攻与防的较量—信息化安全提升的源动力（二）

3、敏感数据安全提升的有效解决办法

敏感数据的安全性提升，严格来讲，不是某一个安全产品或厂商的单点职责。有效的安全机制应该是一个闭环的、由外到内的、由弱到强的、多层次塔式防御体系。

在终端、网络等传统安全措施相对健全的条件下、重点需要加强针对数据库内在核心的本质防护。

作为人力资源和社会保障自主可控信息化产业联盟（简称人社联盟）成员单位—北京安华金和科技有限公司，作为国家专业数据库安全厂商，安华金和的技术专家们，为广大用户可提供如下数据库安全防护建议：

1)建立数据库安全主动防御机制

利用专门的数据库防火墙技术，彻底的对SQL注入、数据库漏洞攻击行为进行防御。

数据库防火墙，不同于传统的防火墙，传统的防火墙无法防止SQL注入等攻击手段；也不同于WEB防火墙，WEB防火墙实际上有很多的应用限制，有很多的SQL注入绕开手段，WEB防火墙也无法做到防止批量下载和后门程序。

而数据库防火墙可以对数据库的通讯过程进行精确的解析和控制；对于SQL注入本身比WEB防火墙拦截得更为彻底；同时可以对社保行业应用建立应用特征模型，建立社保正常访问语句的抽象表达，对每种语句的返回总量进行控制；从而防止批量下载和后门程序。

2)建立数据库底线保护机制

安全防护与安全攻击一样，都有成功概率。即使能防护住99%的行为，也有可能存在1%的攻破概率，而且随着攻击人员不断“创新”攻击方案或程序，比如会存在短暂的攻方暂时领先，如同杀毒软件的病毒库更新一样。

因此，在数据库安全的防护上，建议增加底线防护机制，通过使用数据记录行数阀值控制的技术，在最邻近数据库的位置部署数据库防火墙，即使攻击方法穿透了网络、主机、应用，但是一旦超过一定阀值（如100行），所有的访问行为将立即进行阻断、拦截。首先能做到规避大规模数据的泄密灾难。

3)建立数据库安全监控和告警机制

利用数据库监控与审计技术，可以记录下所有人员、所有通道、所有时间的数据库访问行为；可以突破应用层限制，将SQL语句与业务人员身份有效关联，在发生安全事件后，形成有效追踪。为追责、问责提供有力的保障手段。

最后，安华金和的技术专家们提醒大家，任何目的攻击测试与实验，有目的或与无意识的公众系统安全攻击，一旦造成个人隐私、国家信息的泄露与窃取行为，都是违法的，都需要受到刑法的追责。