数据库安全加固系统
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.2 访问行为处理流程
第三部分
产品介绍
S Q L流量
人员
前置例
外规则
:
关键字
规则、
主体客
体授权
规则
核心 规则 : 请求 分类 规则
后置 规则 : 关键字 规则、 主体客 体授权 规则
数据库服务器
部署方式
支持3种部署方式 端口镜像(旁路) 串联 代理(探针)
满足任意场景的部署
第三部分
产品介绍
部署方式
串联
第三部分
产品介绍
1.Bypass 2.双机热备
部署方式
代理(探针)
第三部分
产品介绍
1.SQL脚本 2.多种探针
VS-DAF 小结
灵活的部署方式
端口镜像(旁路)、串接、代理(探针)
支持主流数据库
Oracle, MS Sql Server, DB2, Sybase, Cache,My Sql
安全现状
答案在哪?
第三部分 产品介绍
CSBIT
设计理念
从源头保护数据,建立纵深防护体系
第三部分
产品介绍
进不来 拿不走 看不到
工作效果
内部人员
直接连接、文件复制
外部人员
应用系统
SQL注入、越权攻击
第三部分
产品介绍
工作效果
第三部分
产品介绍
内部人员
外部人员
应用系统
安全策略
允许 禁止 报警 替换
状态监控 风险扫描
安全现状
越权攻击: delete from table1
正常: select * from table1 where catalog-no = '1' and location = 1
SQL注入: select * from table1 where catalog-no = '' or 1=1 -- '
1U设备
VS-TDE系列
VS-TDE-标准版 VS-TDE-高级版 VS-TDE-企业版
2U设备
2U设备
VS-DAF
Database Audit and Firewall
第三部分
产品介绍
1 数据库审计
以“第三者”的角度观察、记录网络中对数据库的访问行为,并识别访问风险
主机 桌面
网络 数据库
抓包 协议分析 会话分析
梦幻西游
约1.4GB(木马盗取)
账号、邮箱、明文密码、角色名称、所在 服务器、最后登录时间、最后登录IP
新浪微博
账号数量未知,疑似文件1个
邮箱、明文密码
麒麟网
9,072,966个账号
账号、明文密码
某婚恋网站 5,261,302个账号
账号、明文密码
如家快捷酒店
客人入住信息
安全产品
第二部分
安全现状
WEB2.0 应用层
性能瓶颈
SOC
第二部分
安全现状
SOC安全管理平台集成资产管理、风险管理、日志管理、网络管理、安全策 略管理、工单管理、知识库管理等多种功能。
管理服务器
SYSLOG
代
SNMP
理
ODBC
API
安全产品 数据库 应用系统 网络设备
功能过多 查询速度过慢 非防御安全产品
WAF
第二部分
正常: delete from table1 where name = ‘John’
公司掌握了自主知识产权的数据库与应用安 全加固核心技术:
数据库状态监控 数据库风险扫描 数据库审计 应用安全审计 数据库防火墙 数据库透明加密 公司目前是中国科学院、清华大学、北京理 工大学等单位的产学研用基地。
研发团队
本科 11人
博导、 教授 3人 博士3人
高级职称 5人
发现SQL注入或缓 冲区溢出等漏洞, 对该漏洞进行防御
VS-DAF
Database Audit and Firewall
2.1 规则系统
第三部分
产品介绍
主体客体授权规则:粗粒度访问控制 IP+APP+LONGIN+TIME OPRATION + TABLE
请求分类规则: 自动学习分类知识 delete from table1 delete from table1 where name = ‘john’
完整回放从HTTP建立开始到结 束的所有会话
VS-WAA
Web Application Audit
4.1 三层审计
VS-WAA
联动审计
VS-DAF
第三部分
产品介绍
产品功能
第三部分
产品介绍
5 数据库状态监控
实时监控数据库运行状态,在状态异常时进行预警,防止业务瘫痪,保障 业务系统的可用性
用户活动状况 连接时间 用户个数 连接信息
and location = 1
SQL越权、注入、内部直接连接、文件复制
WEB2.0
应用层 TCP/UDP层
IP层
WAF
