Imperva 数据库安全解决方案介绍.ppt

《Imperva 数据库安全解决方案介绍.ppt》由会员分享，可在线阅读，更多相关《Imperva 数据库安全解决方案介绍.ppt（27页珍藏版）》请在三一文库上搜索。

1、Imperva 数据库安全解决方案介绍,内容,Imperva数据库安全解决方案介绍 公司简介和案例介绍,- CONFIDENTIAL -,3,保护和管理数据应做到涵盖: 各种数据存取方法,通过数据库协议的直接数据库存取 DBAs via query tools Internal users via Fat client applications (e.g., Visual Basic) 三层架构的应用 Internal users via Business applications SAP, E-Business Suite, Peoplesoft Custom 3-tier applicat

2、ions Web应用 Internal & External users via browser interfaces Both packaged and custom applications 应用接口 Applications via Web Services Interfaces,Browser,Browser,DBA,Imperva Confidential,数据库安全需要专业的产品-日益增加的数据库安全问题,十个最普遍的数据库安全威胁 1. 越权滥用 2. 合法权限滥用 3. 权限盗用 4. 数据库平台漏洞 5. SQL 注入 6. 缺乏详尽审计 7. 拒绝攻击 8. 数据库通信协议

3、漏洞 9. 弱鉴权机制 10. 备份数据的缺乏保护,Gartner,对现有业务无影响的灵活部署方式,非在线部署 主要用于监视 对网络和应用透明 对网络无影响 在线桥接 支持完全的安全控制动作 亚毫秒及的延迟 非常高的吞吐量 在线路由 支持完全的安全控制动作 对不同子系统提供路由的隔离,Bridge Mode,Routing Mode,Sniffer Mode,数据库监控网关技术 SecureSphere能提供所有数据库审计的需求,审计的基本要点 什么是记录的全部的细节,很多厂家采用汇总的方式省略了访问的细节 只报告数据库的行为和访问的表 例如 “select customer table” 并

4、不知道访问了真正的核心数据 不知道取了多少条记录 为什么呢? 缺乏可扩展性,SecureSphere 收集全部细节 收集真正而真实的 query ( 也可以按要求汇聚) 比如. “Select credit_card_num, SSN from customer table” 通过记录访问的回应信息防止数据的丢失和被窃 跟踪、防止敏感数据的丢失(Credit card, SSN, Acct info) 监视、控制被存取的数据量 如何实现? 对数据库行为实时审计的扩展性好的分布式架构,交互式审计结果分析-汇总,交互式审计结果分析-审计数据,查看返回信息,10,专业主动的评估发现用户现有的数据库和

5、应用的漏洞-Imperva database accessment Tools,数据库系统是否正确的配置? 数据库缺陷/漏洞的评估,动态分析并建立用户访问的行为模型 对应用的各方面元素的类型和数值进行归一化，如： 数据库: SQL Queries, SQL Tables, Users, 等. 动态检测用户的使用特征 确认实时的使用和模型 辨别使用模型的变化 学习用户应用内容的行为模式 识别应用的“元素” 利用统计特征确认新的元素 分析应用“元素”的长度、类型和使用特性 对“元素”的特性进行归一化 对模型的各个元素进行控制，将变化通知管理员,“Dynamic ProfilingTM”动态行为建模

6、,动态建模技术：展示用户的访问模型,用户数据库访问的特征模型,全面的覆盖用户的所有行为要素,评估用户对数据库的访问行为和控制其访问要素,针对数据库的多层次保护,数据库的数据访问策略 针对 SQL和DB 协议的深层次保护，包括数据库的漏洞保护 IP/TCP/UDP 数据包的合法性确认,数据库安全的全面层次的覆盖,灵活的安全策略设定,- CONFIDENTIAL -,15,具备专业审计功能,减少花费,强大的报告生成功能,各种条件灵活的定义想要生成的报告的内容和格式 可以生成数据库审计的汇总或详尽内容的报告 灵活的图形（饼图，柱状图）易于分析阅读 利用ADC更新功能，可以更新内容丰富的报告模板,分布

7、部署,集中管理,应用 服务器,数据库服务器,数据库服务器,应用 服务器,数据库服务器,应用 服务器,业务系统 A,业务系统 B,业务系统 C,在线还是旁路都可支持 也可混合部署,Bridge A,Bridge B,Imperva是一个接口丰富的开放平台,可以和其他安全平台集成在一起,SecureSphere,业务应用系统,业务系统管理基线,Syslog,FTP/SCP,SNMP,调用脚本,业务数据采集系统,Imperva SecureSphere产品线,公司简介,成立于2002年 数据库应用保护和合规性审查领域的领导者（CRN/Yangee Group/InfoWorld评价),产品获得多种奖

