奇安信數據庫審計與防護系統(tǒng)-防火墻，是一款基于數據庫協(xié)議解析與訪問行為控制的數據庫安全防護產品。系統(tǒng)采用串聯(lián)的方式部署在數據庫服務器和應用服務器之間，對訪問數據庫的網絡數據包進行實時的監(jiān)控和分析，基于身份鑒別和行為分析的主動防御機制，能夠實時監(jiān)控、識別對數據庫的異常訪問、SQL攻擊等安全威脅，及時進行會話級阻斷，從而有效地保護核心數據的安全。

 

 

應對外部攻擊威脅

外部黑客利用軟件缺陷或潛在漏洞，能夠通過SQL注入或漏洞攻擊入侵目標系統(tǒng)，致使數據庫泄漏、賬號盜取、系統(tǒng)癱瘓等。 系統(tǒng)通過內置基于CVE的SQL注入&緩沖區(qū)溢出特征庫，能夠快速有效地識別SQL注入攻擊、緩存區(qū)溢出等風險，并及時進行攔截阻斷，有效應對數據庫被攻擊的威脅。

 

應對內部訪問風險

DBA、研發(fā)人員等內部權限用戶，能夠直接訪問數據庫，有意無意的高危操作或越權訪問，易對數據庫造成破壞。 系統(tǒng)通過內置和自定義的訪問控制規(guī)則，并結合黑白名單屏蔽處理機制，能夠有效防范內部人員泄密、違規(guī)備份、權限濫用等訪問風險。

 

審計追蹤非法行為

系統(tǒng)能夠通過對風險行為進行Syslog、SNMP、郵件、短信等方式的告警，并記錄風險訪問行為日志，便于事后追蹤分析，解決數據庫風險難以追蹤溯源的問題。

 

 

雙機熱備

系統(tǒng)能夠支持基于主備備份和負載分擔運行模式下的雙機部署方式，以應對數據庫多鏈路冗余組網下的部署： 兩臺設備通過心跳網口發(fā)送KeepAlive?；顖笪倪M行主備間探測與切換，并采用會話同步、策略同步機制，保證雙機之間的一致性，保障系統(tǒng)的連續(xù)防護能力； 當數據庫采用集群、多鏈路冗余部署時，系統(tǒng)可以通過多組負載分擔的部署方式，為每一條業(yè)務鏈路提供單獨的保護能力。

 

軟/硬件Bypass

系統(tǒng)實時監(jiān)控系統(tǒng)的運行狀態(tài)，具備硬件斷電Bypass和軟件異常Bypass導通能力，具體包括： 在進程掛死、CPU使用率超限和網卡瞬時流量超限等特定條件下的自動Bypass，能夠有效防止單點失效，保障業(yè)務流量不中斷； 在應急情況下可以手動啟動Bypass，導通網絡通道，避免異常阻斷。

 

多因子認證

系統(tǒng)采用多因子的組合認證方式對數據庫訪問者進行身份鑒別，能夠彌補數據庫的“用戶名+密碼”認證方式安全性的不足，同時滿足合規(guī)要求。 用戶或應用對數據庫進行訪問時，必須經過數據庫防火墻的多重認證，包括但不限于：時間（訪問時間）、來源（數據庫用戶、訪問者主機IP、主機名、主機系統(tǒng)用戶、客戶端應用程序）、行為（訪問對象、操作類型、其他行為特征）。

 

自動學習

系統(tǒng)能夠通過學習期對用戶操作行為特征的提取、分類和整理，形成用戶行為畫像，即時建立每個用戶的訪問行為特征模型。通過該模型，不僅能夠極大地減輕數據庫安全防護策略的配置工作量，而且基于精細化的過濾機制，系統(tǒng)能夠對數據庫用戶的各類行為特征和數據模型進行嚴格匹配，精準識別數據庫賬戶被盜用帶來的攻擊威脅，實現主動防護，提高系統(tǒng)的安全防護能力。

 

異常行為管控

系統(tǒng)能夠實時監(jiān)控數據庫的連接信息、風險狀態(tài)等，并對數據庫的各類用戶行為進行嚴格的監(jiān)控和管理。依據內置的各類數據庫的危險操作行為特征庫，能夠有效地監(jiān)控并攔截數據庫的特權操作、數據盜取、刪庫等內部的越權操作行為。

 

敏感數據

系統(tǒng)通過內置敏感數據識別規(guī)則，能夠識別用戶數據庫中的敏感數據，用戶了解敏感數據的分布情況后針對敏感數據制定訪問控制策略。

 

SQL攻擊檢測

系統(tǒng)內置基于CVE的SQL注入&緩存區(qū)溢出特征庫和數據庫漏洞特征庫，用戶可通過啟用引擎的SQL攻擊策略，對SQL注入或漏洞攻擊行為進行特征分析和風險鑒別，系統(tǒng)能夠有效監(jiān)控并攔截針對數據庫的多種攻擊行為。

 

風險記錄與告警

系統(tǒng)能夠支持對記錄的各類告警日志進行精確查詢。同時用戶可以配置多種方式的日志外發(fā)接口，將告警日志及時推送到第三方監(jiān)控平臺，滿足客戶對突發(fā)事件的即時知情需求。

 

全局對象

系統(tǒng)提供了全局對象特征庫，支持客戶端IP、工具名稱、OS用戶、數據庫用戶、表名、列名、SQL關鍵字、時間范圍等多種全局對象的特征配置與管理。通過自學習的方式提取各類數據庫行為的特征，用戶可以根據實際需要直接選取，方便策略的直接引用，能夠大大降低策略配置的數據準備工作。

 

智能翻譯

系統(tǒng)提供基于SQL關鍵字、表和字段的智能翻譯功能，能夠根據定義的翻譯字典內容，自動將日志中的SQL語句進行轉換，翻譯成業(yè)務語言，便于業(yè)務系統(tǒng)用戶對于風險日志中專業(yè)的SQL語句的理解，了解風險事件產生的業(yè)務操作內容。

 

統(tǒng)計報表分析

系統(tǒng)監(jiān)控自身防護狀態(tài)，生成風險實時報表，能夠直觀了解到各類風險事件的發(fā)生情況，將系統(tǒng)防護日志進行數據化分析的可視化表現。并且提供了豐富的報表模板，包括攻擊行為分布與來源、異常訪問行為分布與來源、阻斷行為分布與來源等，支持自定義報表的統(tǒng)計屬性。通過選用報表模板發(fā)布執(zhí)行報表任務，能夠實現對風險日志及阻斷行為進行各種粒度的報表輸出、統(tǒng)計趨勢展示等。