2020年11月1日,《信息安全技術(shù) 防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法》將正式實(shí)施。新版防火墻國(guó)家標(biāo)準(zhǔn)實(shí)施后,將替代原有的防火墻國(guó)家標(biāo)準(zhǔn)(如下圖所示),為各類防火墻產(chǎn)品的研發(fā)、測(cè)試和選型提供最權(quán)威的指導(dǎo)性意見(jiàn)。

替代原有防火墻國(guó)家標(biāo)準(zhǔn)

新一代信息技術(shù)發(fā)展和威脅風(fēng)險(xiǎn)不斷涌現(xiàn),推動(dòng)著防火墻技術(shù)和產(chǎn)品的不斷革新,此次新標(biāo)準(zhǔn)在GB/T 20281-2015基礎(chǔ)上,創(chuàng)新性的將各類防火墻國(guó)家標(biāo)準(zhǔn)進(jìn)行了系統(tǒng)、全面梳理,形成了統(tǒng)一的技術(shù)框架,將防火墻按照保護(hù)對(duì)象和資產(chǎn)角度劃分為網(wǎng)絡(luò)型防火墻、Web應(yīng)用防火墻、數(shù)據(jù)庫(kù)防火墻和主機(jī)型防火墻,并明確了各類防火墻的定義、安全技術(shù)要求、測(cè)試評(píng)價(jià)方法及安全等級(jí)劃分。

值得注意的是,網(wǎng)絡(luò)型防火墻、WEB應(yīng)用型防火墻、主機(jī)型防火墻都是對(duì)原有國(guó)家標(biāo)準(zhǔn)的修訂、升級(jí),數(shù)據(jù)庫(kù)防火墻則首次以國(guó)家標(biāo)準(zhǔn)形式明確定義和要求,這將直接改觀數(shù)據(jù)庫(kù)防火墻產(chǎn)品水平參差不齊的市場(chǎng)現(xiàn)狀;解決用戶選擇數(shù)據(jù)庫(kù)防火墻產(chǎn)品缺乏國(guó)家標(biāo)準(zhǔn)指導(dǎo)的困境;為落地等保2.0數(shù)據(jù)安全建設(shè)、落實(shí)關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)安全保護(hù)提供產(chǎn)品層面標(biāo)準(zhǔn)依據(jù)。

新版防火墻國(guó)家標(biāo)準(zhǔn)對(duì)數(shù)據(jù)庫(kù)防火墻定義為:部署于數(shù)據(jù)庫(kù)服務(wù)器前端,對(duì)流經(jīng)的數(shù)據(jù)庫(kù)訪問(wèn)和響應(yīng)數(shù)據(jù)進(jìn)行解析,能夠具備數(shù)據(jù)庫(kù)訪問(wèn)控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品,并從安全功能、自身安全功能、性能要求和安全保障四個(gè)方面提出明確的要求。

隨著新版防火墻國(guó)家標(biāo)準(zhǔn)的發(fā)布與實(shí)施,數(shù)據(jù)庫(kù)防火墻將受到越來(lái)越多行業(yè)用戶的關(guān)注,那么一個(gè)成熟的數(shù)據(jù)庫(kù)防火墻產(chǎn)品應(yīng)具備哪些關(guān)鍵能力?

作為該標(biāo)準(zhǔn)核心起草單位之一,數(shù)據(jù)庫(kù)防火墻主力編制單位,美創(chuàng)科技在數(shù)據(jù)庫(kù)安全及數(shù)據(jù)庫(kù)協(xié)議具備十余年的研究經(jīng)驗(yàn),產(chǎn)品也廣泛應(yīng)用于政府、醫(yī)療、金融、通信等各個(gè)行業(yè),對(duì)此,美創(chuàng)科技總結(jié)了以下七點(diǎn):

高可用和高性能

☆ 高可用:數(shù)據(jù)庫(kù)防火墻部署在應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器之間,數(shù)據(jù)庫(kù)防火墻任何的風(fēng)吹草動(dòng)都會(huì)影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行。因此數(shù)據(jù)庫(kù)防火墻需要具備冗余部署的能力,能夠支持“主主”、“主備”、“集群”模式,支持軟硬件bypass等可靠性技術(shù),確保系統(tǒng)在各種未知的突發(fā)情況發(fā)生時(shí),能夠快速切換至正常狀態(tài),保證整個(gè)業(yè)務(wù)的穩(wěn)定運(yùn)行。

