昂楷科技数据库防火墙_数据库审计保护系统_数据库漏洞安全防护系统-云巴巴

昂楷科技数据库防火墙

数据库防火墙是一款抵御并消除由于应用程序业务逻辑漏洞或者缺陷导致数据（库）安全问题的安全设备或者产品，一般情况下通过串联方式（透明网桥）部署在应用程序服务器和数据库服务器之间，采用数据库协议解析的方式对数据库实现防护，同时也支持通过旁路代理方式进行部署，减少对业务的影响。

立即咨询

首页 > 产品中心 > 数据安全 > 昂楷科技数据库防火墙

数据库应用当前面临的威胁 icon

传统的防护手段使数据库缺乏专有的安全防护方式 icon

网络防火墙
传统的网络防火墙针对OSI模型前四层进行过滤防护，不能对应用层的SQL协议进行过滤。

堡垒机
主要技术手段是录屏，绝大部分产品不能对操作内容进行语义级智能监控，需人眼判断；且只针对运维人员管控，非运维人员无法监控。

IPS（入侵防御）
基于外部特征进行攻击识别，但无法准确识别基于数据库协议的SQL语句操作行为。

Web防火墙
工作在应用层，仅针对网站防护，不能精准识别SQL语句操作行为。

数据库审计
可以全面发现数据库威胁，不能进行有效拦截。

什么是数据库防火墙？ icon

数据库防火墙是一款抵御并消除由于应用程序业务逻辑漏洞或者缺陷导致数据（库）安全问题的安全设备或者产品，一般情况下通过串联方式（透明网桥）部署在应用程序服务器和数据库服务器之间，采用数据库协议解析的方式对数据库实现防护，同时也支持通过旁路代理方式进行部署，减少对业务的影响。数据库防火墙其本质目标是给业务应用程序打补丁，避免由于应用程序业务逻辑漏洞或者缺陷影响数据（库）安全。

昂楷数据库防火墙架构 icon

昂楷数据库防火墙工作原理 icon

数据库防火墙工作流模式 icon

数据库防火墙—核心能力 icon

精准拦截

基于IP地址、时间、操作、关键字、数据库账号、语句长度、列名、表名、行数、注入特征库等多种条件实现精准访问控制。

应用协议智能识别控制

可自动识别DBA协议、运维协议，黑客访问、应用软件访问等，针对数据库所有接口访问进行全面监视，并实现有效的访问控制。

防止APT攻击

根据访问行为的组合、统计模型迅速验证并阻断复杂持续的违规操作及恶意攻击行为。

漏洞识别与防护

内置漏洞特征库，识别数据库漏洞，支持提供漏洞的虚拟补丁。

权限管控与操作审批

通过三层关联技术，实现对应用系统账号的细粒度操作权限管控；对运维等重要操作支持审批管控，满足正常业务操作的同时防止误操作风险。

职权分离

管理与审计相隔离，实现三权分立，有日志留存、方便互相监督，做到审计清晰，权限清晰。

强兼容性

支持对MySQL、Oracle、MSSQL等多种数据库的威胁拦截。

敏感数据防护

内置支持敏感数据规则设置，自动识别敏感数据，实现敏感数据专项防护与分析。

直观展示、立体分析

对设备整体审计情况进行查看，支持查看审计记录总数、保护对象数、审计流量、会话总数等数据；可展现流量、会话、数据处理速率、规则匹配度的动态曲线统计图。

内置防攻击规则库

配置灵活，适应性强

数据库防火墙规则配置灵活，同时支持审计和阻断功能，配置信息丰富，满足客户实际场景的需求。

阻断效果展示

SQL注入原理与拦截演示 icon

数据库漏洞安全防护堡垒 icon

部署方式—串联部署（透明网桥） icon

部署方式—旁路代理

旁路代理部署

数据库与防火墙逻辑连接

不改变原有网络结构

流量经过代理设备，实时阻断风险动作

旁路代理部署时支持双机热备，保证高可用性。

应用场景—1. 端口级防护 icon

应用场景—2. 禁止滥用权限 icon

应用场景

合法权限滥用，过高权限滥用，账号共享。当用户（或应用程序）被授予超出了其工作职能所需的数据库访问权限时，这些权限可能会被恶意滥用。例如，一个大学管理员在工作中只需要能够更改学生的联系信息，不过他可能会利用过高的数据库更新权限来更改分数。

解决方案

为每个数据库账号分配合适的权限通过数据库防火墙对数据库账号进行精准的匹配，防止越权接入。通过数据库防火墙对数据库的操作进行控制，对核心关键内容进行防护。

应用场景—3. 第三方运维，权限审批 icon

应用场景

第三方进行运维时，需要进行某条高危操作以及一系列高危操作时，需经过管理员的授权才能进行，未授权的操作一律阻断，并进行问责。

解决方案

对高危操作进行阻断以及实时告警，由管理员确认是否合规。对合规行为，进行授权确认，一键审批，对第三方运维高危操作放行，并限定授权生效时间。

应用场景—4. 身份验证不足 icon

应用场景

简单的用户名和密码认证，存在高风险，数据库部署双因素认证困难，落地困难。应该实施强身份认证技术，如果可能，最好选择双因素身份验证。由于成本或易用性问题，双因素身份验证通常未现实。

解决方案

通过部署数据库防火墙，对数据库的接入进行精准的匹配，必须同时满足IP、客户端主机名、客户端用户名、访问数据库工具和数据库账号等属性要求，才能进行正常访问，增加身份认证因子，杜绝其合法权限的滥用和被黑客入侵利用等。

