數(shù)據(jù)庫防火墻

奇安信數(shù)據(jù)庫審計與防護(hù)系統(tǒng)-防火墻，是一款基于數(shù)據(jù)庫協(xié)議解析與訪問行為控制的數(shù)據(jù)庫安全防護(hù)產(chǎn)品。系統(tǒng)采用串聯(lián)的方式部署在數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器之間，對訪問數(shù)據(jù)庫的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行實時的監(jiān)控和分析，基于身份鑒別和行為分析的主動防御機(jī)制，能夠?qū)崟r監(jiān)控、識別對數(shù)據(jù)庫的異常訪問、SQL攻擊等安全威脅，及時進(jìn)行會話級阻斷，從而有效地保護(hù)核心數(shù)據(jù)的安全。

產(chǎn)品功能 PRODUCT FUNCTIONS

雙機(jī)熱備

系統(tǒng)能夠支持基于主備備份和負(fù)載分擔(dān)運行模式下的雙機(jī)部署方式，以應(yīng)對數(shù)據(jù)庫多鏈路冗余組網(wǎng)下的部署： 兩臺設(shè)備通過心跳網(wǎng)口發(fā)送KeepAlive保活報文進(jìn)行主備間探測與切換，并采用會話同步、策略同步機(jī)制，保證雙機(jī)之間的一致性，保障系統(tǒng)的連續(xù)防護(hù)能力； 當(dāng)數(shù)據(jù)庫采用集群、多鏈路冗余部署時，系統(tǒng)可以通過多組負(fù)載分擔(dān)的部署方式，為每一條業(yè)務(wù)鏈路提供單獨的保護(hù)能力。

軟/硬件Bypass

系統(tǒng)實時監(jiān)控系統(tǒng)的運行狀態(tài)，具備硬件斷電Bypass和軟件異常Bypass導(dǎo)通能力，具體包括： 在進(jìn)程掛死、CPU使用率超限和網(wǎng)卡瞬時流量超限等特定條件下的自動Bypass，能夠有效防止單點失效，保障業(yè)務(wù)流量不中斷； 在應(yīng)急情況下可以手動啟動Bypass，導(dǎo)通網(wǎng)絡(luò)通道，避免異常阻斷。

多因子認(rèn)證

系統(tǒng)采用多因子的組合認(rèn)證方式對數(shù)據(jù)庫訪問者進(jìn)行身份鑒別，能夠彌補數(shù)據(jù)庫的“用戶名+密碼”認(rèn)證方式安全性的不足，同時滿足合規(guī)要求。 用戶或應(yīng)用對數(shù)據(jù)庫進(jìn)行訪問時，必須經(jīng)過數(shù)據(jù)庫防火墻的多重認(rèn)證，包括但不限于：時間（訪問時間）、來源（數(shù)據(jù)庫用戶、訪問者主機(jī)IP、主機(jī)名、主機(jī)系統(tǒng)用戶、客戶端應(yīng)用程序）、行為（訪問對象、操作類型、其他行為特征）。

自動學(xué)習(xí)

系統(tǒng)能夠通過學(xué)習(xí)期對用戶操作行為特征的提取、分類和整理，形成用戶行為畫像，即時建立每個用戶的訪問行為特征模型。通過該模型，不僅能夠極大地減輕數(shù)據(jù)庫安全防護(hù)策略的配置工作量，而且基于精細(xì)化的過濾機(jī)制，系統(tǒng)能夠?qū)?shù)據(jù)庫用戶的各類行為特征和數(shù)據(jù)模型進(jìn)行嚴(yán)格匹配，精準(zhǔn)識別數(shù)據(jù)庫賬戶被盜用帶來的攻擊威脅，實現(xiàn)主動防護(hù)，提高系統(tǒng)的安全防護(hù)能力。

異常行為管控

系統(tǒng)能夠?qū)崟r監(jiān)控數(shù)據(jù)庫的連接信息、風(fēng)險狀態(tài)等，并對數(shù)據(jù)庫的各類用戶行為進(jìn)行嚴(yán)格的監(jiān)控和管理。依據(jù)內(nèi)置的各類數(shù)據(jù)庫的危險操作行為特征庫，能夠有效地監(jiān)控并攔截數(shù)據(jù)庫的特權(quán)操作、數(shù)據(jù)盜取、刪庫等內(nèi)部的越權(quán)操作行為。

敏感數(shù)據(jù)

系統(tǒng)通過內(nèi)置敏感數(shù)據(jù)識別規(guī)則，能夠識別用戶數(shù)據(jù)庫中的敏感數(shù)據(jù)，用戶了解敏感數(shù)據(jù)的分布情況后針對敏感數(shù)據(jù)制定訪問控制策略。

SQL攻擊檢測

系統(tǒng)內(nèi)置基于CVE的SQL注入&緩存區(qū)溢出特征庫和數(shù)據(jù)庫漏洞特征庫，用戶可通過啟用引擎的SQL攻擊策略，對SQL注入或漏洞攻擊行為進(jìn)行特征分析和風(fēng)險鑒別，系統(tǒng)能夠有效監(jiān)控并攔截針對數(shù)據(jù)庫的多種攻擊行為。

