数据库安全加固系统

高扩展性
开放性架构，方便添加新的功能、支持新的数据库、三层审计防护
合规性
遵从国内的相关法律法规和评测标准
优势技术
本地审计，密文索引，学习模式，虚拟补丁，高性能，高兼容性
合规性
满足相关法律法规，快速通过相关测评与检查 公安部等级保护
《计算机信息系统安全保护等级划分准则》 GB 17859-1999 《数据库管理系统安全技术要求》GB/T 20273-2006
CSBIT
公司的历程Biblioteka Baidu
第一部分
公司简介
公司成立于2009年，注册资金1000万，专注于以数据库为核心的数据与业 务安全产品的研发与服务。
公司掌握了具有自主知识产权的数据库安全
加固核心技术： ①数据库状态监控 ②数据库风险扫描 ③数据库审计 ④数据库防火墙 ⑤数据库透明加密 中国科学院、清华大学、北京理工大学等单 位的产学研用基地。
非防御安全产品
API
网络设备
WAF
第二部分
安全现状
正常： delete from table1 where name = ‘John’ 越权攻击： delete from table1 SQL注入： select * from stock where catalog-no = '' having 1=1 -- ' and location = 1
软件漏洞
权限分配
数据库配
操作系统
查
扫描
风险
置风险
相关风险
部署方式
第三部分
产品介绍
部署原则：路由可 达即可 图中两个部署位置 都可以 在数据库系统建立 用户
兼容性
第三部分
产品介绍
功能模块
数据库透明加密 数据库状态监控
操作系统平台
WINDOW/LINUX/UNIX WINDOW/LINUX/UNIX
保护核心数据，安全每一比特
VisualSec
数据库安全加固系统
Database Enforcement System
张海涛 技术支持部
北京中安比特科技有限公司
目录
第一部分
公司简介 安全现状
第二部分
第三部分
产品介绍
案例分享
第四部分
CSBIT
章节过渡
第一部分 公司简介
• 公司的历程 • 研发团队 • 服务网络 • 公司的客户
用户活动状况 连接时间 用户个数 连接信息
数据库内存状态 共享内存 命中率 回滚段 表内存 缓冲区
文件系统状态 数据文件性能 磁盘访问
查询响应性能 索引效率 查询统计 查询缓冲命中率 其他信息
and more
产品功能
第三部分
产品介绍
5
数据库风险扫描 即时发现各种管理和系统的风险、帮助修复漏洞
弱口令检
数据库平台
Oracle、Sql Server、Sybase、DB2* Oracle、Sql Server、Sybase、Mysql、DB2
数据库风险监控
数据库防火墙 数据库审计
WINDOW/LINUX/UNIX
WINDOW/LINUX/UNIX WINDOW/LINUX/UNIX
Oracle、Sql Server、Sybase、Mysql、DB2*
产品系列
第三部分
产品介绍
VS-DAF系列：数据库审计、数据库防火墙、数据库状态监控、数据库风险扫描
VS-DAF-200 VS-DAF-400 VS-DAF-600 VS-DAF-800 VS-DAF-1000 VS-DAF-1500 VS-DAF-2000
1U设备
2U设备
VS-TDE系列：数据库透明加密、数据库状态监控、数据库风险扫描
by doctor
VS-DAF
Database Audit and Firewall
第三部分
产品介绍
2.2
访问行为处理流程
静态 规则 ： 口令 与 授权 状态
前置例 外规则 ： 关键字 规则、 主体客 体授权 规则
核心 规则 ： 请求 分类 规则
后置 规则 ： 关键字 规则、 主体客 体授权 规则
防火墙
对Web层无防护
IDS/IPS
第二部分
安全现状
IDS是单纯的入侵检测，负责记录入侵行为 IPS是入侵防御，可以抵御部分对WEB应用的攻击
WEB2.0 应用层
针对Web应用深度不够
TCP/UDP层
IP层
IPS
只检测已知协议
UTM
第二部分
安全现状
UTM是一种宽泛的防御，集成防火墙，IDS/IPS， VPN，网关杀毒，反垃圾邮件等多种功能于一身
