数达安全数据库防火墙系统_数据库安全审计系统

数达安全数据库防火墙系统

数达安全数据库防火墙系统（DS-FW）通过全面的数据库通讯协议解析，根据预定义的防护策略，主动与实时监控、识别、告警、阻断针对数据库的攻击及风险操作，实现业务系统、运维用户与数据库之间‘最后一公里’防护，有效满足业务安全保障需求及安全合规要求。

立即咨询

产品介绍 - 产品概述 icon

数达安全数据库防火墙系统（DS - FW）通过全面的数据库通讯协议解析，根据预定义的防护策略动与实时监控，阻断针对数据库的攻击及风险操作，实现业务系统、运维用户与数据库之间识别最后一公里”防护有效满足业务安全保障需求及安全合规要求。

产品介绍 - 产品架构 icon

状态监控与分析

可视化监控系统运行状态、数据库业务的各项指标细粒度统计分析风险事件。
攻击检测与防护

实时监控数据库访问行为，及时发现异常行为、SQL攻击等风险事件，并对其进行风险记录与阻断告警。
数据源与防护策略

管理数据源并支持根据数据库类型对其进行内置策略同步，识别数据库中的敏感数据并制定访问控制策略。
智能解析

解析数据库通讯协议，智能分析SQL语句，分析用户操作行为。
多重冗余机制

实现高可靠冗余特性，保障业务连续运行

产品介绍 - 基于角色的全景功能视图 icon

产品介绍 - 功能特点 icon

多因子认证
基于IP地址、MAC地址、用户、应用程序、时间等因子对访问者进行身份认证，形成多因子认证，弥补单一口令认证方式安全性的不足。应用程席对数据库的访问，必须经过数据库防火墙和数据库自身两层身份认证。
屏蔽直接访问数据库的通道
数据库防火墙部署于数据库服务器和应用服务器之间，屏蔽直接访问数据库的通道，防止数据库隐通道对数据库的攻击。
攻击检测与保护
实时检测用户对数据库进行SQL注入和缓冲区溢出的攻击，并报警或者阻止攻击行为，同时详细记录攻击操作发生的时间、来源IP、用户名、攻击代码等信息。
虚拟补丁
数据库系统是个复杂的系统，自身存在很多漏洞，容易被攻击者利用从而导致数据泄漏或致使系统瘫痪。由于需要保证业务连续性等多种原因，用户通常不会及时对数据库进行补丁安装。数达数据库防火墙通过内置的多种漏洞特征库防止已知漏洞被扫描和利用，并有效降低数据库被0Day攻击的风险。

报表

提供丰富的报表模板，包括各种审计报表、安全趋势等。

连接监控

实时监控数据库的连接信息、风险状态等，及时进行风险访问控制。

行为基线 - 自动建立访问模型

系统将自动学习每一个应用的访问语句，进行模式提取和分类，自动生成行为特征模型，并可以对学习结果进行编辑。系统通过检查访问行为与基线的偏差来识别风险。

安全审计

系统能够记录对数据库服务器的访问情况，包括用户名、程序名、IP地址、请求的数据库、连接断开的时间、风险等信息，并提供灵活的查询分析功能。

产品介绍 - 访问控制管理 - 细颗粒度访问控制 icon

防火墙系统可依托细粒度的访问控制约束用户的操作行为，用户可自定义白名单操作、黑名单操作等，精准防护内部恶意操作和误操作导致的数据泄露。

源客户端

时间、客户端IP、工具名称、主机名、系统用户名、数据库用户。

访问目标

表、列、视图、
触发器、索引、序列、影响行数。

表与操作

操作类型、条件值、SQL关键字、响应状态。

产品介绍 - 访问控制管理 - 敏感数据发现 icon

数据库防火墙通过内置敏感数据识别规则，能够识别用户数据库中的敏感数据。用户了解敏感数据的分布情况后针对敏感数据制定访问控制策略。

产品介绍 - 内外攻击防护 - 基于自动学习的基线防护 icon

系统通过学习期提取、分类和整理用户操作行为特征，建立每个用户的访问行为特征模型，形成行为基线策略。通过该模型，可减轻数据库安全防护策略的
配置工作量，精准识别数据库账户被盗用带来的攻击威胁，实现主动防御。