1. 能够阻止部分SQL注 入攻击、跨站攻击、网页 防篡改 2. 无法阻止内部对数据库 的攻击 3. 无法完全检测到SQL注 入攻击 4. 无法检测SQL越权攻击
数据安全
第二部分
操作系统 相关风险
兼容性
第三部分
产品介绍
功能模块 操作系统平台
数据库平台
数据库透明加密 WINDOW/LINUX/UNIX Oracle、Sql Server、Sybase、DB2*
数据库状态监控 WINDOW/LINUX/UNIX Oracle、Sql Server、Sybase、Mysql、DB2
数据加密 本地监控
产品功能
六大核心功能,构成数据库与应用安全加固系统
第三部分
产品介绍
VS-WAA系列 联动
VS-DAF系列
VS-TDE系列
产品系列
第三部分
产品介绍
VS-DAF&VS-WAA系列
VS-DAF-200 VS-DAF-400 VS-DAF-600 VS-DAF-800 VS-DAF-1000 VS-DAF-1500 VS-DAF-2000
硕士15人
第一部分
公司简介
服务网络
第一部分
公司简介
上海
典型客户
第一部分
公司简介
政府: 甘肃天水市政府 四川双流市政府 甘肃省人力资源和社会保障厅 广州检察院 云南检察院 能源电力: 南方电网东莞市电网 中国电力科学研究院 大型企业: 中国建筑材料集团公司
医疗: 总参309医院 广东省人民医院 韶关市第一人民医院 教育: 北京理工大学 科研: 中国特种飞行器某研究所 中国电子科技集团某研究所
高性能
每秒高于2万条(中端系统)SQL语句处理能力
大存储
十亿级记录存储能力
第三部分
产品介绍
VS-TDE
Transparent Database Encryption
第三部分
产品介绍
3 数据库透明加密
防止数据存储介质丢失、DBA权限泄漏、直接复制文件等情况造成的数据泄密
字段加密
有选择性的对用户最 重要、最敏感的数据 进行字段级别的加密
第二部分
安全现状
WEB2.0 应用层
TCP/UDP层 IP层
针对Web应用深度不够 只检测已知协议 IPS
UTM
UTM是一种宽泛的防御,集成防火墙,IDS/IPS, VPN,网关杀毒,反垃圾邮件等多种功能于一身
第二部分
安全现状
WEB2.0 应用层
TCP/UDP层 IP层
具备其他产品瓶颈
网络阻塞点
UTM
3.2 加密原理
第三部分
产品介绍
插入、修改记录: 通过触发器检查ACL、执行 相应操作。
读取记录: 1、密文索引根据ACL判断
返回记录集大小; 2、字段函数检查ACL、解
密或者返回空。
VS-TDE
Transparent Database Encryption
3.3 密文索引原理
第三部分
产品介绍
建立基于B+树的密文存储结构 每个节点加密存储。
TCP/UDP层 IP层
UTM FW
边界防护
WAF IPS
应用防护
数据库防护
SOC 安全管理
防火墙
防火墙无法阻止从内部发起的攻击行为
WEB2.0 应用层
TCP/UDP层 IP层
防火墙
第二部分
安全现状
检测网络层攻击 IP地址、端口等 对Web层无防护
IDS/IPS
IDS是单纯的入侵检测,负责记录入侵行为 IPS是入侵防御,可以抵御部分对WEB应用的攻击
学习归类 记录 攻击检测 规则定制 越权访问检测
告警 回放 检索 报表
VS-DAF
Database Audit and Firewall
2 数据库防火墙
防火墙介于数据库 服务器和应用服务 器之间,屏蔽直接 访问的通道
根据规则策略的设 定,对高危的SQL 访问语句与行为进 行阻断
第三部分
产品介绍
对数据库的访问, 必须经过防火墙的 细粒度访问控制
威士数据库安全加固系统 小结
第三部分
产品介绍
立体、纵深、完整的防护体系
运行环境安全、访问入口安全、访问过程监控、数据加密
数据库内存状态 共享内存 命中率 回滚段 表内存 缓冲区
文件系统状态 数据文件性能 磁盘访问
and more
查询响应性能
索引效率 查询统计 查询缓冲命中率 其他信息
产品功能
6 数据库风险扫描
全面发现各种管理和系统的风险、帮助修复漏洞
第三部分
产品介绍
弱口令检 查
软件漏洞 扫描
权限分配 风险
数据库配 置风险
金融: 新疆农信银行 军队军工: 武警某部队 兵器集团陕西兵器某所 军工川南机械厂 航空航天: 中国航天科工集团公司 中国航空集团进出口总公司
第二部分 安全现状
CSBIT
安全事件
超过9亿条的数据因为数据库服务器受到侵犯而泄露
第二部分
安全现状
Verizon 2010 数据侵犯调查报告
安全事件
第二部分
安全现状
