数据库安全加固系统.pptx

1、,保护核心数据，安全每一比特,张海涛,技术支持部,北京中安比特科技有限公司,目录,CSBIT,第一部分 公司简介,公司的历程,公司的客户,章节过渡,CSBIT,研发团队,服务网络,公司掌握了具有自主知识产权的数据库安全加固核心技术：数据库状态监控 数据库风险扫描 数据库审计 数据库防火墙 数据库透明加密 中国科学院、清华大学、北京理工大学等单位的产学研用基地。,第一部分 公司简介,公司成立于2009年，注册资金1000万，专注于以数据库为核心的数据与业务安全产品的研发与服务。,公司的历程,第一部分 公司简介,研发团队,第一部分 公司简介,服务网络,上海,乌鲁木齐,北京,西安,南京,上海,成都,

2、广州,沈阳,重庆,第一部分 公司简介,公司已为数十个政府和行业提供核心数据及业务安全产品和服务,公司的客户,党政机关：甘肃天水市政府四川双流市政府甘肃省人力资源和社会保障厅公检法：广州检察院云南检察院电力：南方电网东莞市电网中国电力科学研究院央企国企：中国建筑材料集团公司,医疗：总参309医院广东省人民医院韶关市第一人民医院教育：北京理工大学科研：中国特种飞行器某研究所中国电子科技集团某研究所,金融：新疆农信银行军队国防：武警某部队军工企业：兵器集团陕西兵器某所军工川南机械厂航空航天：中国航天科工集团公司中国航空集团进出口总公司,第二部分 安全现状,安全事件,防火墙,章节过渡,CSBIT,ID

3、S/IPS,UTM,WAF,SOC,第二部分 安全现状,安全事件,超过9亿条的数据因为数据库服务器受到侵犯而泄露,Verizon 2010 数据侵犯调查报告,第二部分 安全现状,安全事件,互联网企业泄密事件,第二部分 安全现状,防火墙,防火墙,防火墙无法阻止从内部发起的攻击行为,IP层,TCP/UDP层,应用层,WEB2.0,第二部分 安全现状,IDS/IPS,IPS,IP层,TCP/UDP层,应用层,IDS是单纯的入侵检测，负责记录入侵行为 IPS是入侵防御，可以抵御部分对WEB应用的攻击,WEB2.0,只检测已知协议,针对Web应用深度不够,第二部分 安全现状,UTM,UTM,IP层,TC

4、P/UDP层,应用层,UTM是一种宽泛的防御，集成防火墙，IDS/IPS，VPN，网关杀毒，反垃圾邮件等多种功能于一身,WEB2.0,网络阻塞点,性能瓶颈,具备其他产品瓶颈,第二部分 安全现状,SOC,SOC安全管理平台集成资产管理、风险管理、日志管理、网络管理、安全策略管理、工单管理、知识库管理等多种功能。,安全产品,数据库,应用系统,网络设备,SYSLOG,SNMP,ODBC,API,代 理,功能过多,查询速度过慢,非防御安全产品,管理服务器,第二部分 安全现状,WAF,WAF,IP层,TCP/UDP层,应用层,1.能够阻止部分SQL注入攻击、跨站攻击、网页防篡改2.无法阻止内部对数据库的

5、攻击3.无法完全检测到SQL注入攻击4.无法检测SQL越权攻击,正常：delete from table1 where name=John越权攻击：delete from table1 SQL注入：select*from stock where catalog-no=having 1=1-and location=1,WEB2.0,SQL越权、注入、内部直接连接、文件复制,第二部分 安全现状,数据安全,答案在哪？,从数据源头建立的第一道和最后一道防线 彻底防止SQL注入攻击 抵御针对数据库的越权攻击,第三部分 产品介绍,设计理念,产品功能,章节过渡,CSBIT,规则策略,兼容性,部署方式,第三

6、部分 产品介绍,设计理念,从源头保护数据，建立纵深防护体系,进不来,拿不走、删不掉,看不到,敏感数据,状态监控,风险扫描,数据库审计,加密存储,访问控制,用户分权,第三部分 产品介绍,工作效果,Oracle,Sybase,DB2,MS SQL,应用系统,外部人员,内部人员,直接连接、文件复制,SQL注入、越权攻击,本地代理,第三部分 产品介绍,工作效果,oracle,sybase,DB2,MS SQL,数据加密,应用系统,外部人员,内部人员,允许,禁止,报警,替换,安全策略,状态监控,风险扫描,全程审计,第三部分 产品介绍,产品功能,五大核心功能，构成数据库安全加固系统,数据库安全加固平台,第

7、三部分 产品介绍,产品系列,VS-TDE系列：数据库透明加密、数据库状态监控、数据库风险扫描,VS-DAF系列：数据库审计、数据库防火墙、数据库状态监控、数据库风险扫描,VS-DAF-200,VS-DAF-400,VS-DAF-600,VS-DAF-800,VS-DAF-1000,VS-DAF-1500,VS-DAF-2000,VS-TDE-标准版,VS-TDE-高级版,VS-TDE-企业版,1U设备,2U设备,2U设备,第三部分 产品介绍,VS-DAFDatabase Audit and Firewall,数据库审计 以“第三者”的角度观察和记录网络中对数据库的一切访问行为,1,第三部分 产

