随着政府部门、金融机构、企事业单位、商业组织等对重要数据库业务系统和数据库应用系统依赖程度的日益增强,数据库安全及数据安全的问题也受到普遍关注。由于信息化建设、业务增长、系统上云等因素,在各系统中的数据库服务器也不断增加,对数据库的管理的方式和通道也日趋复杂多样。在如此繁杂的情况下,引发了多种对数据库的各类攻击行为和安全隐患。如何解决保障核心数据,提供稳定安全的访问过程亟待解决。新华三技术有限公司自主研发了H3C SecPath DF2000系列数据库安全防护系统,基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。通过SQL协议分析,根据预定义的禁止和许可策略让合法的SQL操作通过,阻断非法违规操作,形成数据库的外围防御圈,适用于等级保护、企业内控、SOX、PCI、企业内控等信息安全规范,全面保障数据库的完整性、保密性和可用性。
H3C SecPath DF2000系列数据库安全防护系统产品包括DF2010、DF2020、DF2030三个型号,广泛适用于“政府、财政、教育、能源、工商、社保、医疗、国土、金融、运营商、企业”等所有涉及数据库应用的各个行业。
H3C SecPath DF2000数据库安全防护系统访问控制基于主体、客体和行为三元组进行设置,每个类别之下再细分多种维度:其中主体颗粒度可细化至用户、IP、主机、程序、时间、频次等;客体颗粒度可达针对表、列、行数、敏感数据等;行为颗粒度可达操作、特权操作、SQL语句、异常、存储过程等;策略组合种类多达数百种,能够精准实现各种数据级的访问控制。
H3C SecPath DF2000数据库安全防护系统通过分析SQL语法来识别SQL注入攻击的不同特征,同时构建SQL注入特征库,对外来SQL注入攻击进行特征库匹配。同时基于华三独有的SQL序列智能检测技术,快速有效的对SQL注入攻击进行拦截阻断。支持sqlmap攻击防御。
基于传统数据库补丁升级带来的业务影响,H3C SecPath DF2000数据库安全防护系统有针对性的开发虚拟补丁功能。通过内置缓冲区溢出、拒绝服务等多种数据库虚拟补丁规则,涵盖数十种数据库类型,在数据库外层构建漏洞攻击的专项防护,有效规避数据库被攻击的风险。
H3C SecPath DF2000数据库安全防护系统对识别的风险访问行为记录高风险告警日志,并进行阻断。告警信息根据匹配的策略进行分类后统计汇总。对于系统产生的误报警,可以分别进行处理,提高防护策略的精确性,支持告警日志外发:SYSLOG、SNMP。
H3C SecPath DF2000数据库安全防护系统能够对访问数据库的行为进行详细的特征识别,包括:数据库用户名、源应用程序名、IP地址、请求的数据库、表、执行的语句,风险等级等信息。并提供灵活的查询分析功能。
1、基于软/硬件实现的Bypass机制:产品采用转发包模块与防火墙模块独立的设计理念,当防火墙模块出现异常故障后,数据转发包模块仍然正常工作,完全不影响正常的业务流程。同时支持基于硬件Bypass功能,可防止设备宕机时出现单点故障,保证业务稳定运行。
2、基于路由模式实现的Bypass机制:在路由模式下,基于动态路由环境和策略路由配置,本产品支持在宕机、断网等极端情况下的,业务数据直接跳过防火墙进行下一跳的访问机制,可充分保障业务的连续可用。
3、支持双机、多机等冗余和负载均衡机制:产品支持双机主备和双机主主部署,可高效融入用户的业务网络拓扑。两台设备基于HA心跳线或网络链路冗余机制不停的在设备间进行探测,当设备或网络出现异常时能快速进行切换。
不仅支持主流的数据库,如Oracle、SQL Server、mySQL、DB2、informix、sybase;而且支持多种国产数据库和专业的数据库,完全符合不同行业不同业务场景下的数据安全防护。
