提供3000多款全球软件/控件产品
针对软件研发的各个阶段提供专业培训与技术咨询
根据客户需求提供定制化的软件开发服务
全球知名设计软件,显著提升设计质量
打造以经营为中心,实现生产过程透明化管理
帮助企业合理产能分配,提高资源利用率
快速打造数字化生产线,实现全流程追溯
生产过程精准追溯,满足企业合规要求
以六西格玛为理论基础,实现产品质量全数字化管理
通过大屏电子看板,实现车间透明化管理
对设备进行全生命周期管理,提高设备综合利用率
实现设备数据的实时采集与监控
利用数字化技术提升油气勘探的效率和成功率
钻井计划优化、实时监控和风险评估
提供业务洞察与决策支持实现数据驱动决策
转帖|行业资讯|编辑:我只采一朵|2017-07-13 11:31:41.000|阅读 118 次
概述:有人说:数据库防火墙风险大,一不小心你的应用就瘫痪了!真是这样吗?
# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>
近年来,作为高效而直接的数据库防御工事,数据库防火墙已被越来越多的用户关注,应用在关键系统的数据库安全防护中,以保护核心数据资产安全。实现危险行为过滤,数据库防火墙必需串联部署,才能形成数据库的安全屏障。这要求其既要发挥抵御威胁行为的功能,同时又不能影响正常的应用访问,造成业务中断。
有人说:数据库防火墙风险大,一不小心你的应用就瘫痪了!真是这样吗?
事实上,满足如此严苛要求的关键在于如何实现精准的应用关联防护,能够在不中断业务访问的基础上,精准定位威胁行为并拦截,从而达到精确而无副作用的防护效果,这也成为一款数据库防火墙产品是否成熟可用的必要条件。
语句拦截—奠定应用防护的基础
通常来讲,数据库防火墙可以通过两种方式实现威胁防御:中断会话和语句拦截。
中断会话
直接切断应用与数据库的会话连接,这种方式粗暴简单,也最易实现。这种防护方式也是很多不成熟的数据库防火墙产品所提供的解决方案。我们知道数据库的访问行为,来自DBA等运维人员及应用系统的访问调用,这其中应用系统的访问更为频繁,对于业务连续性的要求也最高,中断会话等于业务瘫痪,显然不可取。
语句拦截
拦截语句的方式是指在保持原有会话畅通的基础上,精准拦截威胁语句。既不破坏业务连续性,又能将风险语句过滤下来。这考验数据库防火墙对SQL语句的精准解析、风险策略的灵活和适用性,也是实现数据库应用关联防护的基础所在。
应用关联审计——准确定位应用访问信息
接触过数据库审计产品的朋友应该知道,“三层关联审计”功能在不少数据库审计产品中已经实现,即通过“时间戳”等方式从数据库访问信息中捕获应用账号、IP等应用关联信息,但众所周知,“时间戳”的方式在功能上具有极大的缺陷——关联审计信息并不准确,即使是在旁路审计上应用,也已经广受诟病,更何况串接部署的数据库防火墙。一旦解析错误,将造成正常语句被拦截, 严重影响业务运转。
因此,安华金和在国内首先提出基于“应用插件”实现“应用关联审计”的理念,目前也在行业内得到更广泛的应用。这种解析方式,是以一个简易的jar包集成到应用系统,从而完成部署,在并发达到上千级别的连接是,仍然能实现100%准确关联,以精确的方式捕获到应用端相关信息。同时,这种解析能力需要具备高适用性,除了适用于Weblogic、tomcat、Websphere、Jboss等主流的应用服务器,也能支持F5等负载均衡模式下针对代理IP的关联审计挖掘,准确定位应用访问信息。
具备保持会话前提下的语句拦截功能,并能提供精准应用关联能力,如此看来,实现数据库的应用关联防护已经具备非常坚实的基础。最后一步,基于多维度匹配灵活的安全策略,是实现应用关联防护的最后一锤。
多样性的策略——实现细粒度行为控制
