1、保护核心数据,安全每一比特VisualSec数据库安全加固系统Database Enforcement SystemDatabase Enforcement System张海涛技术支持部北京中安比特科技有限公司 公司简介第一部分 安全现状第二部分 产品介绍第三部分 案例分享第四部分目录CSBIT2第一部分 公司简介公司的历程公司的客户章节过渡CSBIT研发团队服务网络3 公司掌握了具有自主知识产权的数据库安全加固核心技术:数据库状态监控 数据库风险扫描 数据库审计 数据库防火墙 数据库透明加密 中国科学院、清华大学、北京理工大学等单位的产学研用基地。第一部分 公司简介 公司成立于2009年,注
2、册资金1000万,专注于以数据库为核心的数据与业务安全产品的研发与服务。公司的历程4第一部分 公司简介研发团队博士生导师1人博士3人高级职称5人硕士15人本科11人5第一部分 公司简介服务网络上海6第一部分 公司简介公司已为数十个政府和行业提供核心数据及业务安全产品和服务公司的客户党政机关:甘肃天水市政府四川双流市政府甘肃省人力资源和社会保障厅公检法:广州检察院云南检察院电力:南方电网东莞市电网中国电力科学研究院央企国企:中国建筑材料集团公司医疗:总参309医院广东省人民医院韶关市第一人民医院教育:北京理工大学科研:中国特种飞行器某研究所中国电子科技集团某研究所金融:新疆农信银行军队国防:武警
3、某部队军工企业:兵器集团陕西兵器某所军工川南机械厂航空航天:中国航天科工集团公司中国航空集团进出口总公司7第二部分 安全现状安全事件防火墙章节过渡CSBITIDS/IPSUTMWAFSOC8第二部分 安全现状安全事件超过9亿条的数据因为数据库服务器受到侵犯而泄露Verizon 2010 数据侵犯调查报告9第二部分 安全现状安全事件企业名称泄露账号数量泄露信息CSDN6,428,632个账号账号、明文密码、电子邮件多玩8,305,005个账号账号、MD5加密密码、部分明文密码、电子邮件、多玩昵称1,883,487个账号,仍不断增加账号、MD5加密密码、部分明文密码、电子邮件、178昵称(178账
4、户通用NGA)天涯9,695,513个账号(预计超过4000万数据)账号、明文密码、电子邮件人人网4,768,600个账号明文密码、电子邮件UUU7,513,773个账号账号、MD5加密密码、部分明文密码、电子邮件、U9昵称网易土木在线 约4.3GB,137个文件账号、邮箱、MD5密码、其他相关数据梦幻西游约1.4GB(木马盗取)账号、邮箱、明文密码、角色名称、所在服务器、最后登录时间、最后登录IP新浪微博账号数量未知,疑似文件1个邮箱、明文密码麒麟网9,072,966个账号账号、明文密码某婚恋网站5,261,302个账号账号、明文密码互联网企业泄密事件10第二部分 安全现状防火墙防火墙 防火
5、墙无法阻止从内部发起的攻击行为IP层TCP/UDP层应用层WEB2.0检测网络层攻击IP地址、端口等对Web层无防护11第二部分 安全现状IDS/IPSIPSIP层TCP/UDP层应用层 IDS是单纯的入侵检测,负责记录入侵行为 IPS是入侵防御,可以抵御部分对WEB应用的攻击WEB2.0只检测已知协议针对Web应用深度不够12第二部分 安全现状UTMUTMIP层TCP/UDP层应用层 UTM是一种宽泛的防御,集成防火墙,IDS/IPS,VPN,网关杀毒,反垃圾邮件等多种功能于一身WEB2.0网络阻塞点性能瓶颈具备其他产品瓶颈13第二部分 安全现状SOC SOC安全管理平台集成资产管理、风险管
6、理、日志管理、网络管理、安全策略管理、工单管理、知识库管理等多种功能。安全产品数据库应用系统网络设备SYSLOGSNMPODBCAPI代 理功能过多查询速度过慢非防御安全产品管理服务器14第二部分 安全现状WAFWAFIP层TCP/UDP层应用层 1.能够阻止部分SQL注入攻击、跨站攻击、网页防篡改2.无法阻止内部对数据库的攻击3.无法完全检测到SQL注入攻击4.无法检测SQL越权攻击正常:delete from table1 where name=John越权攻击:delete from table1 SQL注入:select*from stock where catalog-no=havi