H3C SecPath DF2000数据库安全防护系统采用先进的技术架构和分析算法,最高处理性能实测超过240K SQL/s,支持并发连接会话数超过15万条;日志检索速度1亿记录/min,同时支持带通配符模糊检索。日志存储能力为40亿-160亿条SQL/TB,可以针对访问日志、拦截日志、报警日志等信息进行大规模存储。
H3C SecPath DF2000数据库安全防护系统支持智能学习技术辅助人工策略制定,通过对一段时间内的正常访问行为进行学习之后,自动生成用户访问的特征模型,并基于用户特征模型设立基线规则,可大大提高风险识别能力并减少误报误阻,很大程度的避免对于业务的影响。
H3C SecPath DF2000数据库安全防护系统支持数据库访问审计,能够对访问数据库的行为进行详细的特征识别,包括:数据库用户名、源应用程序名、IP地址、请求的数据库、表、执行的语句,风险等级等信息。并提供灵活的查询分析功能。
H3C SecPath DF2000支持采集数据库服务器的直接相关信息,主要包含两类,一类是相对固定的硬件和操作系统信息,包括CPU型号、核心数、内存、硬盘、网卡、操作系统版本等;另一类是运行监控信息,包括进程服务、应用程序名、运行的用户和用户组、固定打开的句柄和端口信息。
H3C SecPath DF2000以数据资源为中心,对业务应用进行控制。支持自定义规则策略配置及管理,可对预设条件进行阻断。预设条件包括访问的时间、执行时长、访问次数、访问客户端IP、客户端操作系统主机名、MAC地址、客户端操作系统用户名、数据库用户名、数据库实例、表、列、存储过程等,操作类型包括DML、DDL、DCL、SQL语句、SQL字符串、SQL语句、返回行数、敏感数据状态、关联表个数、响应状态等。
H3C SecPath DF2000在资源访问控制基础上,可针对表字段进行白名单管理和对数据指定字段内容进行过滤,匹配规则管理,实现数据列控制和数据行控制。
H3C SecPath DF2000动态脱敏系统支持包括用户名、IP、主机名等细颗粒度的访问控制,提供指定用户类型对应指定策略的定向动态脱敏。对于受控用户对于数据库进行修改、删除等高危动作的阻断功能,在数据出口提供基于数据敏感等级、权限等策略的脱敏能力。
H3C SecPath DF2000静态脱敏内置丰富的敏感数据发现规则,支持基于字段名、字段内容匹配、以及复合发现规则定义和查询。支持基于用户自定义敏感数据发现规则,实现对于目标数据源的敏感数据自动发现和标识。
表1-1 H3C SecPath DF2000 数据库安全防护系统产品规格
属性 | DF2010 | DF2020 | DF2030 | |
数据库协议支持 | Oracle、mysql、sqlserver、INFORMIX、Postgresql、Gbase、hive、达梦、金仓、神舟通用、cache、Teradate、DB2、GaussDB | |||
资产管理 | 资产配置 | 支持数据库资产的添加、修改、删除 | ||
基础设置 | 支持不同应用模式的部署方式:桥接模式、代理网关模式 | |||
支持Oracle的RAC模式部署配置 | ||||
高级设置 | 支持高级防护设置:开启或关闭双向审计、开启或关闭模糊化日志 | |||
策略防护 | 策略设置-基本设置 | 支持根据资产类型启用或关闭不同类型策略:客户端语句过滤白名单、自定义策略、智能防护基线策略、虚拟补丁策略 | ||
策略设置-全局设置 | 预置策略对象集合用于策略条件使用,支持且不限于:资产客户端IP集、资产客户端集、操作系统用户集、操作系统主机集、数据库用户集、表组集、数据库列集、数据库Schema集、敏感数据组集、查询组、用户组集、应用客户端ip集、应用用户集、应用用户组集、时间组集等 | |||
支持全局对象的添加和删除操作 | ||||