应用场景

系统在学习一段时间后可以整理出行为基线策略，当遇到不在行为基线策略以外的操作时，会发出告警。
例如，在内部人员进行无where删除或更新数据的操作时，防火墙系统会直接
进行阻断并告警。

产品介绍 - 内外攻击防护 - 攻击检测与防护 icon

应对异常访问

内置多种数据库的危险操作行为特征，例如：拖库、撞库、删库等。启用该策略能有效的防范数据库内部的越权操作行为。

应对SQL攻击

企内置漏洞库，提供几百种SQL注入和缓冲区溢出的攻击行为特征，启用该策略能有效的防范针对数据库发生的攻击行为。

产品介绍 - 内外攻击防护 - 虚拟补丁防护 icon

数据防火墙虚拟补丁通过控制对数据库的输入和输出，检测其会话信息和语句信息对漏洞的尝试利用，阻止或消除漏洞攻击行为。

虚拟补丁

虚拟补丁是在数据库外架设一个安全层，无需升级数据库补丁，即可有效防止漏洞攻击；
虚拟补丁集成在防火墙上，更新完善过程并不会对业务系统造成影响；
数据库防火墙系统通过自动学习完善基线策略库形成主动防御，与漏洞库搭配实现虚拟补丁防护。

产品介绍 - 内外攻击防护 - 多因子身份认证 icon

系统采用多因子的认证方式对访问者进行身份鉴别，当用户或者应用程序对数据库进行访问时，必须经过数据库防火墙的多重认证。

产品介绍 - 状态监控与分析 - 风险行为告警 icon

系统能够对命中策略的数据库风险访问行为日志进行汇聚、査询和告处理，满足客户对突发事件的即时知情需求。

风险告警

1、对风险告警进行分级、分类等聚合统计，方便用户查看、管理告警信息和预判风险趋势。
2、支持对告警日志查询统计和误报修正提高告警日志的准确性和可读性。
3、提供SysLog、Email、FTP、SNMP、短信等多种告警日志外发方式，用户可根据自身需求灵活选择。

产品介绍 - 状态监控与分析 - 智能翻译 icon

部署方式

直路透明模式

将防火墙设备物理串联在各个数据库计算节点之前，应用端看到的数据库地址不变，且在数据链路层，数据帧的源和目的MAC均不会被改变。

旁路代理模式

将设备旁路接入数据库所在网络，采用逻辑串联的方式部署，所有访问数据库的流量都经过防火墙设备的过滤和转发。通过代理接入模式，网络拓扑结构不变。

双机部署模式

将两台设备串联接入用户网络，设备之间，基于HA心跳线进行探测监控与切换。当单台设备出现异常可以快速地将业务流量切换到对端设备。系统基于会话同步和策略同步机制，保障两台设备之间的信息同步。

产品优势

全方位的策略体系

具有面向数据访问的全方位防护策略，对外界风险访问和内部恶意操作进行全方位的防护。

强大的协议兼容性

强大的协议兼容性，为防护准确性和安全性做出良好支撑。绝大多数数据库、国产数据库及大数据平台高度。

高可靠

覆盖系统具备BYPASS和多重链路冗余机制，实现高可靠的部署特性，能够保证业务运行不中断。

细粒度的访问控制

通过自定义规则、自动学习规则等，实现字段级语句级的细粒度访问控制。

高性能

网络吞吐量：12Gbps
纯数据库流量：1100Mbps
处理能力：12万SQL/s
会话新建能力：20000session/s
会话并发能力：240000session/s
日志检索速度(带通配符模糊检索)：<1min，1亿记录。