7、ng 1=1-and location=1 WEB2.0SQL越权、注入、内部直接连接、文件复制15第二部分 安全现状数据安全答案在哪?从数据源头建立的第一道和最后一道防线 彻底防止SQL注入攻击 抵御针对数据库的越权攻击16第三部分 产品介绍设计理念产品功能章节过渡CSBIT规则策略兼容性部署方式17第三部分 产品介绍设计理念从源头保护数据,建立纵深防护体系进不来拿不走、删不掉看不到18第三部分 产品介绍工作效果应用系统外部人员内部人员直接连接、文件复制SQL注入、越权攻击19本地代理第三部分 产品介绍工作效果数据加密应用系统外部人员内部人员允许禁止报警替换安全策略状态监控风险扫描20第三部
8、分 产品介绍产品功能 五大核心功能,构成数据库安全加固系统数据库安全加固平台数据库安全加固平台VS-DAF系列Database Audit and FirewallVS-TDE系列TransparentDatabaseEncryption21第三部分 产品介绍产品系列VS-TDE系列:数据库透明加密、数据库状态监控、数据库风险扫描VS-DAF系列:数据库审计、数据库防火墙、数据库状态监控、数据库风险扫描VS-DAF-200VS-DAF-400VS-DAF-600VS-DAF-800VS-DAF-1000VS-DAF-1500VS-DAF-2000VS-TDE-标准版标准版VS-TDE-高级版高
9、级版VS-TDE-企业版企业版1U设备2U设备2U设备22第三部分 产品介绍VS-DAFDatabase Audit and Firewall 数据库审计 以“第三者”的角度观察和记录网络中对数据库的一切访问行为观察分析过滤归类记录追溯界面邮件1回放23第三部分 产品介绍 数据库防火墙防火墙介于数据库服务器和应用服务器之间,屏蔽直接访问的通道屏蔽路径自动评估数据库访问风险,发现并阻断非法访问智能学习对数据库的访问,必须经过防火墙和数据库自身两层身份验证及授权检查访问控制根据规则策略的设定,对高危的SQL访问语句与行为进行阻断或者替换阻断攻击发现SQL注入或缓冲区溢出等漏洞,对该漏洞进行防御虚拟
10、补丁2VS-DAFDatabase Audit and Firewall24第三部分 产品介绍 主体客体授权规则:粗粒度访问控制 IP+APP+LONGIN+TIME OPRATION+TABLE 请求分类规则:自动学习分类知识 delete from table1 delete from table1 where name=john 关键字表达式:高速报告敏感内容 delete from table1 where name=dai 正则表达式:自定义任意规则 统方规则:select count(*)from tableXX where name=asplgroup by doctor 规则系
11、统2.1VS-DAFDatabase Audit and Firewall25第三部分 产品介绍 访问行为处理流程2.2VS-DAFDatabase Audit and Firewall静态规则:口令与授权状态前置例外规则:关键字规则、主体客体授权规则核心规则:请求分类规则后置规则:关键字规则、主体客体授权规则风险/决策26第三部分 产品介绍 三层审计防护2.3VS-DAFDatabase Audit and Firewall27第三部分 产品介绍监控发生在数据库本地的访问;支持黑名单、白名单、灰名单和例外规则;用户角色授权审计;数据库口令审计(弱口令审计和口令周期审计);自动日志备份;sys
12、log支持;时间服务器支持;支持运维模式;支持邮件报警;。VS-DAFDatabase Audit and Firewall 特色功能2.428第三部分 产品介绍部署方式支持4种部署方式 端口镜像(旁路)串联 代理(探针)混合模式优点:对客户网络环境和服务器性能零影响限制:无法阻断危险或者攻击操作29第三部分 产品介绍部署方式优点:可以阻断危险或攻击访问高性能:对基于数据库的系统性能会有1-5%的延迟高可用性:具备bypass,双机热备功能 串联30第三部分 产品介绍部署方式优点:可以审计应用系统与数据库系统部署在同一台服务器的情况技术亮点:采用SQL脚本,以存储过程的形式获取数据 代理(探针