VS-TDE-标准版 VS-TDE-高级版 VS-TDE-企业版
2U设备
VS-DAF
Database Audit and Firewall
第三部分
产品介绍
1
数据库审计 以“第三者”的角度观察和记录网络中对数据库的一切访问行为
主机 桌面
观察
网络
归类
界面
分析
过滤
记录
追溯 回放
邮件
数据库
VS-DAF
Database Audit and Firewall
账号、明文密码、电子邮件 账号、MD5加密密码、部分明文密码、电 子邮件、多玩昵称 账号、MD5加密密码、部分明文密码、电 子邮件、178昵称（178账户通用NGA）
天涯
防火墙
第二部分
安全现状
防火墙无法阻止从内部发起的攻击行为
WEB2.0 应用层
检测网络层攻击 IP地址、端口等
TCP/UDP层
IP层
Oracle、Sql Server、Sybase、Mysql、DB2、Cache Oracle、Sql Server、Sybase、Mysql、DB2、Cache
威士数据库安全加固系统 小结
第三部分
产品介绍
立体、纵深、完整的防护体系
运行环境安全、访问入口安全、访问过程监控、数据加密
稳定性
数十行业，近千用户的成功部署与应用
WEB2.0 应用层
具备其他产品瓶颈
TCP/UDP层
IP层
UTM
网络阻塞点
性能瓶颈
SOC
第二部分
安全现状
SOC安全管理平台集成资产管理、风险管理、日志管理、网络管理、安全策 略管理、工单管理、知识库管理等多种功能。 SYSLOG
安全产品
功能过多
代
SNMP
数据库
查询速度过慢
理
管理服务器
ODBC
应用系统
第三部分
产品介绍
分离存储
将敏感数据与普通数
密文索引
采用自主专利的密文 索引技术，避免全表 解密，提高检索效率
据分离存储
部署方式
第三部分
产品介绍
部署原则：路由可 达即可 图中两个部署位置 都可以 在数据库系统执行 存储过程
产品功能
第三部分
产品介绍
4
数据库状态监控
实时监控数据库运行状态，在状态异常时进行预警，防止业务瘫痪，保障 业务系统的可用性
部署方式
代理（探针）
第三部分
产品介绍
优点：可以审计应 用系统与数据库系 统部署在同一台服 务器的情况
技术亮点：采用 SQL脚本，以存储 过程的形式获取数 据
VS-DAF 小结
第三部分
产品介绍
灵活的部署方式
端口镜像（旁路）、串接、代理（探针）
支持主流数据库
Oracle, MS Sql Server, DB2, Sybase, Cache，My Sql
CSBIT
安全事件
超过9亿条的数据因为数据库服务器受到侵犯而泄露
第二部分
安全现状
Verizon 2010 数据侵犯调查报告
安全事件
互联网企业泄密事件 企业名称
CSDN 多玩 178.com
第二部分
安全现状
泄露账号数量 泄露信息
6,428,632个账号 8,305,005个账号 1,883,487个账号，仍不断增加
风险/决策
VS-DAF
Database Audit and Firewall
第三部分
产品介绍
2.3
三层审计防护
VS-DAF
Database Audit and Firewall
第三部分
产品介绍
2.4
特色功能 监控发生在数据库本地的访问； 支持黑名单、白名单、灰名单和例外规则； 用户角色授权审计； 数据库口令审计（弱口令审计和口令周期审计）； 自动日志备份； syslog支持； 时间服务器支持； 支持运维模式；
支持邮件报警；
。。。。
部署方式
第三部分
产品介绍
支持4种部署方式 端口镜像（旁路） 串联 代理（探针） 混合模式
优点：对客户网络 环境和服务器性能 零影响
限制：无法阻断危 险或者攻击操作
部署方式
串联
第三部分
产品介绍
优点：可以阻断危 险或攻击访问 高性能：对基于数 据库的系统性能会 有1-5%的延迟 高可用性：具备 bypass，双机热备 功能
