數(shù)據(jù)庫防火墻

數(shù)據(jù)庫防火墻技術(shù)是針對關(guān)系型數(shù)據(jù)庫保護需求應運而生的一種數(shù)據(jù)庫安全主動防御技術(shù)，數(shù)據(jù)庫防火墻部署于應用服務(wù)器和數(shù)據(jù)庫之間。用戶必須通過該系統(tǒng)才能對數(shù)據(jù)庫進行訪問或管理。數(shù)據(jù)庫防火墻所采用的主動防御技術(shù)能夠主動實時監(jiān)控、識別、告警、阻擋繞過企業(yè)網(wǎng)絡(luò)邊界(FireWall、IDS\IPS等)防護的外部數(shù)據(jù)攻擊、來自于內(nèi)部的高權(quán)限用戶(DBA、開發(fā)人員、第三方外包服務(wù)提供商)的數(shù)據(jù)竊取、破壞、損壞的等，從數(shù)據(jù)庫SQL語句精細化控制的技術(shù)層面，提供一種主動安全防御措施，并且，結(jié)合獨立于數(shù)據(jù)庫的安全訪問控制規(guī)則，幫助用戶應對來自內(nèi)部和外部的數(shù)據(jù)安全威脅。

屏蔽直接訪問數(shù)據(jù)庫的通道:數(shù)據(jù)庫防火墻部署介于數(shù)據(jù)庫服務(wù)器和應用服務(wù)器之間，屏蔽直接訪問的通道，防止數(shù)據(jù)庫隱通道對數(shù)據(jù)庫的攻擊。二次認證:基于獨創(chuàng)的"連接六元組【機器指紋(不可偽造)、IP地址、MAC地址、用戶、應用程序、時間段】"授權(quán)單位，應用程序?qū)?shù)據(jù)庫的訪問，必須經(jīng)過數(shù)據(jù)庫防火墻和數(shù)據(jù)庫自身兩層身份認證。攻擊保護:實時檢測用戶對數(shù)據(jù)庫進行的SQL注入和緩沖區(qū)溢出攻擊。并報警或者阻止攻擊行為，同時詳細的審計下攻擊操作發(fā)生的時間、來源IP、登錄數(shù)據(jù)庫的用戶名、攻擊代碼等詳細信息。連接監(jiān)控:實時的監(jiān)控所有到數(shù)據(jù)庫的連接信息、操作數(shù)、違規(guī)數(shù)等。管理員可以斷開指定的連接。安全審計:系統(tǒng)能夠?qū)徲媽?shù)據(jù)庫服務(wù)器的訪問情況。包括用戶名、程序名、IP地址、請求的數(shù)據(jù)庫、連接建立的時間、連接斷開的時間、通信量大小、執(zhí)行結(jié)果等等信息。并提供靈活的回放日志查詢分析功能，并可以生存報表。審計探針:本系統(tǒng)在作為數(shù)據(jù)庫防火墻的同時，還可以作為數(shù)據(jù)庫審計系統(tǒng)的數(shù)據(jù)獲取引擎，將通信內(nèi)容發(fā)送到審計系統(tǒng)中。細粒度權(quán)限控制:按照SQL操作類型包括Select、Insert、Update、Delete,對象擁有者，及基于表、視圖對象、列進行權(quán)限控制精準SQL語法分析:高性能SQL語義分析引擎，對數(shù)據(jù)庫的SQL語句操作，進行實時捕獲、識別、分類自動SQL學習:基于自學習機制的風險管控模型，主動監(jiān)控數(shù)據(jù)庫活動，防止未授權(quán)的數(shù)據(jù)庫訪問、SQL注入、權(quán)限或角色升級，以及對敏感數(shù)據(jù)的非法訪問等。透明部署:無須改變網(wǎng)絡(luò)結(jié)構(gòu)、應用部署、應用程序內(nèi)部邏輯、前端用戶習慣等

支持橋接、網(wǎng)關(guān)和混合接入方式基于硬件的BYPASS能力，防止單點失效多線程技術(shù)和緩存技術(shù)，支持高并發(fā)連接配置管理采用瀏覽器界面，方便學習和使用現(xiàn)有應用程序與透明數(shù)據(jù)庫防火墻之間可以無縫連接，部署和配置過程簡單可以靈活的對每個應用程序的訪問權(quán)限進行配置，可以選擇全部放行、到數(shù)據(jù)庫級別、模式級別、表級別、字段級別的權(quán)限控制支持基于安全等級標記的訪問控制策略可以選擇違規(guī)響應策略，審計、拒絕訪問可以配置審計的內(nèi)容，對于違規(guī)等重要的事件，系統(tǒng)進行強制審計。用戶也可以選擇對常規(guī)操作進行審計先進的查詢功能，并可以使用多個查詢條件，包括時間、IP、用戶名、風險等級等支持雙機熱備功能，保障連續(xù)服務(wù)能力

