厘清事实真相是最基本的要求
数据库安全=主机安全 k8凯发游戏
6月1日国家网络安全法正式实施
信息安全行业备受重视
暂时忘了如火如荼的传播造势
安静下来,思考一些基本的安全理念
究竟被混淆了多少
今天,在等保标准里我们先来厘清
数据库安全与数据安全之间的关系?
关于数据库安全,公安部信息安全等级保护评估中心的等保要求解释如下:数据库安全是主机安全的一个部分,数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。
检验一家信息安全企业是否合格,有一个绕不过去的标准——是否做到“以攻促防”?
信息安全企业必须具备“以攻促防”的发展思路
企业要有一块领域,
不为变现,只为驱动技术创新
数据库攻防实验的核心理念是
“以攻促防”
做好数据库安全防护工作的“防”
前提是要像攻击者一样深谙“攻击”之道
因此信息安全企业
需要搭建一套攻防研究体系
这套体系需要投入大量人力、财力
然而却并不会给企业带来眼前的利益
原因何在?
只有对黑客攻击的手段、节奏、危害等做到了然于胸,才能有的放矢,做好防护产品。没有对数据库漏洞攻击的研究,数据库安全防护就好似纸上谈兵,失去了真实依据。
2010年成立的安华金和数据库攻防实验室(dbsec labs),是我国一支独立的、持久的针对数据库安全漏洞、数据库攻击技术模拟和数据库安全防护技术进行研究的专业队伍。对数据库安全漏洞进行研究,是dbslab的首要职责,目前dbsec labs不仅在国产数据库的漏洞挖掘方面卓有成效,而且对国际数据库的漏洞挖掘获得认可;同时,也针对黑客数据库入侵手段、数据库防护手段作了深入研究。
对于信息安全企业来说,能不囿于当下,不盲目追逐眼前利益,而是基于长远考虑,积极投身攻防实验,付出长达数年的潜心研究,实在是一个企业立定在信息安全领域,目光如炬,追求可持续发展的最好体现。
让攻防研究成为技术产品研发的内在驱动力,激发企业在产品和技术研发方面的创新力,为整个信息安全行业的发展释放更大的安全价值。
等级保护要求下的k8凯发游戏纵深防御思路
大量的敏感信息存储于数据库中
按照信息安全等级保护的要求
如何做好核心数据资产的安全防护呢?
数据库安全=dbms系统(数据库管理系统)安全 访问路径安全 核心k8凯发游戏
前两点与主机安全要求正好吻合,等保要求主机安全涉及:身份鉴别、访问控制、安全审计、入侵防范、资源控制、恶意代码防范等方面。对此,安华金和提供的数据库安全纵深防御思路如下:
1)事前诊断
通过数据库漏扫技术,有效监测数据库自身漏洞和使用中的安全隐患,并提供修复建议。
2)事中控制
通过数据库防火墙技术,从网络层实现数据库的主动防御,解决数据库安全的70%问题,能够防止sql注入、数据库漏洞攻击以及对敏感数据的非法访问。
3)底线防守
通过技术,防止由于敏感信息明文存储导致的泄密,依靠独立于数据库的权控体系,实现三权分立的安全管理手段,密文索引提高查询速度,应用透明使现有的应用程序和运维操作无需改变。
通过数据库脱敏技术,彻底解决生产区到测试区的真实数据泄漏,在满足合规要求的同时,实现测试数据依然可用。
4)事后追查
通过数据库审计技术实现数据库操作的全面精确记录,具备风险状况、运行状况、性能状况和语句分布的实时监控能力。
试用申请