客户端语句过滤白名单 | 支持客户端语句过滤白名单(客户端:PLSQL Developer、SQL Developer、SQLPlus、Navicat、SQL Server Management Studio、Console),白名单中的语句执行不产生日志,支持用户自添加、编辑、删除 | |||
自定义策略 | 内置防护策略,包括Oracle、mysql、sqlserver、DB2、达梦数据库的防护策略 | |||
内置防护策略,包括但不限于SQL注入类、撞库,拖库,刷库等策略 | ||||
支持自定义策略的添加、修改、删除、上下移、导出导入 | ||||
支持自定义策略多条件灵活设定,包括访问的资产客户端IP、主机名、系统用户名、数据库用户、数据库用户组、资产客户端、MAC地址、应用客户端IP、应用用户组、时间组、应用用户、目标表、数据库Schema、影响行数、关联表个数、字段、表组、敏感数据判断、访问次数、执行时长、请求状态、存储过程、操作命令、特权操作、查询组、SQL字符串、SQL异常、操作语句、SQL十六进制序列、执行结果关键字、时间等字段 | ||||
支持SQL注入特征识别并有效阻断 | ||||
支持自定义策略的通过、阻断、不同告警等级的设定 | ||||
智能防护配置 | 支持学习状态控制设置:启动、停止、用户名关联ip | |||
支持学习内容的信息展示,包含基础信息、基本操作信息、其他操作信息,展示内容包含数据库Schema、源ip、目标数据库 、资产客户端、操作系统主机名、操作系统用户名、操作与对象、查询组、特权操作等 | ||||
支持展示学习用户列表展示,支持对学习特征内容的自定义添加、删除 | ||||
支持对学习内容生成基线策略,并能够对基线进行自定义配置;支持基线版本的管理:生成、删除 | ||||
支持对偏离行为基线行为的阻断、通过,告警风险等级的策略配置 | ||||
虚拟补丁 | 支持虚拟补丁防护,内置多种数据库漏洞补丁规则,支持缓冲区溢出和SQL注入等攻击类型的漏洞检测规则,对外来攻击进行识别并有效阻断支持,Oracle数据库漏洞数量不低于500个漏洞。类型包含:Oracle、Mysql、SQLserver、DB2等数据库 | |||
支持内置虚拟补丁策略的编辑、删除、启禁用功能 | ||||
支持虚拟补丁例外规则的查看与删除操作 | ||||
日志检索 | 实时日志与离线检索 | 支持日志内容能够详尽的显示访问行为发生的具体特征,包括资产名称、数据库、数据库用户、数据库IP、资产客户端、资产客户端IP、资产客户端端口、数据库MAC、资产客户端MAC、操作类型、操作对象、执行时长、动作、记录方式、风险等级、是否敏感、影响/返回行数、捕获时间、主机名、系统用户名、响应状态、应用客户端IP、应用用户、应用URL、匹配的策略、SQL内容、SQL结果、SQL模式、响应状态等 | ||
支持根据日志具体特征、策略、风险等级、时间等进行条件检索;支持通过资产信息、目标信息、访问信息等进行高级检索 | ||||
支持检索结果的导出包含格式PDF、EXCEL、WORD及支持文件密码打开访问控制 | ||||
支持日志会话回放功能,还原用户的访问行为 | ||||
风险管控 | 风险管控-风险管理 | 支持以资产和时间(年、月、日、时、分)的查询方式进行告警日志汇总显示和告警日志查询 | ||
支持根据客户不同业务情况对数据库特征攻击告警信息进行自定义处理,包括加入基线、加入虚拟补丁规则例外等 | ||||
风险管控-风险发送 | 支持对不同等级、不同资产的风险告警告警外发,告警类型包括:FTP、Email、Syslog、SNMP。 | |||
支持对告警类型:FTP、Email、Syslog、SNMP进行详细配置 | ||||
报表分析 | 报表配置与查看 | 支持制作不同维度的报表,包括视图、服务器分析、来源分析、数据访问模式、特权操作、其他视图、基于时间的分析等报表类型;支持配置报表的编辑与删除 | ||