☆ 高性能:由于業(yè)務(wù)系統(tǒng)的高并發(fā)訪問(wèn),數(shù)據(jù)庫(kù)需要對(duì)標(biāo)直連訪問(wèn)數(shù)據(jù)庫(kù),1毫秒內(nèi)SQL處理速率要基本同直連訪問(wèn)數(shù)據(jù)庫(kù),避免因數(shù)據(jù)庫(kù)防火墻部署影響業(yè)務(wù)系統(tǒng)的正常使用。

全面的入侵防御

☆ 數(shù)據(jù)庫(kù)漏洞攻擊防護(hù):依據(jù)已公開(kāi)的CVE漏洞形成檢測(cè)策略,能夠精確捕獲、阻斷漏洞攻擊行為。

☆ 虛擬補(bǔ)丁:數(shù)據(jù)庫(kù)的復(fù)雜性決定了其會(huì)有諸多安全漏洞,這些漏洞一旦被入侵者或非授權(quán)用戶利用,后果不堪設(shè)想。數(shù)據(jù)庫(kù)廠商并不能在第一時(shí)間對(duì)漏洞進(jìn)行修復(fù)并發(fā)布升級(jí)補(bǔ)丁,這要求數(shù)據(jù)庫(kù)防火墻在受保護(hù)的數(shù)據(jù)庫(kù)外部建立一個(gè)策略實(shí)施點(diǎn),以便在漏洞到達(dá)目標(biāo)之前識(shí)別和攔截利用這些漏洞的行為,通過(guò)虛擬補(bǔ)丁的功能,能夠在無(wú)需修補(bǔ)數(shù)據(jù)庫(kù)內(nèi)核漏洞的情況下,保護(hù)數(shù)據(jù)庫(kù)的安全,從而讓漏洞在非法攻擊中隱形。

☆ SQL注入檢測(cè)防護(hù):SQL注入攻擊是數(shù)據(jù)庫(kù)防火墻的核心應(yīng)用場(chǎng)景,這要求數(shù)據(jù)庫(kù)防火墻對(duì)注入攻擊的SQL特征能精準(zhǔn)識(shí)別和實(shí)時(shí)阻斷。

☆ 拖庫(kù)與撞庫(kù):能夠識(shí)別拖庫(kù)行為,及時(shí)阻斷及時(shí)告警,避免數(shù)據(jù)庫(kù)被非法拖庫(kù)導(dǎo)致信息泄露事件的發(fā)生。撞庫(kù)是業(yè)務(wù)系統(tǒng)面臨的一類非漏洞的攻擊行為,數(shù)據(jù)庫(kù)防火墻要能及時(shí)預(yù)警、阻斷撞庫(kù)行為,解決業(yè)務(wù)層面的極大風(fēng)險(xiǎn)威脅。

精細(xì)度訪問(wèn)控制

能夠?qū)崿F(xiàn)基于訪問(wèn)數(shù)據(jù)庫(kù)的應(yīng)用程序、運(yùn)維工具;數(shù)據(jù)庫(kù)用戶名、數(shù)據(jù)庫(kù)名、數(shù)據(jù)表名和數(shù)據(jù)字段名;SQL語(yǔ)句關(guān)鍵字、數(shù)據(jù)庫(kù)返回內(nèi)容關(guān)鍵字;影響行數(shù)、返回行數(shù)的細(xì)粒度訪問(wèn)控制。如:

☆ 多維度準(zhǔn)入控制:支持對(duì)授權(quán)的身份賬號(hào)(如用戶名密碼)、用戶指紋特征(如IP地址、應(yīng)用程序、主機(jī)名、登陸的時(shí)間等)、數(shù)字證書(shū)客戶端等因素進(jìn)行多方位鑒定識(shí)別,防止惡意身份非法進(jìn)入數(shù)據(jù)庫(kù)。

☆ 訪問(wèn)頻次和行數(shù)管理:提供訪問(wèn)頻次控制,避免一定時(shí)間內(nèi)對(duì)核心數(shù)據(jù)的高頻次訪問(wèn),避免數(shù)據(jù)流失。提供基于敏感表格訪問(wèn)的返回行控制技術(shù),同時(shí)能夠?qū)Υ罅糠祷匦惺录龀龈婢?、能夠?qū)︻l繁的相同語(yǔ)句做出告警,避免數(shù)據(jù)大量泄漏,保證數(shù)據(jù)的安全訪問(wèn)。