DBFirewall支持兩種串聯(lián)模式:

透明網(wǎng)橋模式:在網(wǎng)絡(luò)上物理串聯(lián)接入DBFirewall設(shè)備，所

有用戶訪問的網(wǎng)絡(luò)流量都串聯(lián)流經(jīng)設(shè)備;通過透明網(wǎng)橋技術(shù)，客戶端看到的數(shù)據(jù)庫地址不變。

代理接入模式:網(wǎng)絡(luò)上并聯(lián)接入DBFirewall設(shè)備，客戶端邏輯連接防火墻設(shè)備地址，防火墻設(shè)備轉(zhuǎn)發(fā)流量到數(shù)據(jù)庫服務(wù)器;通過代理接入模式，網(wǎng)絡(luò)拓撲結(jié)構(gòu)不變。

旁路部署模式

DBFirewall設(shè)備不直接接入網(wǎng)絡(luò)，而是通過TAP、SPAN等技術(shù)將網(wǎng)絡(luò)流量映射到防火墻設(shè)備;通過旁路部署模式既不改變網(wǎng)絡(luò)拓撲，也不在應用鏈路上增加新的設(shè)備點。

防止外部黑客攻擊威脅:黑客利用Web應用漏洞，進行SQL注入;或以Web應用服務(wù)器為跳板，利用數(shù)據(jù)庫自身漏洞攻擊和侵入。

防護:通過虛擬補丁技術(shù)捕獲和阻斷漏洞攻擊行為，通過SQL注入特征庫捕獲和阻斷SQL注入行為。

防止內(nèi)部高危操作

威脅:系統(tǒng)維護人員、外包人員、開發(fā)人員等，擁有直接訪問數(shù)據(jù)庫的權(quán)限，有意無意的高危操作對數(shù)據(jù)造成破壞。

防護:通過限定更新和刪除影響行、限定無Where的更新和刪除操作、限定drop、truncate等高危操作避免大規(guī)模損失。

防止敏感數(shù)據(jù)泄漏

威脅:黑客、開發(fā)人員可以通過應用批量下載敏感數(shù)據(jù)，內(nèi)部維護人員遠程或本地批量導出敏感數(shù)據(jù)。

防護:限定數(shù)據(jù)查詢和下載數(shù)量、限定敏感數(shù)據(jù)訪問的用戶、地點和時間。

審計追蹤非法行為

威脅:業(yè)務(wù)人員在利益誘惑下，通過業(yè)務(wù)系統(tǒng)提供的功能完成對敏感信息的訪問，進行信息的售賣和數(shù)據(jù)篡改。

防護:提供對所有數(shù)據(jù)訪問行為的記錄，對風險行為進行SysLog、郵件、短信等方式的告警，提供事后追蹤分析工具。

隨著互聯(lián)網(wǎng)技術(shù)和信息技術(shù)的迅速發(fā)展，以數(shù)據(jù)庫為基礎(chǔ)的信息系統(tǒng)在經(jīng)濟、金融、醫(yī)療等領(lǐng)域的信息基礎(chǔ)設(shè)施建設(shè)中得到了廣泛的應用，越來越多的數(shù)據(jù)信息被不同組織和機構(gòu)(例如，統(tǒng)計部門、醫(yī)院、保險公司等)搜集、存儲以及發(fā)布，其中大量信息被用于行業(yè)合作和數(shù)據(jù)共享。但是在新的網(wǎng)絡(luò)環(huán)境中，由于信息的易獲取性，這些包含在數(shù)據(jù)庫系統(tǒng)中的關(guān)乎國家安全、商業(yè)或技術(shù)機密、個人隱私等涉密信息將面臨更多的安全威脅。當前，日益增長的信息泄露問題已然成為影響社會和諧的一大障礙。

數(shù)據(jù)泄漏事件幾乎覆蓋所有行業(yè)，例如:

(1) 金融行業(yè):2012年4月，visa信用卡泄密事件致使150萬個賬戶受影響。

(2) 政府部門:2011年12月，廣東公安廳技術(shù)漏洞致444萬出入境數(shù)據(jù)泄漏。

(3) 互聯(lián)網(wǎng):2011年歲末，數(shù)據(jù)泄密信息過億，其中當當網(wǎng)1200萬用戶信息泄漏;支付寶賬戶泄漏達1500萬到2500萬;CSDN 600余萬用戶信息泄漏。

(4) 電信行業(yè):2011年3月，陜西移動1394萬用戶信息被盜。

(5) 醫(yī)療行業(yè):2008年深圳4萬余名孕婦信息泄漏。

由上述案例可見，數(shù)據(jù)泄漏無處不在，且愈演愈烈。據(jù)Verizon公司的數(shù)據(jù)泄漏調(diào)查報告統(tǒng)計顯示:有90%以上的數(shù)據(jù)泄漏是由數(shù)據(jù)庫被盜引起的。

現(xiàn)有邊界防御安全產(chǎn)品和解決方案均采用被動防御技術(shù)，無法從根本上解決各組織數(shù)據(jù)庫數(shù)據(jù)所面臨的安全威脅和風險，解決數(shù)據(jù)庫數(shù)據(jù)安全需要專用的數(shù)據(jù)庫安全設(shè)備從根本上解決數(shù)據(jù)安全問題。

一， 數(shù)據(jù)庫置疑產(chǎn)生的原因

二， 數(shù)據(jù)庫置疑的預防

三， 數(shù)據(jù)庫置疑的修復

1、SQLServer所在分區(qū)空間是否夠?數(shù)據(jù)庫文件大小是否達到最大文件限制?