安全易用

使用高性能硬件平台、内核优化技术，满足高负载环境下的性能要求；

智能学习，对数据库访问语句自动进行模式提取与分类，并生成特征模型避免规则的复杂配置；

纯透明的部署方式，应用程序的使用环境以及授权用户的数据库操作管理过程均不会被改变。

产品优势 - 全方位的策略体系 icon

异常访问

内置数百种异常操作行为特征，包括脱库、撞库、删表等高危操作，以及批量数据篡改、大规模数据泄露等风险行为类型。

行为基线策略

通过系统自动学习功能总结出用户常用的高频SQL语句，形成用户行为画像。用户拥有自己修改调整学习结果的权限，在学习期结束后生成行为基线策略。

SQL攻击

采用主动防御机制，内置基于CVE漏洞库的SQL注入&缓存区溢出特征库和数据库漏洞库，提供对SQL攻击进行特征分析和风险鉴别能力，以及漏洞特征检测和防御技术。

超级白名单

将一系列无风险的高频SQL操作进行汇总，并内置形成超级白名单。例如，使用数据库连接工具(例如SQL Developer)登录数据库时会对数据库发送设置环境信息的SQL语句，这些操作通常是没有风险的，不需要进行监控。

产品优势 - 强大的协议兼容性 icon

具备多种类型的数据库通讯协议解析能力，支持传统数据库、大数据、国产数据库二十余种数据库协议，几乎涵盖了所有关系型数据库和主流的大数据平台。

产品优势 - 高可靠的冗余特性 icon

双机热备

系统支持基于主备备份或负载分担运行模式下的双机部署方式，以应对数据库多链路冗余组网下的部署。双机通过HA心跳线进行主备间探测与切换，并采用会话同步、策略同步机制，保证双机之间的一致性，保障系统的连续防护能力。当数据库采用集群、多链路冗余部署时，系统可以通过多组负载分担的部署方式，为每一条业务链路提供单独的保护能力。

软 / 硬件Bypass

系统具备多重Bypass能力，能够在进程挂死、CPU使用率超限和网卡瞬时流量超限等特定条件下自动Bypass,防止单点失效，保障业务流量不中断。同时也能够支持在应急情况下手动启动Bypass，导通网络通道，避免异常阻断。

成功案例 - 某大学财务数据库安全加固建设 icon

现状
某大学财务系统，基于私有云，财务系统中包括员工工资、福利待遇、出差补助、日常办公费等重要财务信息，维护人员、程序开发人员、信息中心业务人员拥有核心数据库的高级别操控权限，正常的数据维护工作和敏感数据的非法篡改，从权限上无法分别控制，事后亦无法有效定责。
痛点
财务系统数据库易因外部风险访问行为被破坏和泄漏，防护措施不足财务数据可能会因为误操作和恶意操作导致数据泄露或篡改，进而造成数据财产损失;
数据访问权限划分不清且无法对恶意操作进行溯源。
方案
通过在私有云环境中以透明模式布署数据库防火墙，对财务数据库集群进行统一防护。数据库防火墙通过风险策略和自定义规则抵御外部风险访问，同时可以通过内置基线策略、多因子访问认证等方式进行内部权限划分，主动预防来自于内部维护人员、第三方外包人员、内部员工及业务系统开发测试人员的各种越权数据访问,有效规避了粗粒度访问控制带来的数据泄露问题。
效果
通过丰富的内置策略和自学习机制有效抵御数据库外部攻击行为;通过细粒度访问控制归集了数据库入口，理清了内部人员数据权限，建立起数据安全边界。

成功案例 - 某妇幼保健院防统方项目 icon

现状
某妇幼保健医院作为所在市三级妇幼保健网的龙头单位，其HIS系统汇集了挂号、病例、处方信息等多个核心业务信息。为了进一步加强对患者的敏感信息保护，以及防止统方的行为，对其信息系统提出了整合和防护要求。
痛点
数据库自身安全性低，依赖于账号密码的认证方式和粗粒度的访问控制，无法防止信息泄漏和防止统方行为：多种来源的运维人员使用DBA权限，可以越权访问敏感数据，实现统方目的;统方泄露后无法审计溯源。

方案

在系统中以透明模式部署数据库防火墙，对数据库的风险访问和操作行为进行详细的记录、并对高危操作进行实时阻断。把处方表格定义为高度敏感数据，对非法操作进行阻断;利用IP数据库用户、特殊数据库行为相结合的安全策略，实现精准授权只有特定人员才能够访问统方数据。

