LanSecS数据库安全防护系统解决方案.doc

LanSecS数据库安全防护系统 解决方案 北京圣博润高新技术股份有限公司 2014年3月 1.2 数据库风险分析 2 产品概述 LanSecS数据库安全防护系统，是一款基于数据库协议分析与控制技术的数据库安全防护系统。LanSecS数据库安全防护系统基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。LanSecS数据库安全防护系统是一款集数据库IPS、IDS和审计功能为一体的综合安全产品。 LanSecS数据库安全防护系统通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。 LanSecS数据库安全防护系统面对来自于外部的入侵行为，提供防SQL注入禁止和数据库虚拟补订包功能；通过虚拟补丁包，数据库系统不用升级、打补丁，即可完成对主要数据库漏洞的防控。 LanSecS数据库安全防护系统支持Oracle、MS SQL Server 、DB2、MySQL、Sybase等多种国际主流数据库产品。能够在不影响数据库原有性能、无需应用进行改造的前提下，提供可靠数据库安全保护服务。 3 功能特性 【虚拟补丁】 CVE上公布了2000多个数据库安全漏洞，这些漏洞给入侵者敞开了大门。数据库厂商会定期推出数据库漏洞补丁，由于数据库打补丁工作的复杂性和对应用稳定性的考虑，大多数企业无法及时更新补丁。 LanSecS数据库安全防护系统提供了虚拟补丁功能，在数据库外的网络层创建了一个安全层，在用户在无需补丁情况下，完成数据库漏洞防护。LanSecS数据库安全防护系统支持22类，460个以上虚拟补丁。 【黑白名单支持】 LanSecS数据库安全防护系统通过学习模式以及SQL语法分析构建动态模型，形成SQL白名单和SQL黑名单，对符合SQL白名单语句放行，对符合SQL黑名单特征语句阻断。 【细粒度权限管理】 LanSecS数据库安全防护系统对于数据库用户提供比DBMS系统更详细的虚拟权限控制。 控制策略包括：用户+操作+对象+时间。 在控制操作中增加了Update Nowhere、delete Nowhere等高危操作；控制规则中增加返回行数和影响行数控制。 【SQL注入禁止】 LanSecS数据库安全防护系统通过对SQL语句进行注入特征描述，完成对SQL注入行为的检测和阻断。系统提供缺省SQL注入特征库；系统提供定制化的扩展接口。 【阻断和审计】 阻断动作包括：中断会话和拦截语句。 审计行为分为：普通审计和告警审计。 告警通知包括：syslog、snmp、邮件和短信。 【行为监控与分析】 LanSecS数据库安全防护系统提供全面详细审计记录，告警审计和会话事件记录，并在此基础上实现了内容丰富的审计浏览、访问分析和问题追踪，提供实时访问仪表盘。 LanSecS数据库安全防护系统通过对捕获的SQL语句进行精细SQL语法分析,并根据SQL行为 特征和关键词特征进行自动分类，系统访问SQL语句有效“归类”到几百个类别范围内， 完成审计结果的高精确和高可用分析。 4 产品价值 4.1 完备数据库安全防护 LanSecS数据库安全防护系统提供四大产品核心价值，包括防止外部黑客攻击、防止内部高危操作、防止敏感数据泄漏、审计追踪非法行为。 防止外部黑客攻击 威胁：黑客利用Web应用漏洞，进行SQL注入；或以Web应用服务器为跳板，利用数据库自身漏洞攻击和侵入。 防护：通过虚拟补丁技术捕获和阻断漏洞攻击行为，通过SQL注入特征库捕获和阻断SQL注入行为。 防止内部高危操作 威胁：系统维护人员、外包人员、开发人员等，拥有直接访问数据库的权限，有意无意的高危操作对数据造成破坏。 防护：通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。 防止敏感数据泄漏 威胁：黑客、开发人员可以通过应用批量下载敏感数据，内部维护人员远程或本地批量导出敏感数据。 防护：限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。 审计追踪非法行为 威胁：业务人员在第三方利益诱惑下，通过业务系统提供的功能完成对敏感信息的访问，进行信息的售卖和数据篡改。 防护：提供对所有数据访问行为的记录，对风险行为进行SysLog、邮件、短信等方式的告警，提供事后追踪分析工具 4.2 多种应用模式 数据库审计产品：提供全面数据库审计能力，符合等保三级需求 数据库入侵防御产品：接入在应用服务器和数据库服务器之间，防止外部黑客入侵 数据库运维管控产品：内部数据库运维接口，防止运维人员高危操作和泄漏敏感数据 内外网隔离装置：替代传统防火墙、IDS、IPS产品，实现唯一内网接入通道——安全数据库通讯 5 产品