企业名称 泄露账号数量
泄露信息
CSDN
6,428,632个账号
账号、明文密码、电子邮件
多玩
8,305,005个账号
账号、MD5加密密码、部分明文密码、电 子邮件、多玩昵称
178.com
1,883,487个账号,仍不断增加
账号、MD5加密密码、部分明文密码、电 子邮件、178昵称(178账户通用NGA)
3.5 特色功能
第三部分
产品介绍
对DBA用户,如果没有DSA授予其密文访问权限,仍然无法看 到密文数据
使用DBA修改了某个用户的密码,也无法使用新密码访问密文 数据
硬件设备:日志信息和加密密码备份于硬件中 减轻数据库负担 Leabharlann Baidu增加安全性,防止不解密
部署方式
第三部分
产品介绍
路由可达即可
VS-WAA
多关键字:高速报告敏感内容 delete from table1 where name = ‘dai’
正则表达式:自定义任意规则 统方规则:select count(*) from tableXX where name =‘aspl’group
by doctor
VS-DAF
Database Audit and Firewall
威士数据库与应用安全加固系统
VisualSec Database & Application Security Enforcement System
目录
第一部分 第二部分 第三部分 第四部分
公司简介 安全现状 产品介绍 案例分享
CSBIT
第一部分 公司简介
CSBIT
公司的历程
第一部分
公司简介
中安比特成立于2009年,注册资金1000万。公司专注于数据库安全的研 究,提供数据库与应用安全的产品和解决方案。
访问控制
对加密后的数据进行 独立访问授权,限制 DBA权限
密文索引
采用自主专利的密文 索引技术,避免全表 解密,提高检索效率
VS-TDE
Transparent Database Encryption
3.1 加密效果
第三部分
产品介绍
VS-TDE
Transparent Database Encryption
天涯
9,695,513个账号(预计超过4000万 数据)
账号、明文密码、电子邮件
人人网
4,768,600个账号
明文密码、电子邮件
UUU9.com 7,513,773个账号
账号、MD5加密密码、部分明文密码、电 子邮件、U9昵称
网易土木在线 约4.3GB,137个文件
账号、邮箱、MD5密码、其他相关数据
数据库风险监控 WINDOW/LINUX/UNIX Oracle、Sql Server、Sybase、Mysql、DB2*
数据库防火墙 WINDOW/LINUX/UNIX Oracle、Sql Server、Sybase、Mysql、DB2、Cache
数据库审计
WINDOW/LINUX/UNIX Oracle、Sql Server、Sybase、Mysql、DB2、Cache
Web Application Audit
第三部分
产品介绍
4 Web应用审计
对Web应用系统提供实时监控、自动告警、事后追溯的全面功能
翻译和识别
规则定制
会话回放
系统提供访问模式的识别和分 类,并将访问翻译为可读性高的 文字,方便客户直观的判断问题
产品提供细粒度的自定义规则体 系,方便用户根据实际情况定制 规则
VS-TDE
Transparent Database Encryption
3.4 密钥体系
• 主密钥:对称密钥,用于保护 其它出卡工作密钥。
• 主密钥备份。
第三部分
产品介绍
• 工作密钥:对称密钥,用于加 密解密字段。
• 工作密钥备份:由主密钥加密 工作密钥,进行备份。
VS-TDE
Transparent Database Encryption
第三部分
产品介绍
S Q L流量
人员
前置例
外规则
:
关键字
规则、
主体客
体授权
规则
核心 规则 : 请求 分类 规则
后置 规则 : 关键字 规则、 主体客 体授权 规则
数据库服务器
部署方式
支持3种部署方式 端口镜像(旁路) 串联 代理(探针)
满足任意场景的部署
第三部分
产品介绍
部署方式
串联
第三部分
产品介绍
1.Bypass 2.双机热备
部署方式
代理(探针)
第三部分
产品介绍
1.SQL脚本 2.多种探针
VS-DAF 小结
灵活的部署方式
端口镜像(旁路)、串接、代理(探针)
支持主流数据库
Oracle, MS Sql Server, DB2, Sybase, Cache,My Sql
安全现状
答案在哪?
