数据库安全加固系统课件

保护核心数据，安全每一比特VisualSec数据库安全加固系统DatabaseEnforcementSystemDatabaseEnforcementSystem张海涛技术支持部北京中安比特科技有限公司保护核心数据，安全每一比特VisualSec数据库安全加固系公司简介第一部分安全现状第二部分产品介绍第三部分案例分享第四部分目录CSBIT 公司简第一部分 公司简介公司的历程公司的客户章节过渡CSBIT研发团队服务网络第一部分 公司简介公司的历程公司的客户章节过渡CSBIT研公司掌握了具有自主知识产权的数据库安全加固核心技术：数据库状态监控数据库风险扫描数据库审计数据库防火墙数据库透明加密中国科学院、清华大学、北京理工大学等单位的产学研用基地。第一部分公司简介公司成立于2009年，注册资金1000万，专注于以数据库为核心的数据与业务安全产品的研发与服务。公司的历程 公司掌握了具有自主知识产权的数据库安全加固核心技术：第一部分公司简介研发团队第一部分 研发团队第一部分公司简介服务网络上海乌鲁木齐乌鲁木齐北京北京西安西安南京南京上海上海成都成都广州广州沈阳沈阳重庆重庆第一部分 服务网络上海乌鲁木齐北京西安南京上海成都广州沈阳第一部分公司简介公司已为数十个政府和行业提供核心数据及业务安全产品和服务公司的客户党政机关：甘肃天水市政府四川双流市政府甘肃省人力资源和社会保障厅公检法：广州检察院云南检察院电力：南方电网东莞市电网中国电力科学研究院央企国企：中国建筑材料集团公司医疗：总参309医院广东省人民医院韶关市第一人民医院教育：北京理工大学科研：中国特种飞行器某研究所中国电子科技集团某研究所金融：新疆农信银行军队国防：武警某部队军工企业：兵器集团陕西兵器某所军工川南机械厂航空航天：中国航天科工集团公司中国航空集团进出口总公司第一部分 公司已为数十个政府和行业提供核心数据及业务安全产第二部分 安全现状安全事件防火墙章节过渡CSBITIDS/IPSUTMWAFSOC第二部分 安全现状安全事件防火墙章节过渡CSBITIDS/第二部分安全现状安全事件超过9亿条的数据因为数据库服务器受到侵犯而泄露Verizon2010数据侵犯调查报告第二部分 安全事件超过9亿条的数据因为数据库服务器受到侵犯第二部分安全现状安全事件企业名称泄露账号数量泄露信息CSDN6,428,632个账号账号、明文密码、电子邮件多玩8,305,005个账号账号、MD5加密密码、部分明文密码、电子邮件、多玩昵称1,883,487个账号，仍不断增加账号、MD5加密密码、部分明文密码、电子邮件、178昵称（178账户通用NGA）天涯9,695,513个账号（预计超过4000万数据）账号、明文密码、电子邮件人人网4,768,600个账号明文密码、电子邮件UUU7,513,773个账号账号、MD5加密密码、部分明文密码、电子邮件、U9昵称网易土木在线约4.3GB，137个文件账号、邮箱、MD5密码、其他相关数据梦幻西游约1.4GB（木马盗取）账号、邮箱、明文密码、角色名称、所在服务器、最后登录时间、最后登录IP新浪微博账号数量未知，疑似文件1个邮箱、明文密码麒麟网9,072,966个账号账号、明文密码某婚恋网站5,261,302个账号账号、明文密码互联网企业泄密事件第二部分 安全事件企业名称泄露账号数量泄露信息CSDN6,第二部分安全现状防火墙防火墙防火墙无法阻止从内部发起的攻击行为IP层TCP/UDP层应用层WEB2.0检测网络层攻击IP地址、端口等对Web层无防护第二部分 防火墙防火墙 防火墙无法阻止从内部发第二部分安全现状IDS/IPSIPSIP层TCP/UDP层应用层IDS是单纯的入侵检测，负责记录入侵行为IPS是入侵防御，可以抵御部分对WEB应用的攻击WEB2.0只检测已知协议针对Web应用深度不够第二部分 IDS/IPSIPSIP层TCP/UDP层应用层第二部分安全现状UTMUTMIP层TCP/UDP层应用层UTM是一种宽泛的防御，集成防火墙，IDS/IPS，VPN，网关杀毒，反垃圾邮件等多种功能于一身WEB2.0网络阻塞点性能瓶颈具备其他产品瓶颈第二部分 UTMUTMIP层TCP/UDP层应用层 第二部分安全现状SOCSOC安全管理平台集成资产管理、风险管理、日志管理、网络管理、安全策略管理、工单管理、知识库管理等多种功能。