9,695,513个账号（预计超过4000万 账号、明文密码、电子邮件 数据） 人人网 4,768,600个账号 明文密码、电子邮件 账号、MD5加密密码、部分明文密码、电 UUU9.com 7,513,773个账号 子邮件、U9昵称 网易土木在线 约4.3GB，137个文件 账号、邮箱、MD5密码、其他相关数据 账号、邮箱、明文密码、角色名称、所在 梦幻西游 约1.4GB（木马盗取） 服务器、最后登录时间、最后登录IP 新浪微博 账号数量未知，疑似文件1个 邮箱、明文密码 麒麟网 9,072,966个账号 账号、明文密码 某婚恋网站 5,261,302个账号 账号、明文密码
章节过渡
第三部分 产品介绍
• 设计理念 • 产品功能 • 规则策略 • 兼容性 • 部署方式
CSBIT
设计理念
从源头保护数据，建立纵深防护体系
第三部分
产品介绍
进不来
拿不走、删不掉
看不到
工作效果
第三部分
产品介绍
内部人员
直接连接、文件复制
应用系统 外部人员
SQL注入、越权攻击
工作效果
第三部分
产品介绍
第一部分
公司简介
新疆农信银行 军队国防： 武警某部队 军工企业： 兵器集团陕西兵器某所 军工川南机械厂 航空航天： 中国航天科工集团公司
中国电力科学研究院
央企国企： 中国建筑材料集团公司
中国航空集团进出口总公司
章节过渡
第二部分 安全现状
• 安全事件 • 防火墙 • IDS/IPS • UTM • SOC • WAF
第三部分
产品介绍
2
数据库防火墙
防火墙介于数据库
服务器和应用服务 器之间，屏蔽直接 访问的通道
自动评估数据库访
问风险，发现并阻 断非法访问
对数据库的访问，
必须经过防火墙和 数据库自身两层身 份验证及授权检查
根据规则策略的设
定，对高危的SQL 访问语句与行为进 行阻断或者替换
发现SQL注入或缓
冲区溢出等漏洞， 对该漏洞进行防御
内部人员
允许
数据加密
本地代理
禁止
报警
应用系统 外部人员 安全策略
替换
状态监控
风险扫描
产品功能
第三部分
产品介绍
五大核心功能，构成数据库安全加固系统
VS-DAF系列 Database Audit
and Firewall
VS-TDE系列 Transparent Database
数据库安全加固平台
Encryption
SQL越权、注入、内部直接连接、文件复制
WEB2.0 应用层
1. 能够阻止部分SQL注 入攻击、跨站攻击、网页 防篡改 2. 无法阻止内部对数据库 的攻击 3. 无法完全检测到SQL注 入攻击 4. 无法检测SQL越权攻击
TCP/UDP层
IP层
WAF
数据安全
第二部分
安全现状
答案在哪？
从数据源头建立的第一道和最后一道防线 彻底防止SQL注入攻击 抵御针对数据库的越权攻击
研发团队
博士生导师 1人 博士3人 本科 11人
第一部分
公司简介
高级职称 5人
硕士15人
服务网络
第一部分
公司简介
上海
公司的客户
公司已为数十个政府和行业提供核心数据及业务安全产品和服务
党政机关： 甘肃天水市政府 四川双流市政府 甘肃省人力资源和社会保障厅 公检法： 广州检察院 云南检察院 电力： 南方电网东莞市电网 医疗： 总参309医院 广东省人民医院 韶关市第一人民医院 教育： 北京理工大学 科研： 中国特种飞行器某研究所 中国电子科技集团某研究所 金融：
高性能
每秒高于2万条（中端系统）SQL语句处理能力
大存储
十亿级记录存储能力
VS-TDE
Transparent Database Encryption
第三部分
产品介绍
3
数据库透明加密 防止数据存储介质丢失、DBA权限泄漏、直接复制文件等情况造成的数据泄密
字段加密
有选择性的对用户最 重要、最敏感的数据 进行字段级别的加密
VS-DAF
Database Audit and Firewall
第三部分
产品介绍
2.1
规则系统 主体客体授权规则：粗粒度访问控制 IP+APP+LONGIN+TIME OPRATION + TABLE 请求分类规则: 自动学习分类知识 delete from table1 delete from table1 where name = ‘john’ 关键字表达式：高速报告敏感内容 delete from table1 where name = ‘dai’ 正则表达式：自定义任意规则 统方规则：select count(*) from tableXX where name =‘aspl’group