根據(jù)市場(chǎng)調(diào)查數(shù)據(jù)顯示���,很多用戶認(rèn)為�����,傳統(tǒng)防火墻��、下一代防火墻��、WAF���、堡壘機(jī)等傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品或多或少包含數(shù)據(jù)庫(kù)防護(hù)功能�,能夠解決數(shù)據(jù)庫(kù)安全問(wèn)題�。本文筆者打一個(gè)形象的比喻,將整個(gè)信息安全系統(tǒng)比作一個(gè)政府大院�, 那么傳統(tǒng)防火墻、下一代防火墻����、WAF、堡壘機(jī)����、數(shù)據(jù)庫(kù)防火墻, 分別可以比喻為“大門(mén)”�����、“傳達(dá)室”���、“門(mén)衛(wèi)”����、“大管家”等個(gè)角色。從進(jìn)入大門(mén)開(kāi)始���,各產(chǎn)品的價(jià)值體現(xiàn)與數(shù)據(jù)庫(kù)防火墻的根本差異,一目了然����。
“大門(mén)”——傳統(tǒng)防火墻
傳統(tǒng)防火墻相當(dāng)于信息系統(tǒng)的“大門(mén)”����!按箝T(mén)” 顧名思義,指整個(gè)建筑物通向外面的唯一路徑���,直接起到攔截或放行的作用��。但是�,大門(mén)無(wú)法對(duì)“進(jìn)門(mén)人”的好壞進(jìn)行區(qū)分��,比如對(duì)“人員面貌特征”����、“攜帶違禁品”等問(wèn)題更是無(wú)法檢查。
傳統(tǒng)的防火墻一般使用在網(wǎng)絡(luò)的出口處�����,基本原理是根據(jù)IP 地址/端口號(hào)或協(xié)議標(biāo)識(shí)符識(shí)別和分類網(wǎng)絡(luò)流量,并執(zhí)行相關(guān)的策略��。所以對(duì)于WEB2.0 應(yīng)用來(lái)說(shuō)�,傳統(tǒng)防火墻看到的所有基于瀏覽器的應(yīng)用程序的網(wǎng)絡(luò)流量是完全一樣的,無(wú)法區(qū)分各種應(yīng)用程序�����,更無(wú)法實(shí)施策略來(lái)區(qū)分哪些是不需要的或不適當(dāng)?shù)某绦����,?duì)于數(shù)據(jù)庫(kù)網(wǎng)絡(luò)通訊無(wú)任何的安全防護(hù)能力�����。
“傳達(dá)室”——下一代防火墻
下一代防火墻相當(dāng)于是信息系統(tǒng)的“傳達(dá)室”��!皞鬟_(dá)室”負(fù)責(zé)看門(mén)、登記���、收發(fā)資料和引導(dǎo)來(lái)賓等工作�����,在檢查過(guò)程中對(duì)人員身份證件�、面貌特征等進(jìn)行簡(jiǎn)單檢查,并引導(dǎo)正確的位置�����, 但是人員進(jìn)入后隨意溜達(dá)并接近或逗留于核心業(yè)務(wù)位置�����,“傳達(dá)室”就鞭長(zhǎng)莫及了����。
下一代防火墻同樣部署在全網(wǎng)出口處�,比起傳統(tǒng)防火墻檢測(cè)廣度增加,集成了傳統(tǒng)防火墻��、IPS��、防病毒�����、防垃圾郵件等諸多功能,可以對(duì)上百種應(yīng)用層的通訊協(xié)議進(jìn)行解析���,但所解析的協(xié)議都限于標(biāo)準(zhǔn)通訊協(xié)議���,如FTP、郵件���、LDAP�����、Telnet 等��,對(duì)一些針對(duì)標(biāo)準(zhǔn)協(xié)議的攻擊行為進(jìn)行防范;但對(duì)于數(shù)據(jù)庫(kù)這樣的非標(biāo)準(zhǔn)化通訊協(xié)議�,協(xié)議的復(fù)雜度很高����,當(dāng)前市場(chǎng)上的主流下一代防火墻產(chǎn)品還未能實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)通訊協(xié)議的解析和防護(hù)。因此��,下一代防火墻自然對(duì)數(shù)據(jù)庫(kù)安全的防護(hù)“ 有心無(wú)力”��。