安全产品数据库应用系统网络设备SYSLOGSNMPODBCAPI代理功能过多查询速度过慢非防御安全产品管理服务器第二部分 SOC SOC安全管理平台集成资产管第二部分安全现状WAFWAFIP层TCP/UDP层应用层1.能够阻止部分SQL注入攻击、跨站攻击、网页防篡改2.无法阻止内部对数据库的攻击3.无法完全检测到SQL注入攻击4.无法检测SQL越权攻击正常：deletefromtable1wherename=John越权攻击：deletefromtable1SQL注入：select*fromstockwherecatalog-no=having1=1-andlocation=1WEB2.0SQL越权、注入、内部直接连接、文件复制第二部分 WAFWAFIP层TCP/UDP层应用层 1.第二部分安全现状数据安全答案在哪？从数据源头建立的第一道和最后一道防线彻底防止SQL注入攻击抵御针对数据库的越权攻击第二部分 数据安全答案在哪？从数据源头建立的第一道和最后一第三部分 产品介绍设计理念产品功能章节过渡CSBIT规则策略兼容性部署方式第三部分 产品介绍设计理念产品功能章节过渡CSBIT规则策第三部分产品介绍设计理念从源头保护数据，建立纵深防护体系进不来拿不走、删不掉看不到状状态态监监控控风风险险扫扫描描数据库审计数据库审计加加密密存存储储访问控制访问控制用用户户分分权权第三部分 设计理念从源头保护数据，建立纵深防护体系进不来拿第三部分产品介绍工作效果应用系统外部人员内部人员直接连接、文件复制SQL注入、越权攻击第三部分 工作效果OracleSybaseDB2MS SQ本地代理第三部分产品介绍工作效果数据加密应用系统外部人员内部人员允许禁止报警替换安全策略状态监控风险扫描全程审计全程审计本地代理第三部分 工作效果oraclesybaseDB2M第三部分产品介绍产品功能五大核心功能，构成数据库安全加固系统数据数据库审计库审计数据数据库库透明加密透明加密数据数据库风险扫库风险扫描描数据数据库库状状态监态监控控数据数据库库防火防火墙墙数据库安全加固平台数据库安全加固平台VS-DAF系列DatabaseAuditandFirewallVS-TDE系列TransparentDatabaseEncryption第三部分 产品功能 五大核心功能，构成数据库安第三部分产品介绍产品系列VS-TDE系列：数据库透明加密、数据库状态监控、数据库风险扫描VS-DAF系列：数据库审计、数据库防火墙、数据库状态监控、数据库风险扫描VS-DAF-200VS-DAF-400VS-DAF-600VS-DAF-800VS-DAF-1000VS-DAF-1500VS-DAF-2000VS-TDE-标准版标准版VS-TDE-高级版高级版VS-TDE-企业版企业版1U设备2U设备2U设备第三部分 产品系列VS-TDE系列：数据库透明加密、数据库第三部分产品介绍VS-DAFDatabaseAuditandFirewall数据库审计以“第三者”的角度观察和记录网络中对数据库的一切访问行为观察分析过滤归类记录追溯界面邮件主机主机桌面桌面网络网络数据库数据库1回放第三部分 VS-DAF 数据库审计观察分析过滤第三部分产品介绍数据库防火墙1 