8、项，目前市场占有率为40%以上 Imperva公司创始人, Shlomo Kramer （全世界对IT安全影响最大的20人之一，原CheckPoint创始人） 总部在美国，研发中心在以色列 在美国, 欧洲, 日本, 中国, 台湾分别设有分公司或办事处 六千多个用户，其中很多客户为财富 500 公司: 客户遍及银行, 保险,金融,电信,分销,电子商务,电器制造,信息科技等多种行业,产品全球战略合作伙伴,产品支持的数据库品牌: Oracle MS-SQL Server IBM DB2(including Mainframe) Sybase Database Informix,Imperva公司数据

9、库产品国内部分案例,招商银行 中国国际电子商务中心 (商务部电子商务中心, 政府) 黑龙江移动 上海移动 南方电网公司 四川省电网公司 携城旅行网 深圳国税局 (政府) 首钢集团 清华大学 北京大学 宁波银行 华泰证券 B&S link （鸿迅科技） 等,用户案例 招商银行数据中心,数据审计的需求 确保数据的完整性； 让管理者全面了解数据库发生的情况； 在可疑行为发生时启用事先设定的告警流程，防范风险的发生。 具体要求 捕捉数据访问：不论在什么时间、以什么方 式，只要数据被修改或查看了就需要自动对其进行追踪； 捕捉数据库配置变化：当“数据库表结构、控制数据访问的权限和数据库配置模式”等发生变化

10、时，需要进行自动追踪； 安全功能：能自动启动事先设置的告警策略，以便数据库安全管理员及时采取有效应对措施； 审计策略的灵活配置和管理：提供一种简便灵活的方法来配置所有目标服务器； 审计记录的管理：将信息自动整合到一个便于管理的、长期通用的数据存储中，且这些数据需要独立于被审计数据库本身； 灵活的报告生成：临时和周期性地以各种格 式输出审计分析结果，用于显示、打印和保存。,项目需求,Imperva 解决方案,部署：采用2台G8 Imperva数据库审计设备和1台MX管理设备，对招商银行数据中心的各种类型数据库进行统一地审计和监控。 带来的价值 对招行所有的数据库进行统一的审计，并根据需要制定灵活

11、的审计策略； 针对数据库提供实时的告警和保护，在实现数据库审计功能的同时，提供对用户有重要意义的实时安全监控防护功能。 自动为用户产生为量身定制的灵活安全策略，并提供强大的手工定制和调优功能。 可以防御大量未知的、新型的数据库漏洞和数据安全威胁的能力。 对系统的零影响。 对多种类型的数据库集中审计，统一的安全策略实施，统一的管理，极大的降低成本。,数据库是各种业务系统的实时处理和存储数据的核心和基础 业务数据库急需完整审计： 完整审计所有对重要数据的访问,做到有据可查 保证内部重要数据库的安全性,避免内部人员或外部人员的操作造成外泄 避免对内部重要数据被非法修改,计费数据的丢失、破坏和修改 长

12、期以来数据库都没有得到有针对性的安全监控和防护 通常数据库的管理是以灵活性和可靠性为主要标准的，对安全的考虑处于次要地位。 长期以来缺乏专业、系统化的数据库安审计手段,商业要求,Imperva解决方案,部署Imperva SecureSphere G4 DMG数据库网关 Imperva数据库安全设备的部署对现有系统无影响 可以对数据库访问提供实时的审计和监控 提供数据库用户的行为评估以及系统漏洞评估，防止针对数据库本身漏洞的攻击行为 同Oracle等数据库厂商的合作关系保证数据库审计的精确性和完整性 详细、丰富的数据库审计功能 全自动的安全策略定制和执行 可以进行在线和旁路的部署方式 支持完全

13、的各节点、各系统的分布式部署 可以对所有设备在单一管理节点进行统一的管理,Imperva客户 上海移动,Imperva客户 清华大学计算机与信息管理中心,多达70多个应用系统，其中包括学校信息门户、办公信息系统、网络教学系统、教务管理系统、集成财务系统、设备管理系统、人事管理系统、科研管理系统等 的数据都运行在核心数据库上，对于数据库访问人员复杂，管理复杂，急需针对应用系统的数据访问审计和监控 完整审计所有对重要数据的访问,做到有据可查 同大型数据库厂商的合作保证对数据库访问审计的精确性和完整性 整体部署对现有系统无影响 保证重要信息的安全性,避免内部人员或外部人员的操作造成外泄 避免对学籍和

14、内部管理的信息和数据被非法修改, 避免针对应用数据系统的安全漏洞的进行的攻击窃取行为,部署Imperva SecureSphere G4 DMG数据库网关 Imperva数据库安全设备的部署对现有系统无影响 可以对数据库访问提供实时的审计和监控 提供数据库用户的行为评估以及系统漏洞评估，防止针对数据库本身漏洞的攻击行为 同Oracle等数据库厂商的合作关系保证数据库审计的精确性和完整性 详细、丰富的数据库审计功能 全自动的安全策略定制和执行 可以进行在线和旁路的部署方式 支持完全的各节点、各系统的分布式部署 可以对所有设备在单一管理节点进行统一的管理,Thank You,Imperva, Inc.,