中安星云數(shù)據(jù)庫(kù)防火墻產(chǎn)品介紹
1. 產(chǎn)品概述
隨著信息化建設(shè)的不斷發(fā)展���,IT安全建設(shè)的重點(diǎn)已經(jīng)從傳統(tǒng)的網(wǎng)絡(luò)安全��、系統(tǒng)安全�����、應(yīng)用安全等領(lǐng)域,轉(zhuǎn)向了如何加強(qiáng)IT系統(tǒng)核心的數(shù)據(jù)庫(kù)安全防范���,傳統(tǒng)的基于端口進(jìn)行應(yīng)用識(shí)別和訪(fǎng)問(wèn)控制的防火墻,以及基于特征匹配技術(shù)的IPS/IDS產(chǎn)品無(wú)法滿(mǎn)足數(shù)據(jù)庫(kù)安全的需求���。
中安星云數(shù)據(jù)庫(kù)防火墻是針對(duì)數(shù)據(jù)庫(kù)安全需求應(yīng)運(yùn)而生的一種數(shù)據(jù)庫(kù)安全主動(dòng)防御產(chǎn)品,數(shù)據(jù)庫(kù)防火墻部署于應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)之間��。用戶(hù)必須通過(guò)該系統(tǒng)才能對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪(fǎng)問(wèn)或管理��。數(shù)據(jù)庫(kù)防火墻所采用的主動(dòng)防御技術(shù)能夠主動(dòng)實(shí)時(shí)監(jiān)控�����、識(shí)別、告警、阻擋繞過(guò)企業(yè)網(wǎng)絡(luò)邊界(FireWall��、IDS/IPS等)防護(hù)的外部數(shù)據(jù)攻擊��、來(lái)自于內(nèi)部的高權(quán)限用戶(hù)(DBA��、開(kāi)發(fā)人員��、第三方外包服務(wù)提供商)的數(shù)據(jù)竊取�����、破壞、損壞等���,從數(shù)據(jù)庫(kù)SQL語(yǔ)句精細(xì)化控制的技術(shù)層面,提供一種主動(dòng)安全防御措施�����,并且��,結(jié)合獨(dú)立于數(shù)據(jù)庫(kù)的安全訪(fǎng)問(wèn)控制規(guī)則�����,幫助用戶(hù)應(yīng)對(duì)來(lái)自?xún)?nèi)部和外部的數(shù)據(jù)安全威脅。
2. 產(chǎn)品優(yōu)勢(shì)
l 高性能的硬件平臺(tái)
采用國(guó)際領(lǐng)先的��、最適合數(shù)據(jù)庫(kù)防火墻產(chǎn)品特性的硬件平臺(tái)�����,借助多路并行總線(xiàn)技術(shù)可提供國(guó)內(nèi)最高的處理能力�����,通過(guò)端口高速轉(zhuǎn)發(fā)技術(shù)實(shí)現(xiàn)毫秒級(jí)的延遲���。
l 全面的安全防護(hù)
提供訪(fǎng)問(wèn)控制���、攻擊防護(hù)、狀態(tài)檢測(cè)等功能�����。能夠?qū)崟r(shí)檢測(cè)出用戶(hù)對(duì)數(shù)據(jù)庫(kù)進(jìn)行的SQL注入和緩沖區(qū)溢出攻擊�����,替換或者阻斷高危SQL語(yǔ)句并報(bào)警��,同時(shí)可以詳細(xì)的審計(jì)攻擊操作發(fā)生的時(shí)間、來(lái)源IP��、登錄數(shù)據(jù)庫(kù)的用戶(hù)名��、攻擊代碼等詳細(xì)信息�����。
l 細(xì)粒度權(quán)限控制
具備細(xì)粒度的權(quán)限控制功能,可通過(guò)IP�����、SQL語(yǔ)句���,操作時(shí)間�����、客戶(hù)端�����、關(guān)鍵字等條件制定相應(yīng)的黑白名單規(guī)則��,對(duì)于匹配黑名單策略的訪(fǎng)問(wèn)操作進(jìn)行阻斷�����,報(bào)警,對(duì)于匹配白名單的訪(fǎng)問(wèn)予以放行�����,從而保障數(shù)據(jù)庫(kù)安全穩(wěn)定的運(yùn)行���。
l 智能的安全基線(xiàn)
具備智能學(xué)習(xí)的功能���,可以自動(dòng)學(xué)習(xí)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)行為���,評(píng)估訪(fǎng)問(wèn)風(fēng)險(xiǎn)�����。并可將用戶(hù)的各種使用活動(dòng)比對(duì)安全基線(xiàn)(模型)信息�����,從而在發(fā)現(xiàn)未授權(quán)的使用行為或者異常的訪(fǎng)問(wèn)活動(dòng)時(shí)實(shí)時(shí)發(fā)出警告并阻斷,從而減輕了管理人員定義策略的負(fù)擔(dān),增加了防御攻擊的準(zhǔn)確性��。
l 系統(tǒng)可靠性保障
數(shù)據(jù)庫(kù)防火墻產(chǎn)品關(guān)鍵部件均采用冗余設(shè)計(jì)�����,支持雙機(jī)熱備��,軟硬件bypass等可靠性技術(shù),確保系統(tǒng)在各種未知的突發(fā)情況發(fā)生時(shí)���,能夠快速切換至正常狀態(tài),保證整個(gè)網(wǎng)絡(luò)的穩(wěn)定安全��。
l 強(qiáng)大的網(wǎng)絡(luò)適應(yīng)性
數(shù)據(jù)庫(kù)防火墻產(chǎn)品具備強(qiáng)大的擴(kuò)展能力可支持千兆���、萬(wàn)兆接口擴(kuò)展���。產(chǎn)品采取透明串聯(lián)部署的方式直接部署于數(shù)據(jù)庫(kù)的前端���,部署簡(jiǎn)單��,且無(wú)需改變?cè)鹊?span>IP規(guī)劃�����。
l 方便安全的遠(yuǎn)程管理
