CSBIT
公司的历程
第一部分
公司简介
公司成立于2009年，注册资金1000万，专注于以数据库为核心的数据与业 务安全产品的研发与服务。
公司掌握了具有自主知识产权的数据库安全
加固核心技术： ①数据库状态监控 ②数据库风险扫描 ③数据库审计 ④数据库防火墙 ⑤数据库透明加密 中国科学院、清华大学、北京理工大学等单 位的产学研用基地。
高扩展性
开放性架构，方便添加新的功能、支持新的数据库、三层审计防护
合规性
遵从国内的相关法律法规和评测标准
优势技术
本地审计，密文索引，学习模式，虚拟补丁，高性能，高兼容性
合规性
满足相关法律法规，快速通过相关测评与检查 公安部等级保护
《计算机信息系统安全保护等级划分准则》 GB 17859-1999 《数据库管理系统安全技术要求》GB/T 20273-2006
高性能
每秒高于2万条（中端系统）SQL语句处理能力
大存储
十亿级记录存储能力
VS-TDE
Transparent Database Encryption
第三部分
产品介绍
3
数据库透明加密 防止数据存储介质丢失、DBA权限泄漏、直接复制文件等情况造成的数据泄密
字段加密
有选择性的对用户最 重要、最敏感的数据 进行字段级别的加密
by doctor
VS-DAF
Database Audit and Firewall
第三部分
产品介绍
2.2
访问行为处理流程
静态 规则 ： 口令 与 授权 状态
前置例 外规则 ： 关键字 规则、 主体客 体授权 规则
核心 规则 ： 请求 分类 规则
后置 规则 ： 关键字 规则、 主体客 体授权 规则
CSBIT
安全事件
超过9亿条的数据因为数据库服务器受到侵犯而泄露
第二部分
安全现状
Verizon 2010 数据侵犯调查报告
安全事件
互联网企业泄密事件 企业名称
CSDN 多玩
第二部分
安全现状
泄露账号数量 泄露信息
6,428,632个账号 8,305,005个账号 1,883,487个账号，仍不断增加
保护核心数据，安全每一比特
VisualSec
数据库安全加固系统
Database Enforcement System
张海涛 技术支持部
北京中安比特科技有限公司
目录
第一部分
公司简介 安全现状
第二部分
第三部分
产品介绍
案例分享
第四部分
CSBIT
章节过渡
第一部分 公司简介
• 公司的历程 • 研发团队 • 服务网络 • 公司的客户
第一部分
公司简介
新疆农信银行 军队国防： 武警某部队 军工企业： 兵器集团陕西兵器某所 军工川南机械厂 航空航天： 中国航天科工集团公司
中国电力科学研究院
央企国企： 中国建筑材料集团公司
中国航空集团进出口总公司
章节过渡
第二部分 安全现状
• 安全事件 • 防火墙 • IDS/IPS • UTM • SOC • WAF
内部人员
允许
数据加密
本地代理
禁止
报警
应用系统 外部人员 安全策略
替换
状态监控
风险扫描
产品功能
第三部分
产品介绍
五大核心功能，构成数据库安全加固系统
VS-DAF系列 Database Audit
and Firewall
VS-TDE系列 Transparent Database
数据库安全加固平台
Encryption
部署方式
代理（探针）
第三部分
产品介绍
优点：可以审计应 用系统与数据库系 统部署在同一台服 务器的情况
技术亮点：采用 SQL脚本，以存储 过程的形式获取数 据
VS-DAF 小结
第三部分
产品介绍
灵活的部署方式
端口镜像（旁路）、串接、代理（探针）
支持主流数据库
Oracle, MS Sql Server, DB2, Sybase, Cache，My Sql
产品系列
第三部分
产品介绍
VS-DAF系列：数据库审计、数据库防火墙、数据库状态监控、数据库风险扫描
VS-DAF-200 VS-DAF-400 VS-DAF-600 VS-DAF-800 VS-DAF-1000 VS-DAF-1500 VS-DAF-2000
1U设备
2U设备
VS-TDE系列：数据库透明加密、数据库状态监控、数据库风险扫描