第三部分 产品介绍
CSBIT
设计理念
从源头保护数据,建立纵深防护体系
第三部分
产品介绍
进不来 拿不走 看不到
工作效果
内部人员
直接连接、文件复制
外部人员
应用系统
SQL注入、越权攻击
第三部分
产品介绍
工作效果
第三部分
产品介绍
内部人员
外部人员
应用系统
安全策略
允许 禁止 报警 替换
状态监控 风险扫描
安全现状
越权攻击: delete from table1
正常: select * from table1 where catalog-no = '1' and location = 1
SQL注入: select * from table1 where catalog-no = '' or 1=1 -- '
1U设备
VS-TDE系列
VS-TDE-标准版 VS-TDE-高级版 VS-TDE-企业版
2U设备
2U设备
VS-DAF
Database Audit and Firewall
第三部分
产品介绍
1 数据库审计
以“第三者”的角度观察、记录网络中对数据库的访问行为,并识别访问风险
主机 桌面
网络 数据库
抓包 协议分析 会话分析
梦幻西游
约1.4GB(木马盗取)
账号、邮箱、明文密码、角色名称、所在 服务器、最后登录时间、最后登录IP
新浪微博
账号数量未知,疑似文件1个
邮箱、明文密码
麒麟网
9,072,966个账号
账号、明文密码
某婚恋网站 5,261,302个账号
账号、明文密码
如家快捷酒店
客人入住信息
安全产品
第二部分
安全现状
WEB2.0 应用层
性能瓶颈
SOC
第二部分
安全现状
SOC安全管理平台集成资产管理、风险管理、日志管理、网络管理、安全策 略管理、工单管理、知识库管理等多种功能。
管理服务器
SYSLOG
代
SNMP
理
ODBC
API
安全产品 数据库 应用系统 网络设备
功能过多 查询速度过慢 非防御安全产品
WAF
第二部分
正常: delete from table1 where name = ‘John’
公司掌握了自主知识产权的数据库与应用安 全加固核心技术:
数据库状态监控 数据库风险扫描 数据库审计 应用安全审计 数据库防火墙 数据库透明加密 公司目前是中国科学院、清华大学、北京理 工大学等单位的产学研用基地。
研发团队
本科 11人
博导、 教授 3人 博士3人
高级职称 5人
发现SQL注入或缓 冲区溢出等漏洞, 对该漏洞进行防御
VS-DAF
Database Audit and Firewall
2.1 规则系统
第三部分
产品介绍
主体客体授权规则:粗粒度访问控制 IP+APP+LONGIN+TIME OPRATION + TABLE
请求分类规则: 自动学习分类知识 delete from table1 delete from table1 where name = ‘john’
完整回放从HTTP建立开始到结 束的所有会话
VS-WAA
Web Application Audit
4.1 三层审计
VS-WAA
联动审计
VS-DAF
第三部分
产品介绍
产品功能
第三部分
产品介绍
5 数据库状态监控
实时监控数据库运行状态,在状态异常时进行预警,防止业务瘫痪,保障 业务系统的可用性
用户活动状况 连接时间 用户个数 连接信息
and location = 1
SQL越权、注入、内部直接连接、文件复制
WEB2.0
应用层 TCP/UDP层
IP层
WAF
1. 能够阻止部分SQL注 入攻击、跨站攻击、网页 防篡改 2. 无法阻止内部对数据库 的攻击 3. 无法完全检测到SQL注 入攻击 4. 无法检测SQL越权攻击
数据安全
第二部分
操作系统 相关风险
兼容性
第三部分
产品介绍
功能模块 操作系统平台
数据库平台
数据库透明加密 WINDOW/LINUX/UNIX Oracle、Sql Server、Sybase、DB2*