FAT32的格式只支持四G以內(nèi)的文件

2、 數(shù)據(jù)庫文件損壞或被非正常刪除時出現(xiàn)這種情況

3、 病毒防火墻的掃描也會引起數(shù)據(jù)庫置疑

4、 當SQLServer啟動時，將會嘗試獲得對數(shù)據(jù)庫文件的排他訪問權(quán)，如果此時該文件被其他程序占用，或者遺失，數(shù)據(jù)庫將會被標記為置疑。

5、 電腦非法關(guān)機也會造成數(shù)據(jù)庫置疑

6、 電腦磁盤有壞道有可能造成數(shù)據(jù)庫置疑

1、 數(shù)據(jù)庫存放的盤符，空間是否夠大，經(jīng)常檢查盤符的空間

2、 數(shù)據(jù)庫存放的盤符的格式設(shè)置為NTFS格式

3、 進行病毒清除時，盡量把SQL服務(wù)停掉，再進行檢查

4、 盡量減少非正常關(guān)機

5、 建議客戶購買后備電源

6、 給客戶實施軟件之后一定要做好自動備份

7、 建議客戶每隔一定時間手動備份一次

1， 點擊后臺登錄時，如果提示如下圖片就有可能表示數(shù)據(jù)庫置疑了

2， 需要確認檢查數(shù)據(jù)庫置疑，打開企業(yè)管理器中的數(shù)據(jù)庫目錄，如下圖顯示表示置疑

下面所有修復置疑的語法，在沒有特別提到時，默認數(shù)據(jù)庫都請選擇(Master)數(shù)據(jù)庫)

3， 修復置疑(必須在SQL的查詢分析器中才能進行數(shù)據(jù)修復置疑工作)

A、 打開查詢分析器，當數(shù)據(jù)置疑之后在查詢分析器中是看不到置疑的數(shù)據(jù)庫名稱的，所以進入查詢分析器之后，所選數(shù)據(jù)庫默認(Master)數(shù)據(jù)庫即可。(復制下面置疑語法到查詢分析器中執(zhí)行。

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護選擇。

在具體應用防火墻技術(shù)時，還要考慮到兩個方面:

一是防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱其具有這個功能。 二是防火墻技術(shù)的另外一個弱點在于數(shù)據(jù)在防火墻之間的更新是一個難題，如果延遲太大將無法支持實時服務(wù)請求。并且，防火墻采用濾波技術(shù)，濾波通常使網(wǎng)絡(luò)的性能降低50%以上，如果為了改善網(wǎng)絡(luò)性能而購置高速路由器，又會大大提高經(jīng)濟預算。

總之，防火墻是企業(yè)網(wǎng)安全問題的流行方案，即把公共數(shù)據(jù)和服務(wù)置于防火墻外，使其對防火墻內(nèi)部資源的訪問受到限制。作為一種網(wǎng)絡(luò)安全技術(shù)，防火墻具有簡單實用的特點，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應用系統(tǒng)的情況下達到一定的安全要求。

lubanPDS系統(tǒng)是依托魯班算量創(chuàng)建的BIM和全過程造價數(shù)據(jù)為基礎(chǔ)，把原來分散在個人手中的工程信息模型匯總到企業(yè)，形成一個匯總的企業(yè)項目基礎(chǔ)數(shù)據(jù)庫，企業(yè)不同崗位都可以進行數(shù)據(jù)的查詢和分析。為總部管理和決策提供依據(jù)，為項目部的成本管理提供依據(jù)。

四大核心

(1) BIM庫

建立企業(yè)級項目基礎(chǔ)數(shù)據(jù)(BIM)

(2) 匯總、統(tǒng)計、分析

自動匯總分散在各項目中的工程模型，建立企業(yè)工程基礎(chǔ)數(shù)據(jù)庫。

自動拆分、統(tǒng)計各部門所需數(shù)據(jù)，為決策做依據(jù)。

自動拆分工程人、材、機數(shù)量，形成多工程對比。

(3) 協(xié)同、共享

建立共享的數(shù)據(jù)平臺，提高各部門間協(xié)同效率。

(4) 與ERP接口

與ERP系統(tǒng)數(shù)據(jù)互通、共享。

成本分析數(shù)據(jù)信息化、自動化、智能化。