应用场景—5. SQL注入拦截 icon

应用场景

WAF基于黑名单机制就导致了其仅仅可以识别特征库中已有漏洞的存储过程或SQL注入字符串。仅使用WAF并不可靠，存在误报或被绕过的风险。

解决方案

通过部署数据库防火墙，对业务系统的正常访问行为进行建模学习，业务系统即使存在SQL注入漏洞，该漏洞也无法进行利用，会被完全杜绝在外。

应用场景—6. 屏蔽恶意扫描 icon

应用场景

某企业业务基于互联网架构，其数据库暴漏在公网中且短期内无法变更，高峰时间面临1200次/秒的扫描，导致业务系统卡死，设置部分账号触发锁定机制，导致部分业务暂停。

解决方案

部署数据库防火墙对其互联网IP端进行限定减少一部分扫描连接；部署数据库防火墙对不合规来源IP的客户端程序、数据库账号账号进行进一步检查；通过以上两个模块有效遏制了来自互联网的恶意扫描。

应用场景—7.敏感数据防护 icon

敏感数据支持通过人工方式手动配置，也支持通过系统扫描任务进行自动识别与标记。

应用场景

数据库中的敏感数据需要保护，避免越权的访问或操作；同时对于合法的敏感数据操作也需要审计；并且提供对敏感数据的操作或访问分析。

解决方案

配置敏感数据信息与敏感规则，防火墙基于规则对敏感数据访问或操作的行为进行识别，基于设置进行审计、告警或阻断。

应用场景—8.敏感数据动态脱敏 icon

应用场景

未授权用户访问数据库中敏感数据运维人员越权访问数据库中敏感数据需要对应用程序的数据访问进行脱敏处理

解决方案

通过部署数据库防火墙，对数据库的返回数据进行判断，对其中的敏感数据根据用户的权限进行动态的脱敏处理，避免敏感数据被非法访问及泄露。

典型案例—梅州市人民医院数据库防火墙应用 icon

项目介绍

梅州市人民医院（又称黄塘医院）是梅州市大型综合性三级甲等医院，其整体信息化系统采用的是东华HIS系统，该院于2015年上架深圳昂楷科技有限公司的数据库审计暨防统方系统。随着医院规模的增长，终端数量及医院各系统的数据也随之增大，该院的防统方系统已经无法满足医院审计现状，以及等保合规等要求，所以该院急需对现有的环境进行优化。

需求痛点

医院还没有很好的防统方措施来防范非法统方，只能通过数据库自身审计产生的日志来分析，分析工作繁琐、人力投入大、审计信息易被篡改或泄漏等。医院信息安全维护工作分散到不同医院和部门的不同人员，日常运维过程中维护人员较多、操作不透明、缺乏有效的技术手段来监管。

解决方案

方案特点：融合、透明、云化旧防统方升级，原有数据融合进新建系统。软硬一体化提供高性能，并通过Agent引流实现镜像。通过新增部署数据库防火墙，对运维人员加强了管控，得到用户好评。

方案效果

昂楷数据库审计系统和数据库防火墙系统，为医院防统方工作提供了技术手段，既满足医院“教育为先、制度为主、技术为辅”多管齐下的管理要求，又符合各级医疗监管机构提出的“建立治理医药购销领域商业贿赂的长效机制，促进卫生事业健康发展”的精神。

典型案例—深圳大鹏区信息中心数据安全方案（含防火墙） icon

项目介绍

深圳大鹏区信息中心对外提供服务主要分为教育、社保、就业、医疗、婚姻收养、证件办理、公用事业、招商引资、中小学生学位申请、户籍办理、人才住房和保障性住房等服务。政务大数据的集中及数据的共享对数据安全提出更高的要求及挑战。

需求痛点

各委办局数据集中，需要进行安全隔离以及防护。舆情数据需要在收集后同步给数据处理公司，以及块数据公司，对数据安全要求高。大数据中心集中分享给各委办局的数据，需要进行安全防护。

解决方案

通过在二级等保区部署数据库防火墙、数据库审计、运维审计系统，在三级等保区部署脱敏系统、数据防泄露系统、数据库防火墙、运维审计、日志审计和漏洞扫描系统，实现对不同分区的不同安全防护需求。

方案效果

通过数据脱敏系统对数据库进行定期扫描，识别出数据库中的敏感数据，用于脱敏系统和数据库防火墙的敏感数据访问策略的制定。利用数据脱敏系统把原始数据脱敏后存入脱敏库中，网闸会自动同步脱敏库中的数据到二级等保区的共享库。通过数据库防火墙对运维行为进行监管，防止高危操作。

产品推荐查看更多>>

DLP 数据防泄漏

DLP是以统一策略为基础，采用深层内容分析，对静态数据、动态数据及使用中的数据进行即时的识别、监控、保护的相关技术。

功能完备

使用便捷

安全可靠

立即咨询查看详情

深云SDP安全大脑

深云SDP安全大脑是一个管理控制台，用来对所有的深云SDP客户端进行管理，制定安全策略。深云SDP安全大脑还可以与企业已有的身份管理系统对接。

功能完备

安全可靠

立即咨询查看详情

启明星辰TSOC-SA日志审计系统

启明星辰推出的新一代泰合信息安全运营中心系统，采用具有自主知识产权的分布式非关系型数据库技术的日志审计系统及日志分析管理解决方案。系统能够通过主被动结合的手段，实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息，并将这些信息汇集到审计中心，进行集中化存储、索引、备份、全文检索、实时搜索、审计、告警、响应，并出具丰富的报表报告，获悉全网的整体安全运行态势，实现全生命周期的日志管理。

扩展性

大规模部署

范式化技术

操作简单

立即咨询查看详情

数字化社区查看更多>>