本发明专利技术公开了一种数据安全智能加固系统,包括敏感数据发现模块、数据库性能审计模块、数据库风险评估模块、数据库审计模块、数据库防火墙模块和数据透明加密模块。本发明专利技术的有益效果在于:多级安全防护,提供可选的数据库安全防护功能包括:敏感数据发现、性能监控、风险评估、粗粒度审计、细粒度审计、防火墙、敏感内容加密。这些模块的安全防护能力是逐步增强的,逐步实现了安全评估、数据活动可视化以及数据安全管理的可控性。高性能,本系统的连续SQL处理能力轻松达到10万每秒,每TB硬盘最低存储能力达到30亿,远高于国内外竞争产品。全面审计范围,本系统审计范围涵盖了所有可能访问数据的途径,不管是内部的还是外部的,是直接的还是间接的。接的还是间接的。接的还是间接的。
【技术实现步骤摘要】
数据安全智能加固系统及方法
[0001]本专利技术涉及数据安全
,尤其涉及一种数据安全智能加固系统及方法。
技术介绍
[0002]近年来,互联网和移动互联网发展十分迅速,互联网和人们的生活结合日益紧密,社会逐步进入了智能时代和数据时代。大量的数据在各种网络上被存储和处理,其中包含大量有价值的敏感数据。随之而来的是,信息系统安全事件出现了新的特征。其中一个特征就是攻击不再以摧毁和破坏信息系统为主要目的,取而代之的是以获取敏感数据为主要目的。
[0003]攻击者为了获取敏感数据,相应的也产生了许多新型的攻击手段,比如SQL注入攻击,APT(高级持续攻击)等。这对新时代的数据安全管理提出了新的挑战。而信息安全也相应的进入了数据安全时代。
[0004]从以上的数据泄密事件可以看出,主要的泄密数据是结构化数据,而结构化数据主要通过数据库来保存和接受查询,其安全防护问题十分重要。据Verizon公布的数据侵犯调查报告显示,92%的泄漏记录来自于数据库泄密。所以数据库的安全问题成了数据安全管理的核心问题之一。
[0005]面对日益严重的数据泄漏问题,我国信息安全重要性被提升到前所未有的高度。
[0006]但是在信息安全产品门类众多的今天,数据泄漏问题仍然屡屡发生,其根本原因有:
[0007]原因一:数据库端防护被忽视。从用户终端到应用服务器部署的防护措施众多,但是部署在应用服务器以后的防护措施较少。而应用服务器后面的数据库服务器存储着敏感数据,且内部的管理人员、开发人员能够比较容易的接触到这些数据。这就容易导致数据在这一段被侵犯,比如丢失和篡改。据Verizon的统计,70%左右的数据泄漏事件,来自于这一段。
[0008]原因二:业务/数据层安全防护手段缺失。在TCP/IP网络通信协议的1
‑
7层(应用层及以下)部署较多的安全防护措施,在应用层以上的业务和数据层(第8层)部署的安全防护措施不足。据OWASP发布的十大Web应用安全漏洞中,业务和数据层的XSS 攻击和SQL注入攻击排名前两位。而SQL注入攻击可以获取敏感数据,对系统的破坏性更直接更大。虽然WAF/NGFW可以在一定程度上阻止SQL注入行为的发生,但是SQL注入仍然可以绕过WAF/NGFW。最简单绕过方式的比如内部人员在WAF/NGFW后进行SQL注入,从而获取数据。
[0009]原因三:数据库自身安全性较低。国内市场上主流的商业数据库,尤其是进口数据库,大都是安全级别在C2级别的数据库,只具有最基本的防护能力,并且还存在较多的软件漏洞。这些特征导致数据库容易受到攻击。
技术实现思路
[0010]有鉴于此,本专利技术提供了一种数据安全智能加固系统及方法,完美解决了数据库
信息安全防护问题。
[0011]为解决上述问题,本专利技术所采取的技术方案是:
[0012]一种数据安全智能加固系统,包括敏感数据发现模块、数据库性能审计模块、数据库风险评估模块、数据库审计模块、数据库防火墙模块和数据透明加密模块。
[0013]更进一步的技术方案是,所述敏感数据发现模块用于通过扫描IP发现服务器、通过扫描端口范围自动发现数据库服务和根据指定的敏感数据条件发现敏感数据,帮助企业了解数据库服务器、敏感数据的分布情况,将所发现的服务器、服务、数据自动分类,以可视化图形的形式进行展示,并导出为报表,所有发现和分类结果加入到后续模块的规则中。
[0014]更进一步的技术方案是,所述数据库性能审计模块用于实时监控数据库运行状态,在状态异常时进行预警,提前防止业务瘫痪,保障业务系统的连续可用性,并将性能审计结果导出为报表,并可以设置告警条件,并记录告警事件。
[0015]更进一步的技术方案是,所述数据库性能审计模块审计内容包括:用户活动状况、数据库内存状态、文件系统状态、查询响应性能。
[0016]更进一步的技术方案是,所述数据库风险评估模块用于通过扫描的方式静态的评估数据库系统的风险。
