LanSecS数据库安全防护系统解决方案

LanSecS数据库安全防护系统解决方案 第 1 页

LanSecS数据库安全防护系统

解决方案

北京圣博润高新技术股份有限公司

2014年3月

北京圣博润高新技术股份有限公司

LanSecS数据库安全防护系统解决方案 第 2 页

1 产品背景

1.1 概述

随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题以及数据库访问的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为业界人士探索研究的重要课题之一。

越来越多的关键业务系统运行在数据库平台上。同时也成为不安定因素的主要目标。如何确保数据库自身的安全，已成为现代数据库系统的主要评测指标之一。数据库是信息技术的核心和基础，广泛应用在电信、金融、政府、商业、企业等诸多领域，当我们说现代经济依赖于计算机时，我们真正的意思是说现代经济依赖于数据库系统。数据库中储存着诸如银行账户、医疗保险、电话记录、生产或交易明细、产品资料等极其重要和敏感的信息。尽管这些系统的数据完整性和安全性是相当重要的，但对数据库采取的安全检查措施的级别还比不上操作系统和网络的安全检查措施的级别。许多因素都可能破坏数据的完整性并导致非法访问，这些因素包括复杂程度、密码安全性较差、误配置、未被察觉的系统后门以及数据库安全策略的缺失等。

在攻击方式中，SQL注入攻击是黑客对数据库进行攻击的常用手段之一，而且表面看起来跟一般的Web页面访问没什么区别，所以市面上的通用防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。如何防御SQL注入攻击也是亟待解决的重点问题之一。

数据库的应用相当复杂，掌握起来非常困难。许多数据库管理员都忙于管理复杂的系统， 所以很可能没有检查出严重的安全隐患和不当的配置，甚至根本没有进行检测。 正是由于传统的安全体系在很大程度上忽略了数据库安全这一主题，使数据库专业人员也通常没有把安全问题当作他们的首要任务。在安全领域中，类似网页被修改、电脑中病毒、木马、流氓软件、弹出窗口等所造成的经济损失微乎其微，而一旦数据库出现安全风险并被恶意利用所造成的后果几乎是灾难性的和不可挽回的。

由此可见，数据库安全实际上是信息系统信息安全的核心，在这种情况下，有必要采用专业的新型数据库安全产品，专门对信息系统的数据库进行保护。

北京圣博润高新技术股份有限公司

LanSecS数据库安全防护系统解决方案 第 3 页

1.2 数据库风险分析

2 产品概述

LanSecS数据库安全防护系统，是一款基于数据库协议分析与控制技术的数据库安全防护系统。LanSecS数据库安全防护系统基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。LanSecS数据库安全防护系统是一款集数据库IPS、IDS和审计功能为一体的综合安全产品。

LanSecS数据库安全防护系统通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。

北京圣博润高新技术股份有限公司

LanSecS数据库安全防护系统解决方案 第 4 页

LanSecS数据库安全防护系统面对来自于外部的入侵行为，提供防SQL注入禁止和数据库虚拟补订包功能；通过虚拟补丁包，数据库系统不用升级、打补丁，即可完成对主要数据库漏洞的防控。

LanSecS数据库安全防护系统支持Oracle、MS SQL Server 、DB2、MySQL、Sybase等多种国际主流数据库产品。能够在不影响数据库原有性能、无需应用进行改造的前提下，提供可靠数据库安全保护服务。

3 功能特性

【虚拟补丁】

CVE上公布了2000多个数据库安全漏洞，这些漏洞给入侵者敞开了大门。数据库厂商会定期推出数据库漏洞补丁，由于数据库打补丁工作的复杂性和对应用稳定性的考虑，大多数企业无法及时更新补丁。

LanSecS数据库安全防护系统提供了虚拟补丁功能，在数据库外的网络层创建了一个安全层，在用户在无需补丁情况下，完成数据库漏洞防护。LanSecS数据库安全防护系统支持22类，460个以上虚拟补丁。 【黑白名单支持】

LanSecS数据库安全防护系统通过学习模式以及SQL语法分析构建动态模型，形成SQL白名单和SQL黑名单，对符合SQL白名单语句放行，对符合SQL黑名单特征语句阻断。 【细粒度权限管理】

LanSecS数据库安全防护系统对于数据库用户提供比DBMS系统更详细的虚拟权限控制。 控制策略包括：用户+操作+对象+时间。

在控制操作中增加了Update Nowhere、delete Nowhere等高危操作；控制规则中增加返回行数和影响行数控制。 【SQL注入禁止】

LanSecS数据库安全防护系统通过对SQL语句进行注入特征描述，完成对SQL注入行为的检测和阻断。系统提供缺省SQL注入特征库；系统提供定制化的扩展接口。 【阻断和审计】

阻断动作包括：中断会话和拦截语句。 审计行为分为：普通审计和告警审计。 告警通知包括：syslog、snmp、邮件和短信。 【行为监控与分析】

北京圣博润高新技术股份有限公司