效果
从数据源头解决数据安全问题
从访问数据库的SQL语句和查看数据库的字段进行防控，从数据的源头上防止“越权访问、篡改数据、删除数据、窃取数据”等问题。
防止无关业务人员访问核心数据

对访问核心数据的人员建立授权体系使核心数据流通在少数的、合规的人员内部，并进行集中审计与防护，屏蔽无关人员与无关业务系统的访问权限。

多因子访问认证，隔绝恶意操作

从用户访问时间、访问IP、访问账户访问工具和访问对象多方面进行分析，改善了仅用“账户+密码”方式认证的单一性和低安全性。

审计风险行为，有效追查溯源

在主动防御的同时，对访问行为进行全程的审计监控和风险告警。一旦有可疑行为发生，系统可根据日志信息找到访问行为具体信息，实现有效溯源。

成功案例 - 某发改委数据安全建设 icon

现状
历经多年发展，某省发改委机房建设初具规模，其中运行着投资项目在线审批监管系统、固定资产投资项目“两库”管理平台、省信用信息公共服务平台，信息系统的建设应用了当前主流的硬件和应用软件平台。从网络上可以分为电子政府外网和互联网两大块。
痛点

数据库本身漏洞可能造成的的数据泄露，篡改和破坏；应用后门和漏洞，可能带来的数据泄露，篡改和破坏；业务办公区的存在敏感数据导出，数据沉淀，SQL注入攻击等数据安全风险，运维区的误操作或者恶意操作导致的数据泄露，篡改和破坏。

方案
在数据库安全域前面的双链路上分别以双机热备的模式串接数据库防火墙，对数据库的访问请求进行过滤，对于可疑请求进行告警，对于删库、删表、清库等恶意操作或者误操作的数据库指令进行阻断。
效果
从访问数据库的SQL语句级别和查看数据库的字段级别进行防控，从数据源头上防止SQL注入等攻击；
简化数据安全治理，提高数据安全治理水平
完善纵深防御体系，提升整体安全防护能力。

成功案例 - 某医疗大数据中心安全建设 icon

现状
基于Hadoop技术实现的大数据中心，存在的诸如访问认证缺乏强认证措施、、数据访问权限控制较弱等问题，同时大数据系统的复杂性及开放性使得诸多第三方厂商参与开发、维护与使用，极易产生安全事故。
痛点
认证措施不完善，认证措施仅依靠数据库自身认证；没有细粒度的访问控制手段，无法对可疑攻击行为进行有效的防护。

方案
数据库防火墙及大数据网关(防火墙用于大数据系统)分别部署于数据库服务器、KUDU集群、HBASE集群入口处，基于IP地址、MAC地址、用户、应用程序、时间等因子对前置机或内部访问者进行身份认证，形成多因子认证，弥补单一口令认证方式安全性的不足。对数据库的访问必须经过数据库防火墙和数据库自身两层身份认证和访问控制。
成效
从数据源头开始为数据保驾护航，时刻监控整个大数据中心的数据访问。在数据请求时实现对关系型数据库和大数据存管系统的细粒度访问控制，既不破坏大数据中心结构，也不使物理设备复杂度升级，根据医疗数据特性量身定制保护策略。

产品价值

事前策略设置

系统提前设置防护策略，为风险行为防护做好准备。

事中告警阻断

告警阻断威胁到数据库数据财产安全的风险行为，保证威胁数据财产安全的操作无法到达数据库。

事后审计溯源

系统能够通过对风险行为通过Syslog、SNMP、邮件、短信等方式告警，并记录风险访问行为日志，便于事后追踪分析解决数据库风险难以追踪溯源的问题。

内部行为控制

阻断超量更新、No where更新、高危DDL语句、批量数据下载、撞库、账户暴力破解，和敏感数据访问等内部风险行为。

外部风险防护

阻断攻击行为，例如SQL注入、缓冲区溢出等攻击行为，多方位防控访问操作。