☆ 數(shù)據(jù)庫(kù)合規(guī)訪問(wèn)控制:數(shù)據(jù)庫(kù)防火墻需具有強(qiáng)大的自身安全機(jī)制,實(shí)現(xiàn)系統(tǒng)管理員、審計(jì)員等特權(quán)賬戶權(quán)限的有效劃分,避免出現(xiàn)單一用戶權(quán)限過(guò)高造成的越權(quán)行為。例如:數(shù)據(jù)庫(kù)防火墻系統(tǒng)默認(rèn)有系統(tǒng)管理員,具有數(shù)據(jù)防火墻系統(tǒng)的維護(hù)權(quán)限,但是不具備查看審計(jì)結(jié)果與創(chuàng)建用戶的權(quán)限。

☆ 敏感SQL語(yǔ)句管理:即SQL所帶有敏感信息,對(duì)這些SQL需要單獨(dú)管理,只授權(quán)給可以訪問(wèn)的身份,拒絕未經(jīng)授權(quán)的身份進(jìn)行訪問(wèn)。

敏感數(shù)據(jù)保護(hù)

☆ 應(yīng)用防假冒認(rèn)證機(jī)制:對(duì)于數(shù)據(jù)庫(kù)應(yīng)用假冒,數(shù)據(jù)庫(kù)防火墻提供相應(yīng)的應(yīng)用防假冒認(rèn)證機(jī)制,防止假冒應(yīng)用訪問(wèn)數(shù)據(jù)庫(kù),進(jìn)行非法操作。

☆ 業(yè)務(wù)動(dòng)態(tài)脫敏:敏感數(shù)據(jù)訪問(wèn)過(guò)程中,數(shù)據(jù)庫(kù)防火墻應(yīng)具備業(yè)務(wù)動(dòng)態(tài)脫敏功能,根據(jù)不同訪問(wèn)者的權(quán)限,返回不同的脫敏數(shù)據(jù),避免敏感數(shù)據(jù)和個(gè)人隱私信息泄露。

精確的安全審計(jì)和分析

對(duì)于審計(jì)管理,能夠按照使用場(chǎng)景的不同提供簡(jiǎn)單搜索、擴(kuò)展搜索和高級(jí)搜索,能夠根據(jù)客戶搜索的條件搜索特定的安全事件信息。

對(duì)于業(yè)務(wù)審計(jì),提供全面詳細(xì)的審計(jì)記錄、豐富的告警、跟蹤事件記錄,并在此基礎(chǔ)上實(shí)現(xiàn)了內(nèi)容豐富的、動(dòng)態(tài)可跟蹤的實(shí)時(shí)審計(jì)分析和追蹤。

對(duì)于審計(jì)分析,提供安全事件分析功能,可針對(duì)某個(gè)登錄主題進(jìn)行從數(shù)據(jù)庫(kù)登陸到當(dāng)前操作的時(shí)間序列安全事件回溯,是真正基于數(shù)據(jù)庫(kù)會(huì)話的一致性回溯,也可以對(duì)某條安全事件進(jìn)行同類事件回顧,回溯相同的安全審計(jì)事件在歷史上的發(fā)生情況。提供全方面的、細(xì)粒度的數(shù)據(jù)庫(kù)審計(jì)管理。

智能化告警與風(fēng)險(xiǎn)可視化

☆ 智能化告警:數(shù)據(jù)庫(kù)防火墻能夠?qū)θ魏涡旅婵谆虍惓２僮鬟M(jìn)行主動(dòng)識(shí)別、告警,包括新發(fā)現(xiàn)的IP地址、應(yīng)用程序、數(shù)據(jù)庫(kù)賬戶、應(yīng)用賬戶、訪問(wèn)對(duì)象、訪問(wèn)操作、SQL語(yǔ)句等,并通過(guò)短信、郵件、動(dòng)畫(huà)等多種手段來(lái)保證告警的實(shí)時(shí)性。

☆ 風(fēng)險(xiǎn)可視化:能夠從數(shù)據(jù)庫(kù)訪問(wèn)、終端、風(fēng)險(xiǎn)策略、敏感資產(chǎn)等多角度進(jìn)行監(jiān)控并可視化展示,直觀、全局、清晰的把握數(shù)據(jù)庫(kù)安全情況。

多種數(shù)據(jù)庫(kù)類型和部署方式支持

☆ 支持透明網(wǎng)橋、代理多種部署模式,能夠滿足不同部署場(chǎng)景需求。

☆ 能夠支持各種主流的關(guān)系型、非關(guān)系型數(shù)據(jù)庫(kù)(NoSQL)以及大數(shù)據(jù)平臺(tái)組件等數(shù)據(jù)庫(kù)的安全防護(hù)。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）