采用B/S架構(gòu),內(nèi)建HTTP服務(wù)器�����,提供中英文WEB管理界面���,管理員可通過(guò)HTTPS方式進(jìn)行管理���,同時(shí)系統(tǒng)采取三權(quán)分立的賬戶(hù)管理模式���,實(shí)現(xiàn)安全管理員���,系統(tǒng)管理員與安全審計(jì)員權(quán)限分離,滿(mǎn)足相關(guān)法案法規(guī)要求�����。
3. 主要功能
|
技術(shù)優(yōu)勢(shì)
|
功能價(jià)值
|
|
部署靈活
|
支持透明��、旁路等部署模式
|
|
擴(kuò)展能力
|
可支持千兆�����、萬(wàn)兆接口擴(kuò)展,支持豐富的功能擴(kuò)展
|
|
數(shù)據(jù)庫(kù)類(lèi)型
|
支持Oracle��、MSSQL���、DB2���、Sybase��、Informix�����、MYSQL、人大金倉(cāng)���、神通、達(dá)夢(mèng)等主流數(shù)據(jù)庫(kù)
|
|
細(xì)粒度權(quán)限控制
|
可對(duì)日志進(jìn)行細(xì)粒度解析�����,支持?jǐn)?shù)據(jù)庫(kù)操作(DM)�����、對(duì)象管理(DD)、控制(DC)等操作語(yǔ)句的解析,解析后的日志記錄至少包括訪(fǎng)問(wèn)發(fā)生時(shí)間�����、客戶(hù)端IP地址、客戶(hù)端MAC、終端程序、訪(fǎng)問(wèn)賬號(hào)、訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)名�����、操作表名���、SQL語(yǔ)句�����、數(shù)據(jù)庫(kù)響應(yīng)時(shí)間以及返回結(jié)果等信息��。對(duì)于不符合安全策略的操作進(jìn)行阻斷告警
|
|
安全管理
|
支持基于WEB方式的遠(yuǎn)程管理方式,采用HTTPS進(jìn)行安全加密的配置管理���,提供管理員權(quán)限設(shè)置和分權(quán)管理,提供三權(quán)分立功能�����,具有自身安全審計(jì)功能
|
|
白名單
|
在白名單中的賬戶(hù)�����、IP��、SQL語(yǔ)句等訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)完全放行
|
|
黑名單
|
在黑名單中的賬戶(hù)、IP、SQL語(yǔ)句等無(wú)法訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)
|
|
例外規(guī)則
|
指定某個(gè)特定賬戶(hù)�����、IP���、SQL語(yǔ)句等不執(zhí)行黑名單或者白名單策略
|
|
正則表達(dá)式規(guī)則
|
對(duì)符合正則表達(dá)式規(guī)則的SQL語(yǔ)句��,按照規(guī)則設(shè)置的相應(yīng)風(fēng)險(xiǎn)等級(jí)進(jìn)行審計(jì),并根據(jù)規(guī)則,決定是否進(jìn)行阻斷
|
|
關(guān)鍵字規(guī)則
|
對(duì)具有關(guān)鍵字規(guī)則設(shè)置的關(guān)鍵字的SQL語(yǔ)句�����,按照規(guī)則設(shè)置的相應(yīng)風(fēng)險(xiǎn)等級(jí)進(jìn)行審計(jì)��,并根據(jù)規(guī)則���,決定是否進(jìn)行阻斷
|
|
智能學(xué)習(xí)
|
學(xué)習(xí)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)行為�����,自動(dòng)建立訪(fǎng)問(wèn)模型
|
|
阻斷攻擊
|
對(duì)有權(quán)限訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的賬戶(hù)進(jìn)行SQL語(yǔ)句級(jí)別的訪(fǎng)問(wèn)控制,確保賬戶(hù)無(wú)法對(duì)數(shù)據(jù)庫(kù)實(shí)行超出其權(quán)限的風(fēng)險(xiǎn)操作
|
|
訪(fǎng)問(wèn)控制
|
通過(guò)IP��、MAC�����、時(shí)間段�����、賬戶(hù)名等參數(shù)對(duì)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的行為進(jìn)行授權(quán)
|
|
郵件報(bào)警
|
對(duì)于風(fēng)險(xiǎn)語(yǔ)句以及磁盤(pán)容量達(dá)到閥值,可通過(guò)電子郵件的方式及時(shí)通知管理員���,進(jìn)行報(bào)警
|
|
日志報(bào)表
|
系統(tǒng)內(nèi)置大量合規(guī)報(bào)表,并支持自定義報(bào)表���,支持通過(guò)IP地址��、用戶(hù)名���、操作類(lèi)型��、關(guān)鍵詞、時(shí)間等基本條件查詢(xún)事件
|
|
狀態(tài)監(jiān)控
|
系統(tǒng)監(jiān)控主界面可以顯示系統(tǒng)磁盤(pán)空間��、內(nèi)存使用率�����、CPU使用率信息���,可以看到網(wǎng)卡工作狀態(tài)
|
|
可靠性
|
關(guān)鍵部件采用冗余設(shè)計(jì)���、支持雙機(jī)熱備等可靠性技術(shù)
|
4. 應(yīng)用場(chǎng)景
在線(xiàn)透明部署:
通過(guò)在線(xiàn)透明的部署方式串接在數(shù)據(jù)庫(kù)前�����,對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪(fǎng)問(wèn)控制���;并具有軟硬件Bypass功能��,保障網(wǎng)絡(luò)的高可用性。
點(diǎn)擊圖片查看原圖
