从大门看守到贴身保镖服务的安全纵深防御

当前各种网络威胁层出不穷,企业的网络安全重要性日益凸显,互联网环境下,万物互联成为大势。传统的网络边界防御已经不足以应对多变复杂的网络环境,安全攻击的不确定性和持续性,让越来越多的企业单位认识到,即使是存储于最核心位置数据库内的数据,也有可能暴露在安全之外。因此,网络防火墙、下一代防火墙等传统安全产品,面对越演越烈的数据库安全态势,已经显得无能为力。新的需求催生新的产品技术,以数据库协议与SQL 词法语法进行解析的技术为基础的数据库防火墙,应运而生。

然而,根据市场调查数据显示,很多用户认为,传统防火墙、下一代防火墙、WAF、堡垒机等传统网络安全产品或多或少包含数据库防护功能,能够解决数据库安全问题。本文笔者打一个形象的比喻,将整个信息安全系统比作一个政府大院,那么传统防火墙、下一代防火墙、WAF、堡垒机、数据库防火墙, 分别可以比喻为“大门”、“传达室”、“门卫”、“大管家”、“保镖” 五个角色。从进入大门开始,各产品的价值体现与数据库防火墙的根本差异,一目了然。

“大门”——传统防火墙

传统防火墙相当于信息系统的“大门”。“大门” 顾名思义,指整个建筑物通向外面的唯一路径,直接起到拦截或放行的作用。但是,大门无法对“进门人”的好坏进行区分,比如对“人员面貌特征”、“携带违禁品”等问题更是无法检查。

传统的防火墙一般使用在网络的出口处,基本原理是根据IP 地址/端口号或协议标识符识别和分类网络流量,并执行相关的策略。所以对于WEB2.0 应用来说,传统防火墙看到的所有基于浏览器的应用程序的网络流量是完全一样的,无法区分各种应用程序,更无法实施策略来区分哪些是不需要的或不适当的程序,对于数据库网络通讯无任何的安全防护能力。

“传达室”——下一代防火墙

下一代防火墙相当于是信息系统的“传达室”。“传达室”负责看门、登记、收发资料和引导来宾等工作,在检查过程中对人员身份证件、面貌特征等进行简单检查,并引导正确的位置,但是人员进入后随意溜达并接近或逗留于核心业务位置,“传达室”就鞭长莫及了。

下一代防火墙同样部署在全网出口处,比起传统防火墙检测广度增加,集成了传统防火墙、IPS、防病毒、防垃圾邮件等诸多功能,可以对上百种应用层的通讯协议进行解析,但所解析的协议都限于标准通讯协议,如FTP、邮件、LDAP、Telnet 等,对一些针对标准协议的攻击行为进行防范;但对于数据库这样的非标准化通讯协议,协议的复杂度很高,当前市场上的主流下一代防火墙产品还未能实现对数据库通讯协议的解析和防护。因此,下一代防火墙自然对数据库安全的防护“ 有心无力”。

“门卫”——WEB应用防火墙(WAF)

WAF相当于是信息系统“门卫 ”。“门卫”是某个建筑物或重要部位的警卫,与“大门”、“ 传达室” 不同,门卫对所把守建筑物内部情况非常了解,对进出人员特征也分辨清晰,一旦有非内部可信人员试图进入,门卫就会细细检查盘问,但针对进入内部后的作案行为便无计可施了。

WAF串行部署在信息系统前端,提升了系统的攻击防御能力,WAF原理主要是对Http协议的解析,并对Http 协议中的传输内容进行分析,依靠正则式和简单规则库可以实现对部分SQL注入行为的阻止,由于WAF的专注程度定位在系统防攻击、防篡改等措施上,对于复杂的SQL注入和数据库攻击行为仅进行匹配,WAF就应接不暇了,并且早在2012年黑客大会就公布了150多种可以绕开WAF实现对数据库的攻击技术。因此不难看出WAF主要重点在于系统防护,针对数据库的安全防护措施,基本属于“蜻蜓点水”。

