资源描述
Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style and Second Line Like This,随着数据库规模变大,,数据库成为企业信息资产,的同时,也被越来越多的不良之徒所觊觎,数据,被违规访问、删、改、复制和缺乏审计的,安全问题,,已经,成为,IT,系统最大的威胁,根据,IOUG,和,Verizon Business,的最新市场调查,,2010,年全球造成严重后果的,IT,安全事件中,92%,是针对数据库的侵入,,,89%,的黑客采用了,SQL,注入技术,,84%,的外部攻击利用了管理不善的数据库用户权限,数据,库,安全造成的,IT,系统损失是,100%,的,什么,IT,安全的最大威胁?,数据库安全是关键,随着信息化建设的不断发展,,IT,安全建设的重点,,,已经,从传统的网络安全、桌面安全、系统安全、应用安全和身份认证管理安全等领域,转向了如何,加强,IT,系统核心的数据库安全防范,那么,如何才能更,有效地保护,数据库不受侵害,?如何解决非法访问的监控与审计?如何,轻松,达到信息安全等级保护条例的信息安全合规要求?怎样才能满足中国,SOX,企业内部控制基本规范的规定?,如何,做到,对现有生产系统不产生任何性能影响,呢?,数据侵犯的影响,*,应答可以是多重选择,损坏企业形象与口碑,丢失信用,法律诉讼成本,营业收入损失,罚金或赔偿,客户流失,从行业中被淘汰,没影响,您所在的企业会因为数据侵犯造成怎样的影响?,安全最大化体系架构的数据安全成熟度模型,Maximum,Data Security,Architecture,说明:,0.无计划(,no plan),1.初始态(,initial),2.待完善,(marginal),3.稳定态(,stable),4.经验态(,best practice),5.完美态,(transformational),什么是数据库防火墙?,防火墙:网络层次之间设置的、用于加强访问控制的软硬件保护,设施,数据库防火墙:应用和数据库之间设置的、,用于加强数据库访问控制的重要保护设施,以往所说的防火墙,通常是指网络防火墙,用于,TCP/IP,层网络监测。而数据库防火墙,是专门监测和审计对数据库的,SQL,访问,应用服务器,数据库服务器,数据库,防火墙,盘阵,为何需要数据库防火墙,?,数据库被恶意访问、攻击、甚至遭到数据偷窃,不了解数据使用者对数据库的访问细节,,“,谁(,Who,)用什么方法(,What,)在什么地方(,Where,),什么时间(,When,),对数据库做什么事情,(How),。”的问题,当数据库正在遭受恶意访问或攻击时,不能及时地追踪并堵截这些恶意操作,数据库遭受恶意攻击、访问后,不能追踪到足够的证据,来自内部的威胁,特权用户修改配置、改变或偷窃数据,应用,数据库,数据库,防火墙,数据库防火墙的功能,支持不同的监视模型,支持数据库登入登出监视,支持数据库访问,监视,安全策略设置,存储过程审计,用户角色,审计,支持不同的监视模型,数据库活动监视和拦截模式(DPE)对数据库活动进行监视,并对可能的威胁进行实时拦截,数据库活动监视模式(DAM)仅对数据库活动进行监视,并对可能的威胁提出警报,支持数据库登入登出监视,支持对数据库登入进行监视,并纪录数据库登入成功或失败的状态。,如果登入失败次数超过定义值,能够发出警告或对登入行为进行拦截。,容许被拦截的用户在指定的时间间隔后,再次进行登入。,支持对数据库登出,进行,监视,并纪录数据库登出,成功或失败的状态。,纪录数据库用户名、IP地址、操作系统用户名、,和用户,。,支持数据库访问监视,能够对有威胁的SQL,语句提出报警或直接进行拦截,。,能够拦截未见的攻击(,ZERO-DAY,攻击,),。,能够拦截,BLIND SQL INJECTION,攻击,。,不需要修改应用,。,对数据库性能没有影响,。,支持基于白名单、,黑名单和例外名单的监视或拦截策略,。,允许,用,时间、网络、或应用等作为白名单或黑名单的判断,条件,。,允许来自白名单的任何用户或应用进行数据库,操作,。,支持数据库访问监视,阻止来自黑名单的用户或应用进行数据库操作,。,允许用例外名单策略来覆盖白名单或黑名单策略。,能够分析,SQL,语句,没有长度,限制,。,能够对有威胁的SQL语句进行灵活设置,包括阻止、替换、允许并报警、,仅纪录,。,支持有目的的纪录(Logging),,如纪录某一类别的,SQL,语句,或纪录不在集群中的,SQL,语句,以减少纪录的,大小,。,SQL语句中的敏感和隐私信息在被记录下来之前,,能够实时地被屏蔽或改写,。,支持数据库访问监视,能够对来自于数据库服务器的本地连接(如批次工作),进行监视,。,能够纪录最后来自于数据库服务器的本地连接的语句,。,能够纪录所有来自于数据库服务器的本地连接的重要语句,如ALTER TABLE和DROP,TABLE,。,能够监视来自于网络的数据库访问,,并纪录数据库语句,。,安全策略设置,能够自动学习,SQL,语句,并将纪录的,SQL,语句归纳为不同的,集群,。,能够对集群定义不同的威胁,程度,。,能够根具不同属性对不同集群进行筛选,包括:,IP,地址、表、列、用户、客户端应用、,OS,用户,。,能够定义默认的安全策略,安全策略包括响应方法(通过、报警、阻止),纪录程度(不纪录、简单、永远),威胁程度(非常高、高、中、低、非常低),替换,规则,。,能够根据不同属性定义例外策略,如:,IP,地址、数据库用户、客户端应用、,OS,用户,。,能够根据额外属性定义特别策略,如:,SQL,语句的种类、指定的,表,。,存储过程审计,能够,定时的(如每小时、每天、每星期、每月)对数据库存储过程的增加和改动进行,审计,。,存储过程审计须,支持,Oracle,数据库(,9i/10g/11g,)、,Microsoft SQL Server,(,2000,2005,2008,)、,Sybase ASE,,,Sybase SQLAnyware,、和,IBM,DB2,。,存储过程审计报告内容包括:名称,、,内容,、,威胁级别、存储过程类型(,DML,DDL,DCL,SELECT,等等)、,最后更改人和更改时间,。,用户角色审计,能够,定时的(如每小时、每天、每星期、每月)对数据库用户角色的增加和改动进行,审计,。,用户角色审计须,支持,Oracle,数据库(,9i/10g/11g,)、,Microsoft SQL Server,(,2000,2005,2008,)、,Sybase ASE,,,Sybase SQLAnyware,、和,IBM,DB2,。,用户角色审计报告内容包括:,用户名、用户角色和权限、,最后更改人和更改时间,。,
展开阅读全文