8、品介绍,数据库防火墙,2,VS-DAFDatabase Audit and Firewall,第三部分 产品介绍,主体客体授权规则：粗粒度访问控制 IP+APP+LONGIN+TIME OPRATION+TABLE 请求分类规则:自动学习分类知识 delete from table1 delete from table1 where name=john 关键字表达式：高速报告敏感内容 delete from table1 where name=dai 正则表达式：自定义任意规则 统方规则：select count(*)from tableXX where name=asplgroup by d

9、octor,规则系统,2.1,VS-DAFDatabase Audit and Firewall,第三部分 产品介绍,访问行为处理流程,2.2,VS-DAFDatabase Audit and Firewall,静态规则：口令与授权状态,前置例外规则：关键字规则、主体客体授权规则,核心规则：请求分类规则,后置规则：关键字规则、主体客体授权规则,风险/决策,第三部分 产品介绍,三层审计防护,2.3,VS-DAFDatabase Audit and Firewall,DAF与WAF联动审计,第三部分 产品介绍,监控发生在数据库本地的访问；支持黑名单、白名单、灰名单和例外规则；用户角色授权审计；数据

10、库口令审计（弱口令审计和口令周期审计）；自动日志备份；syslog支持；时间服务器支持；支持运维模式；支持邮件报警；。,VS-DAFDatabase Audit and Firewall,特色功能,2.4,第三部分 产品介绍,部署方式,支持4种部署方式,端口镜像（旁路）,串联,代理（探针）,混合模式,优点：对客户网络环境和服务器性能零影响,限制：无法阻断危险或者攻击操作,第三部分 产品介绍,部署方式,优点：可以阻断危险或攻击访问,高性能：对基于数据库的系统性能会有1-5%的延迟,高可用性：具备bypass，双机热备功能,串联,第三部分 产品介绍,部署方式,优点：可以审计应用系统与数据库系统部署

11、在同一台服务器的情况,技术亮点：采用SQL脚本，以存储过程的形式获取数据,代理（探针）,第三部分 产品介绍,VS-DAF 小结,灵活的部署方式 端口镜像（旁路）、串接、代理（探针）支持主流数据库 Oracle,MS Sql Server,DB2,Sybase,Cache，My Sql高性能 每秒高于2万条（中端系统）SQL语句处理能力大存储 十亿级记录存储能力,第三部分 产品介绍,数据库透明加密 防止数据存储介质丢失、DBA权限泄漏、直接复制文件等情况造成的数据泄密,3,VS-TDETransparent Database Encryption,第三部分 产品介绍,VS-TDETranspar

12、ent Database Encryption,加密原理,3.1,第三部分 产品介绍,部署方式,第三部分 产品介绍,产品功能,数据库状态监控 实时监控数据库运行状态，在状态异常时进行预警，防止业务瘫痪，保障业务系统的可用性,4,用户活动状况,数据库内存状态,文件系统状态,查询响应性能,共享内存,命中率,回滚段,表内存,缓冲区,连接时间,连接信息,用户个数,数据文件性能,磁盘访问,and more,索引效率,查询统计,查询缓冲命中率,其他信息,第三部分 产品介绍,产品功能,数据库风险扫描 即时发现各种管理和系统的风险、帮助修复漏洞,5,第三部分 产品介绍,部署方式,第三部分 产品介绍,兼容性,第

13、三部分 产品介绍,威士数据库安全加固系统 小结,立体、纵深、完整的防护体系 运行环境安全、访问入口安全、访问过程监控、数据加密稳定性 数十行业，近千用户的成功部署与应用高扩展性 开放性架构，方便添加新的功能、支持新的数据库、三层审计防护合规性 遵从国内的相关法律法规和评测标准优势技术 本地审计，密文索引，学习模式，虚拟补丁，高性能，高兼容性,第三部分 产品介绍,合规性,满足相关法律法规，快速通过相关测评与检查公安部等级保护计算机信息系统安全保护等级划分准则 GB 17859-1999数据库管理系统安全技术要求GB/T 20273-2006保密局分级保护涉及国家秘密的信息系统分级保护技术要求BM

14、B17-2006涉及国家秘密的信息系统分级保护管理规范BMB20-2007行业法律法规塞班斯法案、电力SG168、中国人民解放军计算机信息系统安全保密规定,第四部分 案例分享,航天工业某研究所,某医院,章节过渡,CSBIT,第四部分 案例分享,航天工业某研究所,需求保护办公和生产数据库保护军品敏感数据防泄密实施困难十余个异构数据库多个local部署系统实施方式防火墙防护核心生产数据库加密保护军品数据审计办公、打印等数据库产品价值生产和办公数据得到有效监控和保护迅速通过等保评测,数据库安全加固平台,数据库安全加固平台,窃取、宕机、篡改、删除,第四部分 案例分享,某医院,需求防统方：医患矛盾防篡改：计费系统防泄密：重要客户个人身份信息、患者隐私信息困难老旧系统众多、协议复杂实施方式防火墙防护药库、财务数据库加密保护敏感用户资料数据审计OA等数据库产品价值提升高端客户和特殊病人的服务质量 减少投诉、持续改善医患关系满足相关政策要求,数据库安全加固平台,统方、窃取患者资料、宕机、篡改、删除、非法挂号,谢谢!,