13、)31第三部分 产品介绍VS-DAF 小结灵活的部署方式 端口镜像(旁路)、串接、代理(探针)支持主流数据库 Oracle,MS Sql Server,DB2,Sybase,Cache,My Sql高性能 每秒高于2万条(中端系统)SQL语句处理能力大存储 十亿级记录存储能力32第三部分 产品介绍 数据库透明加密 防止数据存储介质丢失、DBA权限泄漏、直接复制文件等情况造成的数据泄密3字段加密有选择性的对用户最重要、最敏感的数据进行字段级别的加密分离存储将敏感数据与普通数据分离存储密文索引采用自主专利的密文索引技术,避免全表解密,提高检索效率VS-TDETransparent Database
14、 Encryption33第三部分 产品介绍VS-TDETransparent Database Encryption 加密原理3.134第三部分 产品介绍部署方式部署原则:路由可达即可图中两个部署位置都可以在数据库系统执行存储过程35第三部分 产品介绍产品功能 数据库状态监控 实时监控数据库运行状态,在状态异常时进行预警,防止业务瘫痪,保障业务系统的可用性4用户活动状况数据库内存状态文件系统状态查询响应性能共享内存命中率回滚段表内存缓冲区连接时间连接信息用户个数数据文件性能磁盘访问and more索引效率查询统计查询缓冲命中率其他信息36第三部分 产品介绍产品功能 数据库风险扫描 即时发现各
15、种管理和系统的风险、帮助修复漏洞操作系统相关风险数据库配置风险权限分配风险软件漏洞扫描弱口令检查537第三部分 产品介绍部署方式部署原则:路由可达即可图中两个部署位置都可以在数据库系统建立用户38第三部分 产品介绍兼容性功能模块操作系统平台数据库平台数据库透明加密WINDOW/LINUX/UNIXOracle、Sql Server、Sybase、DB2*数据库状态监控WINDOW/LINUX/UNIXOracle、Sql Server、Sybase、Mysql、DB2数据库风险监控WINDOW/LINUX/UNIXOracle、Sql Server、Sybase、Mysql、DB2*数据库防火
16、墙WINDOW/LINUX/UNIXOracle、Sql Server、Sybase、Mysql、DB2、Cache数据库审计WINDOW/LINUX/UNIXOracle、Sql Server、Sybase、Mysql、DB2、Cache39第三部分 产品介绍威士数据库安全加固系统 小结立体、纵深、完整的防护体系 运行环境安全、访问入口安全、访问过程监控、数据加密稳定性 数十行业,近千用户的成功部署与应用高扩展性 开放性架构,方便添加新的功能、支持新的数据库、三层审计防护合规性 遵从国内的相关法律法规和评测标准优势技术 本地审计,密文索引,学习模式,虚拟补丁,高性能,高兼容性40第三部分 产
17、品介绍合规性满足相关法律法规,快速通过相关测评与检查公安部等级保护计算机信息系统安全保护等级划分准则 GB 17859-1999数据库管理系统安全技术要求GB/T 20273-2006保密局分级保护涉及国家秘密的信息系统分级保护技术要求BMB17-2006涉及国家秘密的信息系统分级保护管理规范BMB20-2007行业法律法规塞班斯法案、电力SG168、中国人民解放军计算机信息系统安全保密规定41第四部分 案例分享航天工业某研究所某医院章节过渡CSBIT42第四部分 案例分享航天工业某研究所需求保护办公和生产数据库保护军品敏感数据防泄密实施困难十余个异构数据库多个local部署系统实施方式防火墙防护核心生产数据库加密保护军品数据审计办公、打印等数据库产品价值生产和办公数据得到有效监控和保护迅速通过等保评测数据库安全加固平台数据库安全加固平台数据库安全加固平台数据库安全加固平台窃取、宕机、篡改、删除43第四部分 案例分享某医院需求防统方:医患矛盾防篡改:计费系统防泄密:重要客户个人身份信息、患者隐私信息困难老旧系统众多、协议复杂实施方式防火墙防护药库、财务数据库加密保护敏感用户资料数据审计OA等数据库产品价值提升高端客户和特殊病人的服务质量 减少投诉、持续改善医患关系满足相关政策要求数据库安全加固平台数据库安全加固平台统方、窃取患者资料、宕机、篡改、删除、非法挂号4445