“大管家”——运维堡垒机

运维堡垒机相当于信息系统的“大管家”,帮助主人集中管理协调信息内办公人员,由于不同的人需要用不同的劳动工具,进行不同的业务操作,因此大管家还安装了摄像头,监督记录大家的工作。大管家也会有难以管控之处,无法更细粒度地控制大家使用工具时都进行了哪些具体操作,或者谁进行了误操作;大管家同样无法防止对方绕过自己偷偷到系统禁地做些手脚,也无法防止内部工作人员做了内应,进行一些不良操作,如果有些开发人员在业务系统中直接种植后门程序,这位“大管家”是看不到的。

运维堡垒机串行部署在运维终端与主机、数据库之间, 通过这种部署方式,可以实现对主机设备和数据库的集中管控,堡垒机可实现运维过程中统一认证、统一授权、统一审计。但堡垒机只能通过录屏的方式进行录像审计,无法更细力度地控制大家在工具内的操作,无法针对数据库管理员误操作的行为进行识别并加以阻止,也无法防止有些开发人员在业务系统中直接种植后门程序,针对大批量访问敏感表并造成信息泄密的行为无能为力。

“保镖”——数据库防火墙

数据库防火墙相当于数据库的“保镖”,“保镖”应拥有侦察判断、安全布防、情报收集、保密措施、危机预防等功能,数据库防火墙正是为数据库行使了保镖的职责,是专业的、主动、实时保护数据库安全的解决方案。

数据库防火墙根据部署位置的不同,防护的重点也有所不同,数据库防火墙部署在运维侧时,可以对内部人员误操作、批量删除或是批量下载数据进行防护,数据库防火墙部署在应用侧时,既能防护来自外部的攻击行为,又能防止内部的非授权操作。

专业的数据库防火墙原理应基于数据库协议精确解析,通过对SQL语法/词法中存在的风险进行精确识别,从而防止外部对数据库漏洞的攻击和SQL注入等问题。并且具有虚拟补丁防护,SQL 注入防护、SQL黑白名单,细粒度权限管控,行为审计、监测分析等核心功能,对外防止数据库被攻击,对内防止高权限用户( DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏等,实现对数据库活动实时监控和灵活告警,帮助用户应对来自内部和外部的数据安全威胁。

信息系统的纵深防御体系应该实现从“大门到保镖”的防护,每种安全产品都有其定位和价值,术业专攻,用户应基于自身需求,整合各类安全产品优势,构建更为安全的信息防护体系。

本文转自d1net(转载)

时间: 2024-10-01 08:32:50

从大门看守到贴身保镖服务的安全纵深防御的相关文章

从看守到贴身保镖服务的安全纵深防御

本文讲的是 :  从看守到贴身保镖服务的安全纵深防御  , [IT168 资讯]当前各种网络威胁层出不穷,企业的网络安全重要性日益凸显,互联网环境下,万物互联成为大势.传统的网络边界防御已经不足以应对多变复杂的网络环境,安全攻击的不确定性和持续性,让越来越多的企业单位认识到,即使是存储于最核心位置数据库内的数据,也有可能暴露在安全之外.因此,网络防火墙.下一代防火墙等传统安全产品,面对越演越烈的数据库安全态势,已经显得无能为力.新的需求催生新的产品技术,以数据库协议与SQL 词法语法进行解析的技

马云唯一贴身保镖:身高1米7来自陈家沟,轻松撂倒摔跤高手

马云保镖李天金马云保镖 李天金"动急则急应,动缓则缓随,虽变化万端,而理为一贯","人不知我,我独知人,英雄所向无敌","本是舍己从人,多误舍近求远, 所谓差之毫厘谬之千里".这是太极之道,也是为人创业之道.马云近年来最爱的太极,也正以一种松沉绵缓 但是绵绵不断的劲道向前推进.杭州西溪龙舌嘴,太极禅苑,教你最正宗的太极拳.这里名师云集,其中有连续数年太极拳全国冠军的李天金亲自授课,他还有一个身份是:马云的安全助理,很多人理解为贴身保镖.马云去纽交

亚信安全:纵深防御落实等级保护服务 自主可控让用户“安心”

在"互联网+"的发展大潮中,创新发展和信息安全保护是一体之两翼,遵循信息系统安全等级保护要求,实现关键系统与设备的自主可控对于维护国家信息主权,降低安全风险有着重要意义.目前,亚信安全通过对云安全.APT治理.移动安全等新兴安全关键技术的自主掌控,立体化的安全纵深防御解决方案,在安全等级保护市场不断拓展. 安全威胁持续精进 等级保护建设亟待推进 如今,我们进入了一个技术创新高速增长的时代,安全威胁的种类和数量不断刷新纪录.亚信安全发布的<2016年信息安全威胁预测报告>中认

