當(dāng)前各種網(wǎng)絡(luò)威脅層出不窮,企業(yè)的網(wǎng)絡(luò)安全重要性日益凸顯,互聯(lián)網(wǎng)環(huán)境下,萬(wàn)物互聯(lián)成為大勢(shì)。傳統(tǒng)的網(wǎng)絡(luò)邊界防御已經(jīng)不足以應(yīng)對(duì)多變復(fù)雜的網(wǎng)絡(luò)環(huán)境,安全攻擊的不確定性和持續(xù)性,讓越來(lái)越多的企業(yè)單位認(rèn)識(shí)到,即使是存儲(chǔ)于最核心位置數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù),也有可能暴露在安全之外。因此,網(wǎng)絡(luò)防火墻、下一代防火墻等傳統(tǒng)安全產(chǎn)品,面對(duì)越演越烈的數(shù)據(jù)庫(kù)安全態(tài)勢(shì),已經(jīng)顯得無(wú)能為力。新的需求催生新的產(chǎn)品技術(shù),以數(shù)據(jù)庫(kù)協(xié)議與SQL 詞法語(yǔ)法進(jìn)行解析的技術(shù)為基礎(chǔ)的數(shù)據(jù)庫(kù)防火墻,應(yīng)運(yùn)而生。
然而,根據(jù)市場(chǎng)調(diào)查數(shù)據(jù)顯示,很多用戶(hù)認(rèn)為,傳統(tǒng)防火墻、下一代防火墻、WAF、堡壘機(jī)等傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品或多或少包含數(shù)據(jù)庫(kù)防護(hù)功能,能夠解決數(shù)據(jù)庫(kù)安全問(wèn)題。本文筆者打一個(gè)形象的比喻,將整個(gè)信息安全系統(tǒng)比作一個(gè)政府大院, 那么傳統(tǒng)防火墻、下一代防火墻、WAF、堡壘機(jī)、數(shù)據(jù)庫(kù)防火墻, 分別可以比喻為“大門(mén)”、“傳達(dá)室”、“門(mén)衛(wèi)”、“大管家”、“保鏢” 五個(gè)角色。從進(jìn)入大門(mén)開(kāi)始,各產(chǎn)品的價(jià)值體現(xiàn)與數(shù)據(jù)庫(kù)防火墻的根本差異,一目了然。
“大門(mén)”--傳統(tǒng)防火墻
傳統(tǒng)防火墻相當(dāng)于信息系統(tǒng)的“大門(mén)”.“大門(mén)” 顧名思義,指整個(gè)建筑物通向外面的唯一路徑,直接起到攔截或放行的作用。但是,大門(mén)無(wú)法對(duì)“進(jìn)門(mén)人”的好壞進(jìn)行區(qū)分,比如對(duì)“人員面貌特征”、“攜帶違禁品”等問(wèn)題更是無(wú)法檢查。
傳統(tǒng)的防火墻一般使用在網(wǎng)絡(luò)的出口處,基本原理是根據(jù)IP 地址/端口號(hào)或協(xié)議標(biāo)識(shí)符識(shí)別和分類(lèi)網(wǎng)絡(luò)流量,并執(zhí)行相關(guān)的策略。所以對(duì)于WEB2.0 應(yīng)用來(lái)說(shuō),傳統(tǒng)防火墻看到的所有基于瀏覽器的應(yīng)用程序的網(wǎng)絡(luò)流量是完全一樣的,無(wú)法區(qū)分各種應(yīng)用程序,更無(wú)法實(shí)施策略來(lái)區(qū)分哪些是不需要的或不適當(dāng)?shù)某绦?,?duì)于數(shù)據(jù)庫(kù)網(wǎng)絡(luò)通訊無(wú)任何的安全防護(hù)能力。
“傳達(dá)室”--下一代防火墻
下一代防火墻相當(dāng)于是信息系統(tǒng)的“傳達(dá)室”.“傳達(dá)室”負(fù)責(zé)看門(mén)、登記、收發(fā)資料和引導(dǎo)來(lái)賓等工作,在檢查過(guò)程中對(duì)人員身份證件、面貌特征等進(jìn)行簡(jiǎn)單檢查,并引導(dǎo)正確的位置, 但是人員進(jìn)入后隨意溜達(dá)并接近或逗留于核心業(yè)務(wù)位置,“傳達(dá)室”就鞭長(zhǎng)莫及了。
下一代防火墻同樣部署在全網(wǎng)出口處,比起傳統(tǒng)防火墻檢測(cè)廣度增加,集成了傳統(tǒng)防火墻、IPS、防病毒、防垃圾郵件等諸多功能,可以對(duì)上百種應(yīng)用層的通訊協(xié)議進(jìn)行解析,但所解析的協(xié)議都限于標(biāo)準(zhǔn)通訊協(xié)議,如FTP、郵件、LDAP、Telnet 等,對(duì)一些針對(duì)標(biāo)準(zhǔn)協(xié)議的攻擊行為進(jìn)行防范;但對(duì)于數(shù)據(jù)庫(kù)這樣的非標(biāo)準(zhǔn)化通訊協(xié)議,協(xié)議的復(fù)雜度很高,當(dāng)前市場(chǎng)上的主流下一代防火墻產(chǎn)品還未能實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)通訊協(xié)議的解析和防護(hù)。因此,下一代防火墻自然對(duì)數(shù)據(jù)庫(kù)安全的防護(hù)“ 有心無(wú)力”.