風(fēng)險記錄與告警

系統(tǒng)能夠支持對記錄的各類告警日志進(jìn)行查詢。同時用戶可以配置多種方式的日志外發(fā)接口，將告警日志及時推送到第三方監(jiān)控平臺，滿足客戶對突發(fā)事件的即時知情需求。

全局對象

系統(tǒng)提供了全局對象特征庫，支持客戶端IP、工具名稱、OS用戶、數(shù)據(jù)庫用戶、表名、列名、SQL關(guān)鍵字、時間范圍等多種全局對象的特征配置與管理。通過自學(xué)習(xí)的方式提取各類數(shù)據(jù)庫行為的特征，用戶可以根據(jù)實際需要直接選取，方便策略的直接引用，能夠大大降低策略配置的數(shù)據(jù)準(zhǔn)備工作。

智能翻譯

系統(tǒng)提供基于SQL關(guān)鍵字、表和字段的智能翻譯功能，能夠根據(jù)定義的翻譯字典內(nèi)容，自動將日志中的SQL語句進(jìn)行轉(zhuǎn)換，翻譯成業(yè)務(wù)語言，便于業(yè)務(wù)系統(tǒng)用戶對于風(fēng)險日志中專業(yè)的SQL語句的理解，了解風(fēng)險事件產(chǎn)生的業(yè)務(wù)操作內(nèi)容。

統(tǒng)計報表分析

系統(tǒng)監(jiān)控自身防護(hù)狀態(tài)，生成風(fēng)險實時報表，能夠直觀了解到各類風(fēng)險事件的發(fā)生情況，將系統(tǒng)防護(hù)日志進(jìn)行數(shù)據(jù)化分析的可視化表現(xiàn)。并且提供了豐富的報表模板，包括攻擊行為分布與來源、異常訪問行為分布與來源、阻斷行為分布與來源等，支持自定義報表的統(tǒng)計屬性。通過選用報表模板發(fā)布執(zhí)行報表任務(wù)，能夠?qū)崿F(xiàn)對風(fēng)險日志及阻斷行為進(jìn)行各種粒度的報表輸出、統(tǒng)計趨勢展示等。

產(chǎn)品優(yōu)勢PRODUCT ADVANTAGE

強大的協(xié)議兼容性

系統(tǒng)支持OCI/JDBC/OLEDB/ODBC等常見協(xié)議，能夠支持Oracle、MySQL、MSSQL、Sybase、DB2、達(dá)夢6/7、人大金倉、神州通用、InforMix、PostgreSQL、Gbase、Hive、MongoDB、Redis、TeraData、Cache、Kafka、ElasticSearch、HANA、MariaDB、Hbase等多種數(shù)據(jù)庫類型，幾乎涵蓋了所有關(guān)系型數(shù)據(jù)庫和主流的大數(shù)據(jù)平臺，兼容性強。

細(xì)粒度的訪問控制

系統(tǒng)采用多因子的認(rèn)證方式，對數(shù)據(jù)庫訪問者的身份進(jìn)行多重鑒別。基于5W1H模型，能夠?qū)崿F(xiàn)對數(shù)據(jù)庫訪問行為的訪問時間、訪問來源、使用工具、目標(biāo)對象以及具體操作進(jìn)行多層次的識別和認(rèn)證，訪問控制粒度更全面、更精細(xì)。

全面的策略體系

系統(tǒng)區(qū)別于傳統(tǒng)的網(wǎng)絡(luò)防火墻，具有網(wǎng)絡(luò)和應(yīng)用行為的多個層次的全方位防護(hù)體系。不僅能夠在TCP/IP協(xié)議棧的2-4層上對源和目的的IP、端口號、MAC等進(jìn)行訪問控制，更能夠?qū)崟r監(jiān)控數(shù)據(jù)庫操作行為，對SQL注入攻擊和異常訪問等進(jìn)行風(fēng)險鑒別和非法阻斷。

高可靠的冗余特性

系統(tǒng)提供透明部署模式下的多重冗余方案，提高系統(tǒng)的高可靠性： 系統(tǒng)采用雙機(jī)部署時，系統(tǒng)能夠?qū)崟r同步各類安全策略配置，當(dāng)主機(jī)出現(xiàn)異常時觸發(fā)主備切換，保持業(yè)務(wù)流量不中斷； 系統(tǒng)采用單機(jī)部署時，當(dāng)系統(tǒng)出現(xiàn)異常，通過軟/硬件Bypass功能，能夠及時導(dǎo)通業(yè)務(wù)通道，防止系統(tǒng)出現(xiàn)單點故障導(dǎo)致的業(yè)務(wù)中斷。

安全易用的處理機(jī)制

使用高性能硬件平臺、內(nèi)核優(yōu)化技術(shù)，滿足高負(fù)載環(huán)境下的性能要求； 智能學(xué)習(xí)，對數(shù)據(jù)庫訪問語句自動進(jìn)行模式提取與分類，并生成特征模型，避免規(guī)則的復(fù)雜配置； 純透明的部署方式，應(yīng)用程序的使用環(huán)境及授權(quán)用戶的數(shù)據(jù)庫操作管理過程均不會被改變。