近日有专业人士发表文章，剖析等级保护即将从1.0时代转变到2.0时代，1.0和2.0最大的区别就是系统防护由被动防御变成主动防御。小编对该专业人士的观点深表认同，并很职业地将此观点引申到数据库防护领域，对企业核心数据资产的防护也应转为主动防御。

众所周知，早期的数据库安防市场应用广泛的是数据库审计产品，主要是对数据库操作进行记录和审计。随着用户需求和新技术的发展，数据库漏洞扫描、数据库防火墙、数据库加密和数据库脱敏等主动防御型的防护产品也相继在市场上出现。在等保1.0时代，数据安全这块大都只涉及到数据库审计产品，而等保2.0时代，数据库防火墙很可能会是必选项。因为正如前述专业人士所言，数据库审计、日志审计类设备，这些是操作审计、被动类的设备，虽然不满足主动防御的要求，通过数据库防火墙，我们实现对数据库的访问行为控制、危险操作阻断、可疑行为审计，从而保障数据的安全。

中安威士数据库防火墙（简称VS-FW），是由中安威士（北京）科技有限公司开发，享有完全自主知识产权的数据库防火墙产品。该产品通过实时分析用户对数据库的访问行为，自动建立合法访问数据库的特征模型。同时，通过独立的授权管理机制和虚拟补丁等防护手段，及时发现和阻断SQL注入攻击和违反企业规范的数据库访问请求。主要功能包括屏蔽真实数据库、多因子认证、自动建模、攻击检测、访问控制和审计等。该产品具有高性能、大存储和报表丰富等优势，帮助企业有效保护核心数据，保障业务运营安全，并快速且经济地满足合规要求。

主要功能有：

• 屏蔽直接访问数据库的通道

数据库防火墙部署于数据库服务器和应用服务器之间，屏蔽直接访问数据库的通道，防止数据库隐通道对数据库的攻击，见下图。

• 多因子认证

基于IP地址、MAC地址、用户、应用程序、时间等因子对访问者进行身份认证，形成多因子认证，弥补单一口令认证方式安全性不足。应用程序对数据库的访问，必须经过数据库防火墙和数据库自身两层身份认证。

• 攻击检测和保护

实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击，并报警或者阻止攻击行为，同时详细的记录攻击操作发生的时间、来源IP、用户名、攻击代码等信息。

• 基线—自动建立访问模型

系统将自动学习每一个应用的访问语句，进行模式提取和分类，自动生成行为特征模型，并可以对学习结果进行编辑。系统通过检查访问行为与基线的偏差来识别风险。

• 连接监控

实时监控所有到数据库的连接信息、风险状态等。管理员可以手动断开特定的连接。

• 虚拟补丁

数据库系统是个复杂的系统，自身存在很多漏洞，容易被攻击者利用从而导致数据泄漏或致使系统瘫痪。由于需要保证业务连续性等多种原因，用户通常不会及时对数据库进行补丁安装。中安威士数据库防火墙通过内置的多种策略防止已知漏洞被利用，并有效的降低数据库被零日攻击的风险。

• 安全审计

系统能够审计对数据库服务器的访问情况，包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、风险等信息，并提供灵活的查询分析功能。

• 报 表

提供丰富的报表模板，包括各种审计报表、安全趋势等。

• 数据库审计探针

本系统作为数据库防火墙的同时，还可以作为数据库审计系统的数据获取设备，将通信内容发送到数据库审计系统中，在不影响防火墙性能的前提下，实现完整、专业的数据库审计。

中安威士数据库防火墙功能是非常全面的，而且还具有以下一些特性和优势：

• 技术优势

– 全自主技术体系：形成高技术壁垒

– 高速分析技术：特殊数据包分析和转发技术，实现高效的网络通信内容过滤

– 多线程技术和缓存技术，支持高并发连接

– 基于BigTable和MapReduce的存储：单机环境高效、海量存储

– 基于倒排索引的检索：高效、灵活日志检索、报表生成

• 高性能

– 连续处理能力：7000-4万SQL/s

– 日志检索速度: <1分钟，1亿记录（带通配符的模糊检索）

– 日志存储能力: 30亿 ~100亿SQL/TB

• 高可用性

– 基于硬件的Bypass功能，防止单点失败

– 支持双机热备功能，保证连续服务能力

– 支持自动日志备份

– 支持SNMP、Syslog日志外发

– 支持时间同步 – ……

• 高安全性

– 细粒度的访问控制

– 可以灵活的对每个应用程序的访问权限进行配置

– 支持黑名单、白名单规则

总结一下，中安威士防火墙产品作为企业数据资产主动防御体系中的重要组成部分，将为客户带来如下价值：

• 保护核心数据资产，防止内外部攻击造成的数据泄密：
• 防止外部黑客攻击，窃取数据：SQL注入、缓冲区溢出、权限盗用等
• 防止内部人员泄密：违规备份、权限滥用、误操作等
• 防止运维人员和第三方人员违规访问敏感数据
• 可视化数据资产分布和风险情况，提升数据安全治理能力：
• 通过敏感数据和服务发现，展示数据库服务器和敏感数据的分布情况
• 实时监控数据库运行状态，在状态异常时进行预警，防止业务瘫痪，保障业务系统的可用性
• 打开数据库系统“黑盒子”，全面发现各种管理和系统的风险、帮助修复风险和漏洞
• 安全性与可用性的完美结合，对合法应用和用户透明：
• 智能学习，自动生成安全基线，无需手动复杂配置规则
• 高稳定性与高性能，支持双机热备，保障正常业务的连续性
• 不需要对应用程序作任何修改，不改变应用程序的使用环境
• 对于授权用户的数据库操作与管理等过程无需改变
• 输出合规报表，满足合规要求，快速通过测评：
• 等级保护：能够满足等级保护中对数据库中存储的系统管理数据、鉴别信息和重要业务数据的保密性、强制身份论证和安全审计要求
• 分级保护：能够满足分级保护系统内的数据库应采用安全加强措施的要求
• 军队：能够满足要求四级及以上系统中的核心业务数据必须强身份论证和加强保护
• 《网络安全法》：核心数据防泄密的要求
• 《数据库管理系统安全技术要求》、《中国塞班斯法案（SOX）》、《信用卡标准（PCI）》、电力SG168、卫生部防统方、互联网金融安全基本法、央企商业机密保护条例……