纵深防御
——让数据安全威胁无所遁形
随着全球信息化建设不断发展，企业的数据库规模日益扩增，数据库安全问题随之成为企业IT最大的威胁。

据相关调查报告显示，
●2010年，全球造成严重后果的IT安全事件中，92%的数据泄密是侵入数据库造成的；
●89%的数据泄密是由于黑客采用了SQL注入技术；
●84%的外部侵入利用了管理不善的数据库用户权限；
●数据库安全问题造成的IT系统损失为100%。

随着数据库安全威胁手段不断进化，数据库安全事件频频发生，让人应接不暇。

就在上个月，针对Oracle数据库爆发的比特币勒索事件就引发了行业内强烈关注。

如何更有效地保护数据库不受侵害，如何解决信息数据资产安全，如何满足《信息安全等级保护条例》安全合规要求，成为最受企业关注的问题。

而靠单一产品就想要全面覆盖数据库安全威胁，只能说，想得美！
安华金和作为国内唯一一家提供全面的数据库防线安全产品、服务和解决方案的服务商，肩负着为用户解决数据库所面临的攻击、篡改、泄密、追责等问题的重任。

通过业内领先的数据库纵深防御思路，构建了由外及内的纵深防御机制——针对数据库系统进行安全检测，主动防御外部攻击、内部人员高危操作以及第三方外包人员对数据的窃取；对数据库系统内部的核心数据资产进行加密、脱敏，保证即使数据显露在外，也能从根本上确保数据的安全性；针对一系列数据库的操作行为，进行跟踪审计，追责定责。

安华金和纵深防御思路
过硬的技术+过硬的产品，才能打一场纵深防御的硬仗
数据库安全防护的作用就在于，为用户营造一个安全、稳定、高效的局面，确保用户正常生产运营。

作为一家以技术和产品见长的数据库安全企业，安华金和提供了一套完备的产品线以应对数据库安全威胁。

守护数据安全是安全企业联合用户必须打的一场硬仗，赤手空拳难以取胜，安华金和为用户提供专业的武器——DBsec产品家族齐登场亮相，正如弓弩上弦，刀剑出鞘，这场安全硬仗，必然所向披靡。

就像驻守战场的精兵强将，DBsec家族的每一款产品都能各司其职，各骋所长，合力构建一整套成熟的纵深化防御体系。

其中，做预警工作的保持着灵敏而周全的感知力；做防御工作的有着强大而坚固的坚硬外壳；做防守工作的自有其无法突破的灵魂内核；做追查工作的则保持着准确缜密的探究精神。

这套防御体系通过设置多层重叠的安全防护系统而构成多道防线，即使某一防线失效也能被其他防线弥补或纠正，通过多维度防御屏障或交叉围堵各层之间的疏漏错开，防范安全威胁发生。

纵深防御如何开展，且看安华金和DBsec产品家族如何大放光彩——
一. 检查预警——数据库漏扫DBScan当仁不让
为了做好数据安全防护，安华金和追溯到数据存储的源头——数据库。

数据安全防护，第一步要先从数据库本身入手，确保数据库自身无缺陷、无漏洞、无风险。

因此要对数据库进行安全检查和安全风险评估，一旦发现风险则及时作出预警，继而提供有价值的修复建议，为数据库系统的安全基线提升提供整体有效的参考。

数据库漏扫DBScan闪亮登场，对数据库进行检查预警，DBScan当仁不让。

DBScan像是一台精准的检测仪，具备全面的检测能力，极尽查“漏儿”补“缺”之能事，不仅可查数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞，也可做到敏感数据发现、程序代码漏洞、宽泛权限检测；补的是漏洞产生的原因分析，具有针对性的修复建议，以及修复漏洞所需的命令、脚本、执行步骤等。

做好查漏补缺工作，持续化监控数据库的安全状况，帮助用户增强其数据库的免疫能力，保持数据库的安全健康状态。

数据库漏扫就是在为数据库安全做体检，这就好比一个军医，为即将上战场的精兵们进行全面的身体检查，唯有确保这支队伍拥有强健的体魄，才能更好地冲锋陷阵，杀敌立功，打赢数据库安全防护这场仗。