文档“贴身保镖” 巧用WPS保护文档

  首先,我们打开一个WPS文档,如图1所示. 图1 接下来我们要对这篇已经完成的文档来进行保护设置,在菜单栏中点击"审阅",在"审阅"中找到"文档保护"按钮,单击鼠标左键.如图2所示: 电脑教程图2 点击"保护文档"按钮,打开"保护文档"对话框,选择"窗体域",设置文档的保护密码,然后点击"确定"即可.特别要注意的是要妥善保管密码,一旦丢失或遗忘,文档将无法恢复可修

联想IT服务向行业纵深精细 —— 联想慧觉连锁线下联盟成立

<企业网D1Net>11月28日(北京)近日,联想牵头成立"联想慧觉连锁线下联盟",这是联想IT服务向零售行业纵深精细耕作的一大步.联想IT管理服务部总经理冀晓东先生在致辞中表示:"IT服务在移动互联技术发展越来越迅速的今天,非常需要行业的精耕细作,以满足更多行业客户的新需求." 移动互联技术的发展带动了网上经济的一片繁荣,而线下连锁实体店却面临着更多竞争压力,这些连锁实体企业如何通过IT来驱动业务的更新换代,通过数字化来使业务获得新的商机?仅凭单个厂商

工控主板在多功能自助服务终端的应用

在经济社会高速发展的今天,人们的生活节奏越来越快,对服务的便捷性.灵活性.移动性.快捷性和安全性的要求越来越高.人们希望随时随地享受贴身的服务.多功能自助服务终端是一种综合自助服务设备,通过工控主板的应用,能充分满足自助服务业 务需求产品特点集各项综合业务于一身,将 现金与银联卡缴费售卡,各项详单及票据查 询打印.各项综合业务办理整合,囊括了目 前所有可实现自助交易的业务功能. 自动售货机.jpg 多功能自助服务终端可在各类上商业场所广泛应用,该系统设备集自助充值.查询.打印于一体,采用液晶屏示

作为业内首家,招商银行如何玩转智能投顾服务?

人工智能和金融的结合目前有多个领域:用人工智能进行量化交易:辅助生成报告.投资意向书:做语义搜索,用于行业研究:以及智能投资顾问.区块链.消费信贷等领域.随着国内经济持续发展,居民财富快速增长,财富管理市场的资产管理规模不断扩大,居民的风险投资和资产配置需求愈加旺盛.Fintech子领域智能投顾(robo-advisors)也因此吸引了行业和用户越来越多的关注. 而作为传统金融机构,招商银行也瞄准线上财富管理的风口,成为第一家推出智能投顾服务--"摩羯智投"的商业银行.国内外智能投顾服

共赢于新生态系统:云服务的当下与未来

本文讲的是共赢于新生态系统:云服务的当下与未来,[IT168 资讯 ]大约八年前,"云计算"作为一种解读IT基础架构与服务模式进化趋势的概念,首次被提出.经过近几年的蓄势.延展.升温,今天,我们终于迎来了云服务时代--曾经高不可攀.浮在空中的云计算终于开始落地生根,与地面上的亿万用户紧密连接在一起.也可以说,在全球IT业同仁的共同努力下,我们终于把"云"拽到地面上来. 在中国,云计算的发展几乎与全球同步.据工信部电信研究所发布的<2014年云服务白皮书>

周杰伦保镖机灵度堪比老鹰打“呼”了才能下班

周杰伦 保镖夏乐:"周董开始打呼噜了没?"(设计对白) 周杰伦(周董)与舞蹈老师雪糕.小麦主持节目<Mr.J频道>,雪糕14日在微博(http://t.sina.com.cn) 曝光周董的贴身保镖,"杰伦保镖平常辛苦守门,要守到夜深人静隐隐约约听到他'呼'声后,才能轮班休息.右边露脸的是保镖老大'夏乐',他是一线艺人的'守护神'." 周董友人说,周董出道10年,7年前开始有外籍贴身保镖,5年前换成现在这批华人.他感谢保镖辛劳,过年都会送超过5000元人民