数据库状态监控 WINDOW/LINUX/UNIX Oracle、Sql Server、Sybase、Mysql、DB2
数据加密 本地监控
产品功能
六大核心功能,构成数据库与应用安全加固系统
第三部分
产品介绍
VS-WAA系列 联动
VS-DAF系列
VS-TDE系列
产品系列
第三部分
产品介绍
VS-DAF&VS-WAA系列
VS-DAF-200 VS-DAF-400 VS-DAF-600 VS-DAF-800 VS-DAF-1000 VS-DAF-1500 VS-DAF-2000
硕士15人
第一部分
公司简介
服务网络
第一部分
公司简介
上海
典型客户
第一部分
公司简介
政府: 甘肃天水市政府 四川双流市政府 甘肃省人力资源和社会保障厅 广州检察院 云南检察院 能源电力: 南方电网东莞市电网 中国电力科学研究院 大型企业: 中国建筑材料集团公司
医疗: 总参309医院 广东省人民医院 韶关市第一人民医院 教育: 北京理工大学 科研: 中国特种飞行器某研究所 中国电子科技集团某研究所
高性能
每秒高于2万条(中端系统)SQL语句处理能力
大存储
十亿级记录存储能力
第三部分
产品介绍
VS-TDE
Transparent Database Encryption
第三部分
产品介绍
3 数据库透明加密
防止数据存储介质丢失、DBA权限泄漏、直接复制文件等情况造成的数据泄密
字段加密
有选择性的对用户最 重要、最敏感的数据 进行字段级别的加密
第二部分
安全现状
WEB2.0 应用层
TCP/UDP层 IP层
针对Web应用深度不够 只检测已知协议 IPS
UTM
UTM是一种宽泛的防御,集成防火墙,IDS/IPS, VPN,网关杀毒,反垃圾邮件等多种功能于一身
第二部分
安全现状
WEB2.0 应用层
TCP/UDP层 IP层
具备其他产品瓶颈
网络阻塞点
UTM
3.2 加密原理
第三部分
产品介绍
插入、修改记录: 通过触发器检查ACL、执行 相应操作。
读取记录: 1、密文索引根据ACL判断
返回记录集大小; 2、字段函数检查ACL、解
密或者返回空。
VS-TDE
Transparent Database Encryption
3.3 密文索引原理
第三部分
产品介绍
建立基于B+树的密文存储结构 每个节点加密存储。
TCP/UDP层 IP层
UTM FW
边界防护
WAF IPS
应用防护
数据库防护
SOC 安全管理
防火墙
防火墙无法阻止从内部发起的攻击行为
WEB2.0 应用层
TCP/UDP层 IP层
防火墙
第二部分
安全现状
检测网络层攻击 IP地址、端口等 对Web层无防护
IDS/IPS
IDS是单纯的入侵检测,负责记录入侵行为 IPS是入侵防御,可以抵御部分对WEB应用的攻击
学习归类 记录 攻击检测 规则定制 越权访问检测
告警 回放 检索 报表
VS-DAF
Database Audit and Firewall
2 数据库防火墙
防火墙介于数据库 服务器和应用服务 器之间,屏蔽直接 访问的通道
根据规则策略的设 定,对高危的SQL 访问语句与行为进 行阻断
第三部分
产品介绍
对数据库的访问, 必须经过防火墙的 细粒度访问控制
威士数据库安全加固系统 小结
第三部分
产品介绍
立体、纵深、完整的防护体系
运行环境安全、访问入口安全、访问过程监控、数据加密
数据库内存状态 共享内存 命中率 回滚段 表内存 缓冲区
文件系统状态 数据文件性能 磁盘访问
and more
查询响应性能
索引效率 查询统计 查询缓冲命中率 其他信息
产品功能
6 数据库风险扫描
全面发现各种管理和系统的风险、帮助修复漏洞
第三部分
产品介绍
弱口令检 查
软件漏洞 扫描
权限分配 风险
数据库配 置风险
金融: 新疆农信银行 军队军工: 武警某部队 兵器集团陕西兵器某所 军工川南机械厂 航空航天: 中国航天科工集团公司 中国航空集团进出口总公司
第二部分 安全现状