“門(mén)衛(wèi)”——WEB應(yīng)用防火墻(WAF)
WAF相當(dāng)于是信息系統(tǒng)“門(mén)衛(wèi) ”��������!伴T(mén)衛(wèi)”是某個(gè)建筑物或重要部位的警衛(wèi)�,與“大門(mén)”、“ 傳達(dá)室” 不同�����,門(mén)衛(wèi)對(duì)所把守建筑物內(nèi)部情況非常了解��,對(duì)進(jìn)出人員特征也分辨清晰���,一旦有非內(nèi)部可信人員試圖進(jìn)入,門(mén)衛(wèi)就會(huì)細(xì)細(xì)檢查盤(pán)問(wèn)��,但針對(duì)進(jìn)入內(nèi)部后的作案行為便無(wú)計(jì)可施了��。
WAF串行部署在信息系統(tǒng)前端��,提升了系統(tǒng)的攻擊防御能力�����,WAF原理主要是對(duì)Http協(xié)議的解析,并對(duì)Http 協(xié)議中的傳輸內(nèi)容進(jìn)行分析�����,依靠正則式和簡(jiǎn)單規(guī)則庫(kù)可以實(shí)現(xiàn)對(duì)部分SQL注入行為的阻止���,由于WAF的專注程度定位在系統(tǒng)防攻擊�����、防篡改等措施上���,對(duì)于復(fù)雜的SQL注入和數(shù)據(jù)庫(kù)攻擊行為僅進(jìn)行匹配,WAF就應(yīng)接不暇了���,并且早在2012年黑客大會(huì)就公布了150多種可以繞開(kāi)WAF實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的攻擊技術(shù)�����。因此不難看出WAF主要重點(diǎn)在于系統(tǒng)防護(hù)����,針對(duì)數(shù)據(jù)庫(kù)的安全防護(hù)措施��,基本屬于“蜻蜓點(diǎn)水”。
“大管家”——運(yùn)維堡壘機(jī)
運(yùn)維堡壘機(jī)相當(dāng)于信息系統(tǒng)的“大管家”��,幫助主人集中管理協(xié)調(diào)信息內(nèi)辦公人員���,由于不同的人需要用不同的勞動(dòng)工具����,進(jìn)行不同的業(yè)務(wù)操作��,因此大管家還安裝了攝像頭�����,監(jiān)督記錄大家的工作�����。大管家也會(huì)有難以管控之處���,無(wú)法更細(xì)粒度地控制大家使用工具時(shí)都進(jìn)行了哪些具體操作,或者誰(shuí)進(jìn)行了誤操作;大管家同樣無(wú)法防止對(duì)方繞過(guò)自己偷偷到系統(tǒng)禁地做些手腳�����,也無(wú)法防止內(nèi)部工作人員做了內(nèi)應(yīng),進(jìn)行一些不良操作����,如果有些開(kāi)發(fā)人員在業(yè)務(wù)系統(tǒng)中直接種植后門(mén)程序, 這位“大管家”是看不到的����。
運(yùn)維堡壘機(jī)串行部署在運(yùn)維終端與主機(jī)、數(shù)據(jù)庫(kù)之間�, 通過(guò)這種部署方式,可以實(shí)現(xiàn)對(duì)主機(jī)設(shè)備和數(shù)據(jù)庫(kù)的集中管控��,堡壘機(jī)可實(shí)現(xiàn)運(yùn)維過(guò)程中統(tǒng)一認(rèn)證��、統(tǒng)一授權(quán)����、統(tǒng)一審計(jì)。但堡壘機(jī)只能通過(guò)錄屏的方式進(jìn)行錄像審計(jì)���,無(wú)法更細(xì)力度地控制大家在工具內(nèi)的操作�,無(wú)法針對(duì)數(shù)據(jù)庫(kù)管理員誤操作的行為進(jìn)行識(shí)別并加以阻止����,也無(wú)法防止有些開(kāi)發(fā)人員在業(yè)務(wù)系統(tǒng)中直接種植后門(mén)程序����,針對(duì)大批量訪問(wèn)敏感表并造成信息泄密的行為無(wú)能為力���。 ..
|
