数据库的安全防护技术

一、数据库应用存在的风险说明

数据库安全风险包括拖库、撞库、洗库，数据库安全技术主要包括数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统、数据库水印等，接下来重点讲解数据库防火墙技术原理及功能实现效果。

二、数据库防火墙技术解决方案

昂楷科技自研的数据库防火墙系统，可灵活部署在数据库服务器前端，有效解决数据库应用侧存在的安全问题，基于数据库协议分析与控制技术的数据库安全防护系统。数据库防火墙核心功能模块是基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。

三、串联模式部署

在应用系统与数据库之间，所有SQL语句必须经过数据库防火墙的审核后才能到达数据库，发起访问、操作。

四、代理模式部署

数据库防火墙代理来自请求数据库应用的会话，由代理IP转到对应的目标数据库，逻辑串联，实现对运维端的访问控制。

五、数据库防火墙工作原理

数据库防火墙的工作机制，当黑客利用Web应用漏洞，进行SQL注入，或以Web应用服务器为跳板，利用数据库自身漏洞攻击和侵入，数据库防火墙通过防护规则、数据库漏洞虚拟补丁，从而捕获该恶意并阻断攻击行为。

六、拦截SQL数据语句攻击类的会话：数据库防火墙提供默认的数据库攻击规则库，可以针对SQL注入和XSS攻击行为进行有效的安全防护。基于精准的SQL语法分析，系统可以准确定位SQL语句中的操作谓词及常量表达式，保证注入、攻击行为防护的准确性。

七、SQL高危操作行为防护：数据库防火墙通过限制系统表和敏感对象的访问权限，限定SQL更新和删除操作的影响行为、限定No Where语句更新和删除操作，限定Drop、Tuncate、备份、导出等高危操作，以避免大规模数据损失；

八、基于数据库操作行为进行深度检测：具备丰富的规则类型，可对黑客、开发人员可以通过应用批量下载敏感数据，内部维护人员远程或本地批量导出敏感数据进行预警阻断，不同时能结合对攻击类语句风险的判断，避免大规模数据泄露和篡改。

九、“拖库”行为识别并快速响应：黑客、系统维护人员、开发人员通过应用对敏感数据做轻量级、高频次操作，非法篡改或盗取敏感数据信息，通过统计规则，针对敏感数据的频次操作，进行趋势分析和风险行为管控。