CSBIT
安全事件
超过9亿条的数据因为数据库服务器受到侵犯而泄露
第二部分
安全现状
Verizon 2010 数据侵犯调查报告
安全事件
第二部分
安全现状
企业名称 泄露账号数量
泄露信息
CSDN
6,428,632个账号
账号、明文密码、电子邮件
多玩
8,305,005个账号
账号、MD5加密密码、部分明文密码、电 子邮件、多玩昵称
178.com
1,883,487个账号,仍不断增加
账号、MD5加密密码、部分明文密码、电 子邮件、178昵称(178账户通用NGA)
3.5 特色功能
第三部分
产品介绍
对DBA用户,如果没有DSA授予其密文访问权限,仍然无法看 到密文数据
使用DBA修改了某个用户的密码,也无法使用新密码访问密文 数据
硬件设备:日志信息和加密密码备份于硬件中 减轻数据库负担 Leabharlann Baidu增加安全性,防止不解密
部署方式
第三部分
产品介绍
路由可达即可
VS-WAA
多关键字:高速报告敏感内容 delete from table1 where name = ‘dai’
正则表达式:自定义任意规则 统方规则:select count(*) from tableXX where name =‘aspl’group
by doctor
VS-DAF
Database Audit and Firewall
威士数据库与应用安全加固系统
VisualSec Database & Application Security Enforcement System
目录
第一部分 第二部分 第三部分 第四部分
公司简介 安全现状 产品介绍 案例分享
CSBIT
第一部分 公司简介
CSBIT
公司的历程
第一部分
公司简介
中安比特成立于2009年,注册资金1000万。公司专注于数据库安全的研 究,提供数据库与应用安全的产品和解决方案。
访问控制
对加密后的数据进行 独立访问授权,限制 DBA权限
密文索引
采用自主专利的密文 索引技术,避免全表 解密,提高检索效率
VS-TDE
Transparent Database Encryption
3.1 加密效果
第三部分
产品介绍
VS-TDE
Transparent Database Encryption
天涯
9,695,513个账号(预计超过4000万 数据)
账号、明文密码、电子邮件
人人网
4,768,600个账号
明文密码、电子邮件
UUU9.com 7,513,773个账号
账号、MD5加密密码、部分明文密码、电 子邮件、U9昵称
网易土木在线 约4.3GB,137个文件
账号、邮箱、MD5密码、其他相关数据
数据库风险监控 WINDOW/LINUX/UNIX Oracle、Sql Server、Sybase、Mysql、DB2*
数据库防火墙 WINDOW/LINUX/UNIX Oracle、Sql Server、Sybase、Mysql、DB2、Cache
数据库审计
WINDOW/LINUX/UNIX Oracle、Sql Server、Sybase、Mysql、DB2、Cache
Web Application Audit
第三部分
产品介绍
4 Web应用审计
对Web应用系统提供实时监控、自动告警、事后追溯的全面功能
翻译和识别
规则定制
会话回放
系统提供访问模式的识别和分 类,并将访问翻译为可读性高的 文字,方便客户直观的判断问题
产品提供细粒度的自定义规则体 系,方便用户根据实际情况定制 规则
VS-TDE
Transparent Database Encryption
3.4 密钥体系
• 主密钥:对称密钥,用于保护 其它出卡工作密钥。
• 主密钥备份。
第三部分
产品介绍
• 工作密钥:对称密钥,用于加 密解密字段。
• 工作密钥备份:由主密钥加密 工作密钥,进行备份。
VS-TDE
Transparent Database Encryption