• QQ咨询

  • 在线咨询
  • 技术支持QQ
  • welcome
  • 培训咨询QQ
  • welcome

. 首页 > 安全产品 > 安全防护 > LanSecS数据库安全防护系统

LanSecS数据库安全防护系统

 

产品概述

“传统网络防火墙已无法阻挡由数据库系统自身缺陷、应用系统缺陷、以及数据库应用层SQL协议引入的安全风险。

    信息化的价值最终体现在数据上,无论对国家还是企业来说,数据不仅是生产要素,更是战略资产。

    层出不穷的数据泄露安全事件表明,网络安全方案有漏洞。传统网络防火墙由于架构缺陷已不适应当前新形势下的数据库安全防护需要,解决数据库裸奔问题,必须从架构和应用层协议入手。

    LanSecS数据库安全防护系统,是基于数据库协议分析与控制技术,实现对数据库操作的“危险指令阻断、访问行为控制、安全态势分析、全面行为审计”的数据库安全主动防御产品。

LanSecS数据库安全防护系统通过SQL协议分析,根据预定义的禁止和许可策略让合法的SQL操作通过,阻断非法违规操作,形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。

LanSecS数据库安全防护系统面对来自于外部的入侵行为,提供防SQL注入禁止和数据库虚拟补丁功能;通过虚拟补丁功能,后端数据库系统不用在实体机上升级、打补丁,即可完成对主要数据库漏洞的防控。

LanSecS数据库安全防护系统支持DB2、Oracle、MS SQL Server 、MySQL、Sybase、达梦、人大金仓、南大通用、神舟等多家国内外数据库产品。能够在不影响数据库原有性能、无需应用进行改造的前提下,提供可靠数据库安全保护服务。

  

 

产品系统架构图

产品目标

LanSecS数据库安全防护系统提供四大产品核心目标,包括防止外部黑客攻击、防止内部高危操作、防止敏感数据泄漏、审计追踪非法行为。

  1. 防止外部黑客攻击

威胁:黑客利用Web应用漏洞,进行SQL注入;或以Web应用服务器为跳板,利用数据库自身漏洞攻击和侵入。

防护:通过虚拟补丁技术捕获和阻断漏洞攻击行为,通过SQL注入特征库捕获和阻断SQL注入行为。

  1. 防止内部高危操作

威胁:系统维护人员、外包人员、开发人员等,拥有直接访问数据库的权限,有意无意的高危操作对数据造成破坏。

防护:通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。

  1. 防止敏感数据泄漏

威胁:黑客、开发人员可以通过应用批量下载敏感数据,内部维护人员远程或本地批量导出敏感数据。

防护:限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。

  1. 审计追踪非法行为

威胁:业务人员在第三方利益诱惑下,通过业务系统提供的功能完成对敏感信息的访问,进行信息的售卖和数据篡改。

防护:提供对所有数据访问行为的记录,对风险行为进行SysLog、邮件、短信等方式的告警,提供事后追踪分析工具。

产品优势

全面数据库入侵阻断

提供业界最为全面的数据库攻击行为检测和阻断技术:

  • 虚拟补丁技术:内置CVE 漏洞库,提供漏洞特征检测技术;
  • 高危访问控制技术:提供对数据库用户的登录、操作行为,提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为;
  • SQL注入禁止技术:提供SQL注入特征库;
  • 返回行超标禁止技术:提供对敏感表的返回行数控制;
  • SQL黑名单技术:提供对非法SQL的语法抽象描述。

高度应用兼容支持

对于IPS类产品最重要的是在保持“低漏报率”的同时维护“低误报率”;对于数据库而言这点更为关键,一点点“误报”可能就会造成重大业务影响。

LanSecS数据库安全防护系统提供强大的应用行为描述方法,以对合法应用行为放行,将误报率降低为“零”。

SQL白名单: LanSecS数据库安全防护系统通过语法抽象描述不同类型的SQL语句,规避参数带来的多样化;通过应用学习捕获所有合法SQL的语法抽象,建立应用SQL白名单库。

 灵活产品部署实施

  • 预定义策略模版:LanSecS数据库安全防护系统提供应用场景、维护场景、应用维护混合场景多种策略模版帮助用户快速建立安全策略。
  • 预定义风险特征库: 通过预定义风险特征库快速建立风险阻断规则。
  • 多种运行模式: LanSecS数据库安全防护系统提供IPS、IDS运行模式,提供学习期、学习完善期、保护期三种运行周期,以帮助用户在防护系统建设的不同阶段平滑过渡。

丰富产品系列

产品共分为2大系列,满足不同使用环境和访问压力级别的应用需求。

产品应用形式

在一个大型网络环境下,根据不同的数据库安全需要,可以接入多台LanSecS数据库安全防护系统设备,不同的设备对应不同的安全需求,实现不同的安全策略。

根据不同的安全设备接入方式和不同的应用策略,LanSecS数据库安全防护系统可以有如下的产品应用形式:

  1. 作为数据库审计产品

提供覆盖客户端的全面数据库审计能力,符合等保三级需求

  1. 作为数据库入侵防御产品

接入在应用服务器和数据库服务器之间,防止外部黑客入侵

  1. 作为数据库运维管控产品

内部数据库运维接口,防止运维人员高危操作和泄漏敏感数据