数据库漏扫，找出数据库自身薄弱点，哪里弱补哪里。

二. 主动防御——数据库防火墙DBFirewall责无旁贷
确保数据库自身无风险，则用户可以安心把数据存放其中，这时候就要考虑来自外部的攻击或者是内鬼的破坏。

对来自各方的威胁进行主动防御。

数据库防火墙——保障系统数据库仅接受来自可信人员和应用发起的访问请求，从根源上彻底杜绝第三方人员、运维人员的非授权行为，减小了被攻击面；通过SQL攻击防护、虚拟补丁等功能，即使数据库没有打“补丁”，数据库防火墙也能防范针对数据库SQL注入和漏洞攻击行为，主动防御安全威胁。

这种主动防御行为还表现为：实现数据库的访问行为控制、危险操作阻断、可疑行为审计。

数据库防火墙外防黑客攻击、内阻高危操作，如同一个精锐敏感的士兵，外可杀敌内可抓奸，让“内鬼”泄密狗带~
三. 底线防守——数据库脱敏DBMasker、数据库加密DBCoffer义不容辞
做好了数据库安全检查，也在数据库外层部署了数据库防火墙这一层防御工事，但仍无法避免数据泄露的情况，因为数据库防火墙防护的是来自数据库服务器外部的非法访问、SQL注入以及漏洞攻击行为。

一旦绕过这层防御进入数据库服务器，可以直接接触到数据；又或者处在开发、培训等场景时，数据要共享给开发人员、第三方外包人员等使用，这就意味着安全威胁突破了数据库防护的最后一道防线。

此时，安华金和祭出底线防守的杀手锏——数据库脱敏系统DBMasker+数据库加密系统DBCoffer。

数据库加密系统——通过对数据进行底层加密，有效防止由于明文存储引起的泄密、防止外部非法入侵窃取敏感数据、防止内部高权限用户数据窃取、防止合法用户违规数据访问。

数据库脱敏系统——通过对开发、培训等场景中的敏感数据进行脱敏，可以有效防止第三方外包人员对敏感数据的滥用，防止敏感数据在未经脱敏的情况下从机构流出。

古语曰：城门失守殃及池鱼。

数据库加密系统和数据库脱敏系统凭借其高超的“隐身术”、“易容术”打破这一颓败局面，让“城门”大开，由两款产品配合上演一出“空城计”，帮
助用户守住“池鱼”。

因为，通过数据脱敏和加密，提升了数据“底线”防守能力，就算拿走磁盘窃取数据，也只相当于得到了一块冷冰冰的物理盘和一堆根本无法看懂的无用数据。

四. 事后追查——数据库审计系统DBAudit肩负重任
层层防御部署完毕，并不代表数据库安全威胁就此望而却步，攻击仍在继续、非法访问仍在继续、高危操作/误操作仍在继续，如何将应对安全威胁的主动权握在自己手里，就需要做到知己又知彼，安华金和的数据库审计系统DBAudit，建立数据库访问的“摄像头”，提升数据库安全监控能力，通过精确的数据库审计功能，能够全程记录和回放针对数据库的攻击行为、篡改行为、泄密行为、误操作行为，为事后追溯定责提供准确依据，同时对上述行为提供邮件、短信、声音等多种报警方式。

DBAudit像是一位记忆力超群、心思缜密，能够牢牢掌握战况局势的幕后军师，他躲在帐幕里，战场上的每一个异常举动却难逃其法眼。

当不法之事发生，军师会将这些事情一一记录并呈报，就让那些不法行为和不法人员等着以军规伺候吧。

安华金和的纵深防御体系是一个全面的，系统化的安全防护体系，它先于用户、全于用户来帮助用户通盘考虑其可能面临的一系列数据安全威胁，将各类数据安全威胁抽丝剥茧，制定出精巧有力、毫无疏漏的防御体系，对各类安全威胁进行围追堵截，用一条覆盖数据库安全防护事前检查、事中控制、事后审核的成熟产品线，捕捉每一个安全防护点，从而形成一个纵深的安全防御面，帮助用户全面实现数据库安全防护和安全合规。

数据库安全防护的战场上，战事连绵不绝，得其法者，事半功倍，而应对之法正在于构建数据库的纵深防御体系。

纵深防御——让数据安全威胁无所遁形。