· 网络安全全国
其中外网区域,安华金和提出主要通过部署数据库防火墙和数据库加密系统提供防护;通过数据库防火墙可以防止sql注入、防止批量下载和防止后门程序;通过数据库加密,使存储在外网的数据库中的关键信息在存储层是密文状态,从而防止文件层的拖库。
数据库防火墙,不同于传统的防火墙,传统的防火墙无法防止SQL注入等共计手段;数据库防火墙也不同于web防火墙,web防火墙实际上有很多的应用限制,有很多的sql注入绕开手段,web防火墙也无法做到防止批量下载和后门程序。
而数据库防火墙可以对数据库的通讯过程进行精确的解析和控制;对于sql注入本身比web防火墙可以拦截的更为彻底;同时可以对社保应用建立应用特征模型,建立社保正常访问语句的抽象表达,对每种语句的返回总量进行控制;从而防止批量下载和后门程序。
而数据库加密产品,不同于磁盘加密和文件加密;后两种技术,在数据库启动后,完全无法防止用户的拖库行为。
对于维护域,安华金和提出部署数据库防火墙和数据库审计;数据库防火墙主要对于运维侧的人员(包括运维或开发人员)的行为进行管控,通过金库模式等方法在运维侧人员批量访问敏感表,或进行特殊表的数据变更时,引入审批控制流程。而数据库审计可以记录下来所有人员的数据库访问行为;可以突破应用层限制,将SQL语句与业务人员身份有效关联,在发生安全事件后,形成有效追踪。