9,695,513个账号（预计超过4000万 账号、明文密码、电子邮件 数据） 人人网 4,768,600个账号 明文密码、电子邮件 账号、MD5加密密码、部分明文密码、电 7,513,773个账号 子邮件、U9昵称 网易土木在线 约4.3GB，137个文件 账号、邮箱、MD5密码、其他相关数据 账号、邮箱、明文密码、角色名称、所在 梦幻西游 约1.4GB（木马盗取） 服务器、最后登录时间、最后登录IP 新浪微博 账号数量未知，疑似文件1个 邮箱、明文密码 麒麟网 9,072,966个账号 账号、明文密码 某婚恋网站 5,261,302个账号 账号、明文密码
VS-DAF
Database Audit and Firewall
第三部分
产品介绍
2.1
规则系统 主体客体授权规则：粗粒度访问控制 IP+APP+LONGIN+TIME OPRATION + TABLE 请求分类规则: 自动学习分类知识 delete from table1 delete from table1 where name = ‘john’ 关键字表达式：高速报告敏感内容 delete from table1 where name = ‘dai’ 正则表达式：自定义任意规则 统方规则：select count(*) from tableXX where name =‘aspl’group
用户活动状况 连接时间 用户个数 连接信息
数据库内存状态 共享内存 命中率 回滚段 表内存 缓冲区
文件系统状态 数据文件性能 磁盘访问
查询响应性能 索引效率 查询统计 查询缓冲命中率 其他信息
and more
产品功能
第三部分
产品介绍
5
数据库风险扫描 即时发现各种管理和系统的风险、帮助修复漏洞
弱口令检
数据库平台
Oracle、Sql Server、Sybase、DB2* Oracle、Sql Server、Sybase、Mysql、DB2
数据库风险监控
数据库防火墙 数据库审计
WINDOW/LINUX/UNIX
WINDOW/LINUX/UNIX WINDOW/LINUX/UNIX
Oracle、Sql Server、Sybase、Mysql、DB2*
SQL越权、注入、内部直接连接、文件复制
WEB2.0 应用层
1. 能够阻止部分SQL注 入攻击、跨站攻击、网页 防篡改 2. 无法阻止内部对数据库 的攻击 3. 无法完全检测到SQL注 入攻击 4. 无法检测SQL越权攻击
TCP/UDP层
IP层
WAF
数据安全
第二部分
安全现状Biblioteka 答案在哪？从数据源头建立的第一道和最后一道防线 彻底防止SQL注入攻击 抵御针对数据库的越权攻击
分离存储
将敏感数据与普通数
密文索引
采用自主专利的密文 索引技术，避免全表 解密，提高检索效率
据分离存储
部署方式
第三部分
产品介绍
部署原则：路由可 达即可 图中两个部署位置 都可以 在数据库系统执行 存储过程
产品功能
第三部分
产品介绍
4
数据库状态监控
实时监控数据库运行状态，在状态异常时进行预警，防止业务瘫痪，保障 业务系统的可用性
账号、明文密码、电子邮件 账号、MD5加密密码、部分明文密码、电 子邮件、多玩昵称 账号、MD5加密密码、部分明文密码、电 子邮件、178昵称（178账户通用NGA）
天涯
防火墙
第二部分
安全现状
防火墙无法阻止从内部发起的攻击行为
WEB2.0 应用层
检测网络层攻击 IP地址、端口等
TCP/UDP层
IP层
章节过渡
第三部分 产品介绍
• 设计理念 • 产品功能 • 规则策略 • 兼容性 • 部署方式
CSBIT
设计理念
从源头保护数据，建立纵深防护体系
第三部分
产品介绍
进不来
拿不走、删不掉
看不到
工作效果
第三部分
产品介绍
内部人员
直接连接、文件复制
应用系统 外部人员
SQL注入、越权攻击
工作效果
第三部分
产品介绍
第三部分
产品介绍
防火墙
对Web层无防护
IDS/IPS
第二部分
安全现状
IDS是单纯的入侵检测，负责记录入侵行为 IPS是入侵防御，可以抵御部分对WEB应用的攻击
WEB2.0 应用层
针对Web应用深度不够
TCP/UDP层
IP层
IPS
只检测已知协议
UTM
第二部分
安全现状
UTM是一种宽泛的防御，集成防火墙，IDS/IPS， VPN，网关杀毒，反垃圾邮件等多种功能于一身
VS-TDE-标准版 VS-TDE-高级版 VS-TDE-企业版
2U设备
VS-DAF
Database Audit and Firewall
第三部分
产品介绍
1
数据库审计 以“第三者”的角度观察和记录网络中对数据库的一切访问行为