行檢測，并對危險行為進行防御，主要防御功能應有：

SQL注入安全防御，構建SQL注入特征庫，實現(xiàn)對注入攻擊的SQL特征識別，結合SQL白名單機制實現(xiàn)實時攻擊阻斷；

漏洞攻擊防御，由于數(shù)據庫升級困難的前提存在，需要對數(shù)據庫漏洞進行掃描識別漏洞，并對這些漏洞進行虛擬補丁，避免黑客通過這些漏洞進行攻擊；

敏感SQL防御，即SQL所帶有敏感信息，對這些SQL需要單獨管理，只授權給可以訪問的身份，拒絕未經授權的身份進行訪問。

04.訪問控制

很多應用程序往往存在權限控制漏洞，無法控制某些非法訪問、高危操作，比如統(tǒng)方、絕密資料的獲取等。這些潛藏巨大風險的行為，需要進行管理和控制：

防撞庫，當密碼輸入次數(shù)達到預設閾值時，鎖定攻擊終端；

危險操作阻斷，當應用在執(zhí)行全量刪除、修改等高危行為的時候，需要對這些行為進行阻斷；

敏感信息訪問脫敏，根據訪問者的權限，返回不同的數(shù)據，權限足夠時看到真實的數(shù)據，權限不足時返回經過脫敏的數(shù)據，避免敏感信息泄露；

訪問返回行數(shù)控制，可對訪問結果進行管理，避免非法一次性導出大量數(shù)據庫，導致數(shù)據的大量流失。

05.SQL白名單

SQL白名單，就是創(chuàng)建應用的SQL白名單庫，對于這些安全SQL進行放行，對于危險SQL進行阻斷；SQL白名單可以只針對可信SQL做特征識別、而不符合可信SQL特征的我們都可以認為他是未知或高危的SQL，并進行阻斷或告警。

06.風險監(jiān)控

一般來說數(shù)據庫防火墻往往會管理多個數(shù)據庫，當數(shù)據庫達到一定數(shù)量時，通過人工很難監(jiān)控數(shù)據庫的整體安全情況，因此需要監(jiān)控平臺進行統(tǒng)一的安全監(jiān)控：

監(jiān)控數(shù)據庫防火墻的整體安全情況，當出現(xiàn)風險時可快速的定位當前被攻擊的數(shù)據庫及發(fā)起攻擊的客戶端等；

可視化展示，直觀、全局、清晰的把握數(shù)據庫安全情況。

07.告警

對于任何不認識的新面孔和操作進行識別并實時告警，是數(shù)據庫安全防護必不可少的一環(huán)，包括：新發(fā)現(xiàn)的IP地址，應用程序，數(shù)據庫賬戶，應用賬戶，訪問對象，訪問操作，SQL語句。

系統(tǒng)可通過短信、郵件、動畫等多種告警手段來保證告警的實時性。

08.風險分析與追蹤

業(yè)務人員在利益的誘惑下，往往通過業(yè)務系統(tǒng)提供的功能完成對敏感信息的訪問，從而造成數(shù)據外泄的風險。因此提供對風險訪問的詳細記錄，便于風險分析和問題追溯至關重要。詳細的風險分析和追蹤，應包括以下基本要素：

Who？—真實的數(shù)據庫帳號、主機名稱、操作系統(tǒng)帳號等真實身份；

What？—什么對象數(shù)據被訪問了，執(zhí)行了什么操作，觸發(fā)了什么安全策略；

When？—每個事件發(fā)生的具體時間；

Where？—事件的來源和目的，包括IP地址、MAC地址等；

How？—通過哪些應用程序或第三方工具進行的操作。

天下數(shù)據Web應用防火墻（云WAF）是基于 AI 引擎的一站式 Web 業(yè)務運營風險防護方案，幫助用戶應對網站入侵，漏洞利用，掛馬，篡改，后門，爬蟲Bot，域名劫持等安全問題，為組織網站及Web業(yè)務安全運營保駕護航。詳詢天下數(shù)據客服400-6388-808。

本文鏈接：http://m.51huadong.com/cloundnews/11003539.html