宁夏数据库安全产品服务提供商
作者:安华金和 发布时间:2020-10-28


  数据库安全产品主要分为数据库安全防护产品与数据安全管理工具两大类。其中常见的数据库安全防护产品主要有数据库安全审计系统、数据库安全防护系统、动态数据脱敏系统、数据库运维管理系统以及数据库加密系统等, 数据安全管理工具主要有数据资产评估系统、数据库漏洞扫描系统、数据资产梳理系统、静态数据库脱敏系统以及数据水印系统等。
  下面以数据库安全防护系统以及数据库漏洞扫描系统为例,详细探究一下相关功能:
  【数据库安全防护系统功能介绍】
  学习期行为建模
  产品可自定义学习期,并基于学习期完成语句、会话的建模分析,构建数据库安全防护模型。为保障业务安全,开启学习期后不再进行风险的阻断、拦截,对命中风险的语句只记录风险信息,一律开启放行模式。
  学习期采集到大量的数据库会话信息和 SQL 语句信息,如:应用账户、应用登录 IP、客户端 IP、访问工具、SQL 操作、影响对象、返回结果等。
  DPS 具备语法分析能力,可以对 SQL 语句进行抽象描述,将海量的 SQL 语句归类成SQL 模板。用户基于 SQL 模板关联会话信息,可预定义数据库黑白名单和风险规则。
  应用关联防护
  采用应用端插件部署方式,可基于应用会话捕获【应用账户】及【应用登录 IP】等关联审计信息,并添加到风险规则进行风险行为管控。针对应用端与业务服务器分离的【四层关联系统】,同样可基于插件部署捕获到应用的原始访问信息,在应用侧建立有效的防护体系。
  数据库入侵行为防护
  系统提供针对数据库漏洞攻击的“防护”功能:当外部系统利用数据库漏洞进行数据库攻击时,系统可以实时捕获到对应 的 SQL 语句及相关会话信息, 及时阻断风险会话并发送告警, 帮助用户实时防护数据库漏洞攻击并有效追溯风险来源。
  除了数据库漏洞攻击行为,系统还可以针对 SQL 注入和 XSS 攻击行为进行有效的安全防护。基于精准的 SQL 语法分析,系统可以准确定位 SQL 语句中的操作谓词及常量表达式,保障注入、攻击行为防护的准确性。 系统提供缺省的 SQL 注入特征库,并支持用户自定义规则。
  数据库异常行为 防护
  系统可对数据库通讯协议进行完全解析,将 SQL 语句归类 成模板,并结合会话信息、 应用关联信息,实现学习期行为 建模。
  通过学习期建模分析,识别可能存在的异常行为并预定义风险规则。
  数据库违规行为防护
  系统提供丰富的规则类型,可以针对不同的数据库访问来源,提供对敏感表的访问权限、操作权限和影响行数的有效管控,并结合对 NO WHERE 语句风险的判断,避免大规模数据泄露和篡改。
  学习期
  系统可基于独立的数据库设置学习期,学习期结束后可自动切换到“保护模式”进行安全防护;系统基于学习期建立数据库行为模型,包括语句模板和来源分析。
  风险分析报表
  【报表】功能是将审计日志进行数据化分析的 具体表现形式。 系统将报表划分为以下几类,帮助安全管理人员更加便捷、深入的剖析数据库运行风险。
  提供《风险综合分析报告》、《风险防护报告》、《数据库风险分析》、《客户端风险分析》报表等,从不同视角审视数据库风险, 便于用户掌控数据库风险。
  【报表预存】:用户可以对关注的报表按照查询周期生成预存文件。当用户按周期查询报表时,系统调用预存文件可以快速生成报表。
  【定时推送】:用户可以对关注的报 表设置定时推送功能, 定时查询周期内报表并生成word、 pdf、Html 等文件格式, 推送到指定的邮件或服务器,便于用户查阅。
  高可用容灾
  产品提供多种高可用容灾方案,包括如下几类:
  1) 多重 Bypass 能力
  产品提供 Bypass 容灾机制,包括硬件断电 Bypass 和软件异常 Bypass 导通能力。 支持手动启动 Bypass,在应急情况下绕过网络避免异常阻断。
  2) 代理网络三通
  代理模式下支持网络三通,后台监听多进程,保障在流量异常的情况下,实现业务系统流量放行,保障业务连续性。
  3) 双机 HA 部署
  产品支持双机主备部署,适应网 络高可用部署模式, 并通过网络协议和 HA 跳线进行主备间探测与切换,采用会话同步、策略同步机制,保障双机之间的一致性。
  【数据库漏洞扫描系统功能介绍】
  任务管理
  本系统提供任务管理功能,每个任务中包含一个或多个目标数据库,用户可以选择发现数据库的方式:扫描活动的数据库、手动输入数据库连接信息。
  策略管理
  本系统提供策略的管理功能,用户可以定制扫描项目和属性, 根据漏洞类型分成: 弱口令、缺省口令、配置缺陷、数据发现、脆弱点、 易受攻击代码、操作系统相关漏洞、 程序后门、审计漏洞、补丁等; 根据风险级别,分为严重、中等、普通、警告、参考信息;将策略分类管理,可满足不同安全等级检查的需要,如等级保护、行业等保以及军队等级保护等。
  数据库服务器自动发现(端口扫描)
  系统提供自动搜索网内数据库的功能,也可以指定 IP 段和端口的范围进行搜索。能够自动发现数据库的基本信息包括:端口号、数据库类型、数据库实例名、数据库服务器 IP 地址等。
  数据库安全评估
  本系统提供的漏洞扫描检测方式为授权扫描和弱口令扫描,用户可以 根据不同的需要定制不同的扫描策略, 进行数据库的漏洞扫描, 扫描完成后系统自动生成检测报告,分为统计报告、详细报告、漏洞报告。
  数据库安全评估评估报告
  系统可以对目标数据库中存在的安全隐患并生成安全评估报告,让用户对当前数据库的安全问题有更加系统、 全面的掌握。同时针对评估报告进行分析,从而提出合理的修复解决方案,使数据库系统变得更加安全可靠。
  安全监控
  通过周期性的监控数据库的运行状态,展现数据库的实时的安全视图; 定期扫描,反映当前安全状况相对基线的变化;可以查看详细的变化 状况。
  渗透攻击
  一种模拟黑客式的检查手段,通过模拟黑客攻击的方式,利用数据库本身存在的漏洞,获取数据库管理员的权限并登录到数据库,实现直接取证。
  数据库安全加固建议
  针对系统检查出的数据库安全漏洞,系统在数据库漏洞详细报告中提供了详细的漏洞修复建议,保证每条建议有效可靠,不会造成用户修复后正常功能无法使用、数据库系统无法启动等故障,从而帮助用户更加快速、有效地进行漏洞修复。
  审计管理
  对于用户登录、策略管理、扫描管理、 修改密码等操作产生审计日志记录, 供审计人员进行查看分析。 【关于宁夏数据库安全产品服务商】 安华金和自2009年成立至今,一直专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商,中国“数据安全治理”体系框架的提出者和践行者。 以下为部分合作案例客户,涵盖政府、军队、金融、医疗、教育、企业等多个领域:
  数据库安全产品服务客户案例