“門(mén)衛(wèi)”--WEB應(yīng)用防火墻(WAF)
WAF相當(dāng)于是信息系統(tǒng)“門(mén)衛(wèi) ”.“門(mén)衛(wèi)”是某個(gè)建筑物或重要部位的警衛(wèi),與“大門(mén)”、“ 傳達(dá)室” 不同,門(mén)衛(wèi)對(duì)所把守建筑物內(nèi)部情況非常了解,對(duì)進(jìn)出人員特征也分辨清晰,一旦有非內(nèi)部可信人員試圖進(jìn)入,門(mén)衛(wèi)就會(huì)細(xì)細(xì)檢查盤(pán)問(wèn),但針對(duì)進(jìn)入內(nèi)部后的作案行為便無(wú)計(jì)可施了。
WAF串行部署在信息系統(tǒng)前端,提升了系統(tǒng)的攻擊防御能力,WAF原理主要是對(duì)Http協(xié)議的解析,并對(duì)Http 協(xié)議中的傳輸內(nèi)容進(jìn)行分析,依靠正則式和簡(jiǎn)單規(guī)則庫(kù)可以實(shí)現(xiàn)對(duì)部分SQL注入行為的阻止,由于WAF的專(zhuān)注程度定位在系統(tǒng)防攻擊、防篡改等措施上,對(duì)于復(fù)雜的SQL注入和數(shù)據(jù)庫(kù)攻擊行為僅進(jìn)行匹配,WAF就應(yīng)接不暇了,并且早在2012年黑客大會(huì)就公布了150多種可以繞開(kāi)WAF實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的攻擊技術(shù)。因此不難看出WAF主要重點(diǎn)在于系統(tǒng)防護(hù),針對(duì)數(shù)據(jù)庫(kù)的安全防護(hù)措施,基本屬于“蜻蜓點(diǎn)水”.
“大管家”--運(yùn)維堡壘機(jī)
運(yùn)維堡壘機(jī)相當(dāng)于信息系統(tǒng)的“大管家”,幫助主人集中管理協(xié)調(diào)信息內(nèi)辦公人員,由于不同的人需要用不同的勞動(dòng)工具,進(jìn)行不同的業(yè)務(wù)操作,因此大管家還安裝了攝像頭,監(jiān)督記錄大家的工作。大管家也會(huì)有難以管控之處,無(wú)法更細(xì)粒度地控制大家使用工具時(shí)都進(jìn)行了哪些具體操作,或者誰(shuí)進(jìn)行了誤操作;大管家同樣無(wú)法防止對(duì)方繞過(guò)自己偷偷到系統(tǒng)禁地做些手腳,也無(wú)法防止內(nèi)部工作人員做了內(nèi)應(yīng),進(jìn)行一些不良操作,如果有些開(kāi)發(fā)人員在業(yè)務(wù)系統(tǒng)中直接種植后門(mén)程序, 這位“大管家”是看不到的。
運(yùn)維堡壘機(jī)串行部署在運(yùn)維終端與主機(jī)、數(shù)據(jù)庫(kù)之間, 通過(guò)這種部署方式,可以實(shí)現(xiàn)對(duì)主機(jī)設(shè)備和數(shù)據(jù)庫(kù)的集中管控,堡壘機(jī)可實(shí)現(xiàn)運(yùn)維過(guò)程中統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、統(tǒng)一審計(jì)。但堡壘機(jī)只能通過(guò)錄屏的方式進(jìn)行錄像審計(jì),無(wú)法更細(xì)力度地控制大家在工具內(nèi)的操作,無(wú)法針對(duì)數(shù)據(jù)庫(kù)管理員誤操作的行為進(jìn)行識(shí)別并加以阻止,也無(wú)法防止有些開(kāi)發(fā)人員在業(yè)務(wù)系統(tǒng)中直接種植后門(mén)程序,針對(duì)大批量訪問(wèn)敏感表并造成信息泄密的行為無(wú)能為力。
“保鏢”--數(shù)據(jù)庫(kù)防火墻
