数据库安全防护解决方案-for yue

数据库安全防护

解决方案

‘由内而外，深度防护’

2010.8

目录

§数据库安全案例

§数据库安全需求

§数据库安全解决方案§数据库安全应用举例

数据库安全曝光案例数据库安全案例

车牌案

安全风险：

1、开发人员直接修改数据库中的数据；

2

、系统外部人员通过非正常手段入侵数据库。

据《武汉晚报》（2009.8.26）报道一名网络工程师变身“黑客”，入侵湖北省交警总队车管系统数据库，大肆为走私车辆办理号牌，一年内非法牟利1500万元。

某通信公司的通信卡系统被集成人员预留了口令，核心数据被修改，导致通信损失达千万元，最后被判刑。某通信公司

安全风险：

1、非正常的手段访问数据库，以用自己预留的身份修改卡号和费用信息；

2、伪装成内部访问行为，不受防火墙、接入和授权限制以及网络安全措施的监控

。

数据库不安全引发的事件

1、移动经营数据事件：

被系统集成人员把连续2年的经营数据删除，导致公司近2年的数据空白；

2、西安医保事件：

系统关键信息表被意外修改，导致全市2周不能使用医保卡，造成社会严重影响事件；

3、珠海市诈骗案例：

政府关键领导的通话记录连续被泄露，犯罪团伙利用话单信息进行诈骗；

1、如何保障数据库安全稳定的运行；

2、如何方便知道数据库里面的活动；

3、恶意的操作和破坏，我怎么防护；

4、不知道谁操作了什么，无法定位责任人；

5、多个数据库怎么监控？

数据安全的困惑，急需解决的问题

…

谁是可信的？

为什么我的数据库不安全呢？

§技术层面

•多应用程序、多用户访问数据库

•不可能在不影响数据库访问的前提下对数据库加锁•漏洞（SQL注入、缓冲区溢出）

§应用层面

•不按时打补丁（Oracle CPU等）

•执行安全策略（默认/共享密码等）

§管理层面

•内部威胁（如程序后门…）

•集成商的实施和管理

内部威胁

§普通用户：

•非法操作和误操作•密码破解

•滥用合法访问权限

§特权用户：

•操作不易被发现

•滥用权限

外部威胁=>内部威胁

§人为因素

§服务外包和分包、管理外

包等所有不受用户控制的

业务

§SaaS和Cloud云计算让威胁

更难控制

数据库安全防护的需求数据库安全的需求

一般情况从保护周边环境开始

一旦他们进入后会…？？

•他们终归是要进来

的…

•高级的伪装是可以穿过防火墙

§…或者在大多数情

况下，他们已经进

入了

•已离职的特权用户

•软件供应商编程人员

•外包人员

我们真正的需求是…

§实时保护

§不管来自哪里，内部或外部

并且…

§不影响性能

§不改变现有IT结构

§实施方便

Sentrigo数据库安全解决方案

入侵防御虚拟补丁

我们的设计理念

§“由内而外”的保护

•更好的效果

•更好的效率

§易于实施的解决方案

•不改变现有的网络和系统架构

•不对客户的现有业务运行造成影响

保护由“内”而生

VS

数据库安全防护解决方案数据库安全防护方案

系统会是多个…

DB —3

DB CRM

HR

信息网站

机构内部环境

后台数据库环境

机构外部环境(DBA 数据库

管理员)企业员工(如人事部)

(通过网络访问)

防火

墙授权

/接入

控制

数据库实时防御部署

方案

DB —3

DB —2

DB —1

CRM

HR

网站信息

机构内部环境后台数据库环境

机构外部环境(DBA 数据库

管理员)

企业员工(如人事部)

车辆信息管理系统

(通过网络访问)

防火

墙

授权

/接入

控制

Server 服务器

传感器

防护系统逻辑部署方案

DB Server

传感器基于WEB 的管理界面进行远端操作

企业内部网络

输出警报

第三方管理工具平台

DB 传感器DB 传感器DB 传感器DB

传感器(软件)

Sensor 传感器安装在需要监控的数据库服务器上(DBMS: Oracle, MS-SQL, Sybase; OS: UNIX, Linux, Windows)

远程防护系统结构部署方案

DB Server

传感器基于WEB 的管理界面进行远端操作

企业内部网络

输出警报

第三方管理工具平台DB 传感器DB 传感器DB 传感器DB 传感器DB

传感器

Sensor 传感器的警报信息在传输过程是加密的，可以在西安集中监控全省的多个数据库；

上海

广州

北京