資料庫防火牆應具備哪些能力

網際網路時代，由資料庫引發的安全事件越來越多，資料庫防火牆作為保護資料庫安全必不可少的防禦工事，也越來越受到企業關注。

那麼資料庫防火牆究竟應具備哪些能力，才能為企業資料資產築起堅不可摧的安全防線？美創科技作為資料防火牆國標重要參與者，曾主導資料庫防火牆的標準制定，將結合在該領域擁有雄厚的技術積累和產品經驗，總結乙個成熟的資料庫防火牆產品應具備的一系列關鍵能力。

資料庫在企業中承載著關鍵核心業務，其重要性不言而喻。由於資料庫防火牆是串聯到資料庫與應用伺服器之間的安全裝置，因此不能因為安全裝置的部署而影響業務系統正常使用，資料庫防火牆自身需要具備高可用性和高速率併發處理能力：

當安全裝置因宕機、系統本身主程式不可用、記憶體持續被佔等問題導致不可用時，自動切換到另外一台安全裝置進行執行，從而能夠達到裝置的高可用，避免因日常維護操作（計畫）和突發的系統崩潰（非計畫）所導致的停機時間，影響生產業務，提公升系統和應用的高可用性。

因業務系統的高併發訪問，資料庫需要對標直連訪問資料庫，1毫秒內sql處理速率要基本同直連訪問資料庫，避免因資料庫防火牆部署影響業務系統的正常使用。

就跟人需要有身份證一樣，接入資料庫也需要根據不同的身份因子對人進行多維度的識別，保證身份真實性和可靠性。

應用防假冒：可對應用程式進行特徵識別，識別應用的真實性，避免應用被假冒，從而導致應用被非法利用。

資料庫防火牆每天都需要面對外部環境的各種攻擊，在識別真實人員的基礎上，我們還需要對他們的訪問行為和特徵進行檢測，並對危險行為進行防禦，主要防禦功能應有：

sql注入安全防禦，構建sql注入特徵庫，實現對注入攻擊的sql特徵識別，結合sql白名單機制實現實時攻擊阻斷；

漏洞攻擊防禦，由於資料庫公升級困難的前提存在，需要對資料庫漏洞進行掃瞄識別漏洞，並對這些漏洞進行虛擬補丁，避免黑客通過這些漏洞進行攻擊；

敏感sql防禦，即sql所帶有敏感資訊，對這些sql需要單獨管理，只授權給可以訪問的身份，拒絕未經授權的身份進行訪問。

很多應用程式往往存在許可權控制漏洞，無法控制某些非法訪問、高危操作，比如統方、絕密資料的獲取等。這些潛藏巨大風險的行為，需要進行管理和控制：

防撞庫，當密碼輸入次數達到預設閾值時，鎖定攻擊終端；

危險操作阻斷，當應用在執行全量刪除、修改等高危行為的時候，需要對這些行為進行阻斷；

敏感資訊訪問脫敏，根據訪問者的許可權，返回不同的資料，許可權足夠時看到真實的資料，許可權不足時返回經過脫敏的資料，避免敏感資訊洩露；

訪問返回行數控制，可對訪問結果進行管理，避免非法一次性匯出大量資料庫，導致資料的大量流失。

sql白名單，就是建立應用的sql白名單庫，對於這些安全sql進行放行，對於危險sql進行阻斷；sql白名單可以只針對可信sql做特徵識別、而不符合可信sql特徵的我們都可以認為他是未知或高危的sql，並進行阻斷或告警。

一般來說資料庫防火牆往往會管理多個資料庫，當資料庫達到一定數量時，通過人工很難監控資料庫的整體安全情況，因此需要監控平台進行統一的安全監控：

監控資料庫防火牆的整體安全情況，當出現風險時可快速的定位當前被攻擊的資料庫及發起攻擊的客戶端等；

視覺化展示，直觀、全域性、清晰的把握資料庫安全情況。

系統可通過簡訊、郵件、動畫等多種告警手段來保證告警的實時性。

業務人員在利益的**下，往往通過業務系統提供的功能完成對敏感資訊的訪問，從而造成資料外洩的風險。因此提供對風險訪問的詳細記錄，便於風險分析和問題追溯至關重要。詳細的風險分析和追蹤，應包括以下基本要素：

who？—真實的資料庫帳號、主機名稱、作業系統帳號等真實身份；

what？—什麼物件資料被訪問了，執行了什麼操作，觸發了什麼安全策略；

when？—每個事件發生的具體時間；

where？—事件的**和目的，包括ip位址、mac位址等；

how？—通過哪些應用程式或第三方工具進行的操作。