“我们的网络安全系统中已经有了Web应用防火墙、网络防火墙和IPS,难道还需要数据库审计吗?”很多人有这样的疑问,网络中有层层防护,还不能保护数据库的安全吗?是的,因为不同的安全防护系统针对的关键风险不同。

防火墙

防火墙

网络防火墙(Firewall)是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统,正如小区中的岗亭,人员、车辆进出都需要经过岗亭的检查,计算机流入流出的所有网络通信均要经过网络防火墙。网络防火墙对流经它的网络通信信息进行扫描,避免一些攻击行为在目标计算机上被执行。

网络防火墙作为访问控制设备,主要工作在OSI模型三层,基于IP报文进行检测,通常根据IP、端口信息及协议类型做过滤。其产品设计无需理解HTTP会话,也就决定了无法理解Web应用程序语言如HTML、SQL语言。

因此,它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求,从80或443端口顺利通过防火墙检测。

网络防火墙是基于边界防护,同时因为Web服务的开放性,网络防火墙对基于Web以及内部的攻击缺乏免疫。

入侵防御系统

入侵防御系统(以下简称“IPS”)也是为防止网络攻击而设计的。一般来说,IPS系统检测攻击的方法是依靠对数据包的检测。

IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。这就像存放贵重物品的场所,如博物馆中,安装的红外感应防御装置,在红外线识别到有人入侵时能够及时做出防御。

IPS采用的是特征匹配技术、使用“允许除非明确否认”模式,其防护对象是一段网络、以及网络中通用的设备或系统而不是特定的Web应用。

IPS更多是针对攻击行为的识别与防御,而数据库数据泄露的风险常常是来自于内部人员,如合法权限的滥用或高级权限的违规使用。IPS无法对这类风险进行识别,也就无法对数据库的安全进行全面的防护。

Web应用防火墙

从对Firewall的介绍可以看出来,传统的防火墙对于应用层的攻击是无法进行有效抵抗的;而IPS对防止应用层攻击能起到一部分作用,却无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(以下简称“WAF”)。

WAF是一种基础的安全保护模块,通过特征提取和分块检索技术进行特征匹配,主要针对 HTTP 访问的 Web 程序保护。WAF部署在Web应用程序前面,在用户请求到达 Web 服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。

WAF现在已经成为许多商业 Web 网站与系统的基本保护措施,它的确在防范许多针对Web系统的安全攻击方面卓有成效;但WAF只监控通过HTTP方式来的数据,而数据库的访问源头却多种多样,如以下几种数据库访问方式:

1、组织内其他应用系统能访问数据库:比如在电子商务系统里,价格和库存可能会用一些自动化的脚本来定时更新。

2、一些内部管理程序可以访问系统,也可能是一些接口,方便雇员添加信息或者发送信息给客户。

3、还有就是数据库 DBA,IT 经理,QA,开发人员等等内部人员通过数据库管理工具可以访问数据库。

这些潜在的数据库访问源头WAF是毫不知情的,但是来自内部的攻击则更可怕。

从网络防火墙到入侵防御系统再到Web应用防火墙,当我们给网络穿上一层又一层的防护衣时,不得不正视,网络攻击越来越深入。当数据的价值越来越高,数据库成为“攻击”目标时,网络防火墙、IPS、WAF的防护变得有些捉襟见肘。

数据库审计系统可对数据的访问操作行为做一个完整的记录,以备违反安全规则的事件发生后,能有效的追查责任和分析原因,必要时还可以为惩罚恶意攻击行为提供必要的证据。

入侵防御系统

另一方面,实施审计准则之后,审计线索会指出特定人员没有违反规程,也没有破坏性行为,对合法用户是一种良好的保护。

从信息安全的角度上看,审计是安全的数据库系统不可缺少的一部分,也是数据库的最后一道重要的安全防线。

数据库暴露的访问点多种多样,网络安全工作是一场旅程,起始于关键风险和重要资产的识别,再在技术、流程和人员管理之间找到正确的组合。

因此,面对不同的网络安全风险,需要不同的技术手段加以防护,在数据价值日益增加的现在,数据库审计系统的作用逐渐突显。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2018-11-08 11:54:00
Saas 阿里云发布业界首款SaaS化防火墙
近日,阿里云发布了业界首款SaaS化防火墙,一键开启,无需复杂网络接入配置,适用于所有在云上部署了重要业务资产的客户,特别是企业级客户。 <详情>
2018-09-17 15:07:41
安全监控 3种方法保护遗留基础设施安全
遗留设备(Legacy)仍将继续在关键基础设施的持续性和稳定性方面起到重要作用,尤其是在工业控制系统(ICS)中。数字政府中心最近的一次调查研究发现,70%的受访机构依赖遗留基 <详情>
2018-09-03 09:22:30
运维管理 机房的防火墙有何作用?
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流 <详情>
2018-08-13 11:16:08
云安全 云安全:从入侵防御系统中学到的经验
我最近有机会向一位行业分析师介绍人工智能AI在解决公有云安全方面的快速进步。分析人员和我都在探索入侵防御系统(IPS)的开始和商业化,并且多年来一直持怀疑态度,仅仅因 <详情>
2018-07-10 13:35:00
机房建设 数据中心交易提示:增加高度、层数和面积
当建筑物的建造许可证被签发时,其建筑类型被正式记录,并有效地锁定了建筑代码所提出的建筑构件的参数和要求。 <详情>