学习、建立数据库行为模型
应用系统的访问特点是基于固定的业务模型执行批量的SQl语句,学习应用的访问行为是判断异常风险语句的关键。数据库防火墙在正式投入串接使用之前,需要旁路部署经过一段学习期,大量学习应用侧的访问行为,涵盖:
客户端信息(客户端IP、客户端工具、主机名、操作系统、登录的数据库用户等)
应用信息(应用账号、应用IP等)
访问对象信息(数据库实例、表、字段等)
从而建立数据库行为模型,进一步制定全面灵活的安全策略。
高细粒度的安全策略设定
精细化的安全策略需要具备高细粒度,能够基于单条策略进行多层次设定,将应用账号、客户端IP、SQL语句等进行绑定,实现对应用用户进行访问行为控制。譬如,客服人员(应用账号)只能基于指定的IP或IP端进行数据库访问,并且其执行的语句仅限于指定的若干语句模板,否则视为风险访问、违规操作,会直接被阻断或被拦截。
数据库防火墙可以针对指定的访问对象进行行为控制,即针对某一数据库的某表、某字段进行增、删、改、查的控制。例如,寿险账单的用户电话号码就是以数据库的表字段进行存储。那么,应用关联防护在实现上,可以限制仅某些账户(如:业务主管)可以进行上述数据库字段的查询;某些账户(如:业务经理)可以进行上述数据的修改。
如果防火墙的防护粒度仅限于“数据库字段”,那么应用业务中更为深入的控制是否能满足呢?譬如,业务经理仅能查询和自己有关的用户电话号码,即数据库“电话号码字段”中的部分信息。在数据库防火墙中,组成一条规则的元素中包括“报文关键字”这一特性,即可以通过配置“正则表达式”匹配SQL语句中的关键字,如果命中即视为风险。例如:select 账户,电话号码 from 业务表 where 账户=”张三”;防火墙可以作出如下限定:如果关联发现执行该语句的账户不是“张三”,那么执行该语句时即视为风险语句进行拦截。
同理,数据库防火墙将行为建模中捕获到的诸多元素,通过多维度的设置、排列组合即可实现多样性的防护规则,适用不同的访问场景,这如同在数据库前端织就了一张牢不可破的网。
至此,在实现精确语句拦截、应用关联审计的前提下,赋予灵活多样的安全策略,这才造就了一个有深度有内涵的数据库防火墙产品。作为安华金和的拳头产品,它已成熟应用于国内多个大型数据库安全防护项目中,这些项目的积累也在不断打磨产品,使其能够为用户提供更精细、更具参考性的策略和规则,实现更准确、高效的数据库安全防护价值。
本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@pclwef.cn
通过提供强大的3D CAD数据访问工具并适用于桌面、移动和Web的高级环境3D可视化发动机,HOOPS在提升造船设计和制造流程的效率方面发挥了重要作用。
HOOPS Luminate在汽车行业中的应用具有广泛的潜力和深远的影响。它通过提供高效的3D可视化、虚拟装配与拆解、性能分析、客户定制等功能,帮助汽车制造商在设计、生产和销售过程中提升效率、降低成本并提高产品质量。
在不断发展的软件开发世界中,使工具和框架与最新的平台版本保持同步至关重要,欢迎查阅~
全球航运业对国际贸易至关重要,全球 90% 以上的商品通过海运运输。准确监控和控制这些集装箱的移动对于维持高效的供应链至关重要。手动输入集装箱号码是这一程序的关键部分,它带来了相当大的挑战,例如人为错误和效率低下。
服务电话
重庆/ 023-68661681
华东/ 13452821722
华南/ 18100878085
华北/ 17347785263
客户支持
技术支持咨询服务
服务热线:400-700-1020
邮箱:sales@pclwef.cn
关注我们
地址 : 重庆市九龙坡区火炬大道69号6幢