數(shù)據(jù)庫(kù)防火墻相當(dāng)于數(shù)據(jù)庫(kù)的“保鏢”,“保鏢”應(yīng)擁有偵察判斷、安全布防、情報(bào)收集、保密措施、危機(jī)預(yù)防等功能,數(shù)據(jù)庫(kù)防火墻正是為數(shù)據(jù)庫(kù)行使了保鏢的職責(zé),是專(zhuān)業(yè)的、主動(dòng)、實(shí)時(shí)保護(hù)數(shù)據(jù)庫(kù)安全的解決方案。
數(shù)據(jù)庫(kù)防火墻根據(jù)部署位置的不同,防護(hù)的重點(diǎn)也有所不同,數(shù)據(jù)庫(kù)防火墻部署在運(yùn)維側(cè)時(shí),可以對(duì)內(nèi)部人員誤操作、批量刪除或是批量下載數(shù)據(jù)進(jìn)行防護(hù),數(shù)據(jù)庫(kù)防火墻部署在應(yīng)用側(cè)時(shí),既能防護(hù)來(lái)自外部的攻擊行為,又能防止內(nèi)部的非授權(quán)操作。
專(zhuān)業(yè)的數(shù)據(jù)庫(kù)防火墻原理應(yīng)基于數(shù)據(jù)庫(kù)協(xié)議精確解析,通過(guò)對(duì)SQL語(yǔ)法/詞法中存在的風(fēng)險(xiǎn)進(jìn)行精確識(shí)別,從而防止外部對(duì)數(shù)據(jù)庫(kù)漏洞的攻擊和SQL注入等問(wèn)題。并且具有虛擬補(bǔ)丁防護(hù),SQL 注入防護(hù)、SQL黑白名單,細(xì)粒度權(quán)限管控,行為審計(jì)、監(jiān)測(cè)分析等核心功能,對(duì)外防止數(shù)據(jù)庫(kù)被攻擊,對(duì)內(nèi)防止高權(quán)限用戶(hù)( DBA、開(kāi)發(fā)人員、第三方外包服務(wù)提供商)的數(shù)據(jù)竊取、破壞、損壞等,實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)活動(dòng)實(shí)時(shí)監(jiān)控和靈活告警,幫助用戶(hù)應(yīng)對(duì)來(lái)自?xún)?nèi)部和外部的數(shù)據(jù)安全威脅。
信息系統(tǒng)的縱深防御體系應(yīng)該實(shí)現(xiàn)從“大門(mén)到保鏢”的防護(hù),每種安全產(chǎn)品都有其定位和價(jià)值,術(shù)業(yè)專(zhuān)攻,用戶(hù)應(yīng)基于自身需求,整合各類(lèi)安全產(chǎn)品優(yōu)勢(shì),構(gòu)建更為安全的信息防護(hù)體系。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 2024世界顯示產(chǎn)業(yè)大會(huì)啟幕,4K花園自研“滿(mǎn)天星”獲十大創(chuàng)新應(yīng)用
- 哈佛商學(xué)院:2024年全球96%代碼庫(kù)包含開(kāi)源組件 Rust采用率增長(zhǎng)500%
- 硅谷1/10程序員在摸魚(yú)?基本不干活卻能拿20-30萬(wàn)美元年薪
- 傳馬斯克的"友商"擔(dān)心被報(bào)復(fù) 紛紛示好特朗普
- 數(shù)智龍江向新而行:5G-A與AI等數(shù)智技術(shù)助力龍江打造新質(zhì)生產(chǎn)力
- 加州對(duì)特斯拉和SpaceX說(shuō)不,公報(bào)私仇觸怒馬斯克
- 華為Mate品牌盛典盛大舉行,Mate 70等十余款全場(chǎng)景新品重磅亮相
- 支付寶新升級(jí),手機(jī)碰一下就能點(diǎn)餐!全國(guó)10萬(wàn)家餐廳可用
- 華為徐直軍談鴻蒙:10萬(wàn)個(gè)應(yīng)用是鴻蒙生態(tài)成熟的標(biāo)志
- 數(shù)智江蘇 向新而行
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。