1防火墙介于数据库服务器和应用服务器之间，屏蔽直接访问的通道屏蔽路径2 2自动评估数据库访问风险，发现并阻断非法访问智能学习3 3对数据库的访问，必须经过防火墙和数据库自身两层身份验证及授权检查访问控制4 4根据规则策略的设定，对高危的SQL访问语句与行为进行阻断或者替换阻断攻击5 5发现SQL注入或缓冲区溢出等漏洞，对该漏洞进行防御虚拟补丁2VS-DAFDatabaseAuditandFirewall第三部分 数据库防火墙1防火墙介于数据库服务第三部分产品介绍主体客体授权规则：粗粒度访问控制IP+APP+LONGIN+TIMEOPRATION+TABLE请求分类规则:自动学习分类知识deletefromtable1deletefromtable1wherename=john关键字表达式：高速报告敏感内容deletefromtable1wherename=dai正则表达式：自定义任意规则统方规则：selectcount(*)fromtableXXwherename=asplgroupbydoctor规则系统2.1VS-DAFDatabaseAuditandFirewall第三部分 主体客体授权规则：粗粒度访问控制 第三部分产品介绍访问行为处理流程2.2VS-DAFDatabaseAuditandFirewall静态规则：口令与授权状态前置例外规则：关键字规则、主体客体授权规则核心规则：请求分类规则后置规则：关键字规则、主体客体授权规则风险/决策第三部分 访问行为处理流程2.2VS-DAF第三部分产品介绍三层审计防护2.3VS-DAFDatabaseAuditandFirewall第三部分 三层审计防护2.3VS-DAFDA第三部分产品介绍监控发生在数据库本地的访问；支持黑名单、白名单、灰名单和例外规则；用户角色授权审计；数据库口令审计（弱口令审计和口令周期审计）；自动日志备份；syslog支持；时间服务器支持；支持运维模式；支持邮件报警；。VS-DAFDatabaseAuditandFirewall特色功能2.4第三部分 监控发生在数据库本地的访问；VS-DAF 第三部分产品介绍部署方式支持4种部署方式端口镜像（旁路）串联代理（探针）混合模式优点：对客户网络环境和服务器性能零影响限制：无法阻断危险或者攻击操作第三部分 部署方式支持4种部署方式端口镜像（旁路）串联代理第三部分产品介绍部署方式优点：可以阻断危险或攻击访问高性能：对基于数据库的系统性能会有1-5%的延迟高可用性：具备bypass，双机热备功能串联第三部分 部署方式优点：可以阻断危险或攻击访问高性能：对基第三部分产品介绍部署方式优点：可以审计应用系统与数据库系统部署在同一台服务器的情况技术亮点：采用SQL脚本，以存储过程的形式获取数据代理（探针）第三部分 部署方式优点：可以审计应用系统与数据库系统部署在第三部分产品介绍VS-DAF小结灵活的部署方式端口镜像（旁路）、串接、代理（探针）支持主流数据库Oracle,MSSqlServer,DB2,Sybase,Cache，MySql高性能每秒高于2万条（中端系统）SQL语句处理能力大存储十亿级记录存储能力第三部分 VS-DAF 小结灵活的部署方式第三部分产品介绍数据库透明加密防止数据存储介质丢失、DBA权限泄漏、直接复制文件等情况造成的数据泄密3字段加密有选择性的对用户最重要、最敏感的数据进行字段级别的加密分离存储将敏感数据与普通数据分离存储密文索引采用自主专利的密文索引技术，避免全表解密，提高检索效率VS-TDETransparentDatabaseEncryption第三部分 数据库透明加密3字段加密有选择性的第三部分产品介绍部署方式部署原则：路由可达即可图中两个部署位置都可以在数据库系统执行存储过程第三部分 