支持手动生成报表;支持定时生成报表,定时发送报表邮件等功能配置 | ||||
支持不同类型的报表下载,输出格式为:excel、pdf、word,支持下载文件安全口令访问机制 | ||||
设备管理 | 产品信息 | 支持产品基本信息显示与操作,包括:产品名称、系统版本、系统时间、系统授权、开机时间、生产厂商、服务电话、厂商信息 | ||
时间配置 | 支持系统时间修改和实时刷新;支持主、备服务器的时间同步配置 | |||
网卡配置 | 支持对网卡进行设置,包括网口名称、ipv4/ipv6地址、默认网关等; | |||
支持桥接部署模式接口设置 | ||||
设备维护 | 支持设备重启与关闭操作 | |||
升级恢复 | 支持手动导入升级文件对系统进行升级 | |||
支持系统恢复出厂设置 | ||||
高可用配置 | 支持设备双机热备部署(主主、主备) | |||
支持设备负载均衡部署 | ||||
支持软件bypass,设备运行时软件层面出现异常,自动透传数据库访问流量,防止单点故障 | ||||
支持硬件bypass,设备断电或宕机时,自动透传数据库访问流量,防止单点故障。 | ||||
服务配置 | 支持DNS服务器配置 | |||
支持WEB服务器访问配置 | ||||
支持SSH端口访问权限配置 | ||||
日志管理 | 日志配置 | 支持多台设备日志集中管理 | ||
支持日志保存时间设定(最多保存一年)和删除日志操作 | ||||
备份还原 | 支持自动备份、手动备份(增量备份、全部备份)、远程备份(FTP)三种备份方式 | |||
支持备份日志的详细记录,包括备份时间、备份内容、备份大小、备份方式等信息展示 | ||||
支持备份日志的上传和还原操作 | ||||
用户管理 | 角色管理 | 支持用户角色创建,编辑和删除 | ||
支持为用户角色分配权限 | ||||
账号管理 | 支持用户账号创建,编辑和删除 | |||
支持用户账号的导入,删除和初始化密码功能 | ||||
账号审核 | 支持管理员对用户的手动审核与自动审核功能 | |||
安全配置 | 支持用户登录安全设置,包括安全管理方式、动态验证码、空闲超时登出和登录次数失败锁定限制等功能 | |||
支持账号密码安全设置,可对密码长度和密码复杂度进行设置 | ||||
操作审计 | 操作审计 | 支持通过账号、使用人、IP地址、关键字和时间等条件进行操作记录的查询 | ||
支持对系统管理员、安全管理员和普通用户的操作行为审计,并可以对记录进行详情查看 |
H3C SecPath DF2000系列数据库审计系统是新华三技术有限公司自主开发的产品,用户可以根据实际需求按照型号进行选购。
表1-1 选购一览表
主机 | 描述 | 备注 |
H3C SecPath DF2010 | H3C SecPath DF2010数据库安全防护系统 | 必配 |
H3C SecPath DF2020 | H3C SecPath DF2020数据库安全防护系统 | 必配 |
H3C SecPath DF2030 | H3C SecPath DF2030数据库安全防护系统 | 必配 |
表1-2 选购一览表
配件 | 描述 | 备注 |
扩展插卡 | H3C SecPath IPC 4端口千兆以太网电接口(RJ45)+4端口千兆以太网光接口(SFP)模块 | 选配 |
扩展插卡 | H3C SecPath IPC 8端口千兆以太网电接口模块(RJ45) | 选配 |
扩展插卡 | H3C SecPath IPC 8端口千兆以太网光接口模块(SFP) | 选配 |
扩展插卡 | H3C SecPath IPC 4端口万兆以太网光接口模块(SFP+) | 选配 |
扩展电源 | H3C 350W 交流电源模块 | 选配 |