[0017]更进一步的技术方案是,所述扫描内容包括:弱口令检测、系统漏洞、配置风险。
[0018]更进一步的技术方案是,所述数据库审计模块用于实时监控数据活动情况,自动学习并建立用户和系统对数据的访问行为模式,生成不同粒度的访问规则,进而根据设置的规则评估访问操作的风险等级,并根据风险等级产生告警,选择性的记录访问日志,并提供可视化的日志检索功能,生成可读性高的报表,达到提高数据库及业务系统的安全性的目的。
[0019]更进一步的技术方案是,所述数据库防火墙模块用于实时监控数据活动情况,并基于自动学习建立的数据访问模型,及时评估访问风险,发现并阻断非法访问和攻击。
[0020]更进一步的技术方案是,所述数据透明加密模块用于针对明文的SQL语句重写为针对密文的SQL语句,从而实现透明加密。
[0021]一种数据安全智能加固方法,包括以下步骤:
[0022]S1、敏感数据发现模块,通过对数据库中的数据采集与已知敏感信息知识库进行对比,对数据库中的敏感数据进行标记;
[0023]S2、数据库性能审计模块,通过对数据库本身运行监控,实时监测数据库运行性能风险,并及时告警;
[0024]S3、数据库风险评估模块,数据库安全风险监控,对数据库自身的安全风险进行评估,并结合数据库版本、运行情况进行有效的安全加固;
[0025]S4、数据库审计模块,对数据库运行过程的操作行为进行审计,结合机器学习技术对长久的操作行为进行离散归类,发现异样的高风险操作;
[0026]S5、数据库防火墙模块,针对数据库风险评估结果,建议数据安全防御体系,对入侵数据库的威胁操作进行全面阻止,并形成有效知识库,协议机器学习模块完善风险评估的安全基线;
[0027]S6、数据透明加密模块,对数据库中的数据进行特殊序列加密,保证数据库数据在存储过程中的动态安全。
[0028]本专利技术的有益效果在于:
[0029](1)多级安全防护
[0030]提供可选的数据库安全防护功能包括:敏感数据发现、性能监控、风险评估、粗粒度审计、细粒度审计、防火墙、敏感内容加密。这些模块的安全防护能力是逐步增强的,逐步实现了安全评估、数据活动可视化以及数据安全管理的可控性。
[0031](2)高性能
[0032]实际测试结果表明,本系统的连续SQL处理能力轻松达到10万每秒,每TB硬盘最低存储能力达到30亿,远高于国内外竞争产品。
[0033](3)完善的报表
[0034]本系统提供丰富的审计查询条件和细致的统计分析条件,通过多样化的关联查询分析能力,保证数据展现的灵活多样。同时提供强大的报表模板以及可定制的客户化报表,满足用户不同的需要。
[0035](4)全面审计范围
[0036]本系统审计范围涵盖了所有可能访问数据的途径,不管是内部的还是外部的,是直接的还是间接的。
附图说明
[0037]图1为本本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据安全智能加固系统,其特征在于,包括敏感数据发现模块、数据库性能审计模块、数据库风险评估模块、数据库审计模块、数据库防火墙模块和数据透明加密模块。2.根据权利要求1所述的数据安全智能加固系统,其特征在于,所述敏感数据发现模块用于通过扫描IP发现服务器、通过扫描端口范围自动发现数据库服务和根据指定的敏感数据条件发现敏感数据,帮助企业了解数据库服务器、敏感数据的分布情况,将所发现的服务器、服务、数据自动分类,以可视化图形的形式进行展示,并导出为报表,所有发现和分类结果加入到后续模块的规则中。3.根据权利要求1所述的数据安全智能加固系统,其特征在于,所述数据库性能审计模块用于实时监控数据库运行状态,在状态异常时进行预警,提前防止业务瘫痪,保障业务系统的连续可用性,并将性能审计结果导出为报表,并可以设置告警条件,并记录告警事件。4.根据权利要求3所述的数据安全智能加固系统,其特征在于,所述数据库性能审计模块审计内容包括:用户活动状况、数据库内存状态、文件系统状态、查询响应性能。5.根据权利要求1所述的数据安全智能加固系统,其特征在于,所述数据库风险评估模块用于通过扫描的方式静态的评估数据库系统的风险。6.根据权利要求5所述的数据安全智能加固系统,其特征在于,所述扫描内容包括:弱口令检测、系统漏洞、配置风险。7.根据权利要求1所述的数据安全智能加固系统,其特征在于,所述数据库审计模块用于实时监控数据活动情况,自动学习并建立用户和系统对数据的访问行为模式,生成不同粒度的访问规则,进...
【专利技术属性】
技术研发人员:门嘉平,
申请(专利权)人:北京国联易安信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。