部署方式部署原则：路由可达即可图中两个部署位置都第三部分产品介绍产品功能数据库状态监控实时监控数据库运行状态，在状态异常时进行预警，防止业务瘫痪，保障业务系统的可用性4用户活动状况数据库内存状态文件系统状态查询响应性能共享内存命中率回滚段表内存缓冲区连接时间连接信息用户个数数据文件性能磁盘访问and more索引效率查询统计查询缓冲命中率其他信息第三部分 产品功能 数据库状态监控4用户活动状第三部分产品介绍产品功能数据库风险扫描即时发现各种管理和系统的风险、帮助修复漏洞操作系统相关风险数据库配置风险权限分配风险软件漏洞扫描弱口令检查5第三部分 产品功能 数据库风险扫描弱口令检查软第三部分产品介绍部署方式部署原则：路由可达即可图中两个部署位置都可以在数据库系统建立用户第三部分 部署方式部署原则：路由可达即可图中两个部署位置都第三部分产品介绍兼容性功能模块操作系统平台数据库平台数据库透明加密WINDOW/LINUX/UNIXOracle、SqlServer、Sybase、DB2*数据库状态监控WINDOW/LINUX/UNIXOracle、SqlServer、Sybase、Mysql、DB2数据库风险监控WINDOW/LINUX/UNIXOracle、SqlServer、Sybase、Mysql、DB2*数据库防火墙WINDOW/LINUX/UNIXOracle、SqlServer、Sybase、Mysql、DB2、Cache数据库审计WINDOW/LINUX/UNIXOracle、SqlServer、Sybase、Mysql、DB2、Cache第三部分 兼容性功能模块操作系统平台数据库平台数据库透明加第三部分产品介绍威士数据库安全加固系统小结立体、纵深、完整的防护体系运行环境安全、访问入口安全、访问过程监控、数据加密稳定性数十行业，近千用户的成功部署与应用高扩展性开放性架构，方便添加新的功能、支持新的数据库、三层审计防护合规性遵从国内的相关法律法规和评测标准优势技术本地审计，密文索引，学习模式，虚拟补丁，高性能，高兼容性第三部分 威士数据库安全加固系统 小结立体、纵深、完整的防第三部分产品介绍合规性满足相关法律法规，快速通过相关测评与检查公安部等级保护计算机信息系统安全保护等级划分准则GB17859-1999数据库管理系统安全技术要求GB/T20273-2006保密局分级保护涉及国家秘密的信息系统分级保护技术要求BMB17-2006涉及国家秘密的信息系统分级保护管理规范BMB20-2007行业法律法规塞班斯法案、电力SG168、中国人民解放军计算机信息系统安全保密规定第三部分 合规性满足相关法律法规，快速通过相关测评与检查第四部分 案例分享航天工业某研究所某医院章节过渡CSBIT第四部分 案例分享航天工业某研究所某医院章节过渡CSBIT第四部分案例分享航天工业某研究所需求保护办公和生产数据库保护军品敏感数据防泄密实施困难十余个异构数据库多个local部署系统实施方式防火墙防护核心生产数据库加密保护军品数据审计办公、打印等数据库产品价值生产和办公数据得到有效监控和保护迅速通过等保评测数据库安全加固平台数据库安全加固平台数据库安全加固平台数据库安全加固平台窃取、宕机、篡改、删除第四部分 航天工业某研究所需求数据库安全加固平台数据库安全第四部分案例分享某医院需求防统方：医患矛盾防篡改：计费系统防泄密：重要客户个人身份信息、患者隐私信息困难老旧系统众多、协议复杂实施方式防火墙防护药库、财务数据库加密保护敏感用户资料数据审计OA等数据库产品价值提升高端客户和特殊病人的服务质量减少投诉、持续改善医患关系满足相关政策要求数据库安全加固平台数据库安全加固平台统方、窃取患者资料、宕机、篡改、删除、非法挂号第四部分 某医院需求数据库安全加固平台统方、窃取患者资料、谢谢谢谢!谢谢!