数据库防火墙技术参数

数据库防火墙技术参数一、建设目标学校核心的数据库，数据泄露、数据篡改等事件随时都在发生，我校要加强对数据库的全面安全防护，满足数据动态脱敏、攻击防护、运维审批、重要数据恢复等数据安全需求，更好地为教学科研和师生提供方便、快捷、高效、安全的服务，为智慧校园建设保驾护航。建设原则1.安全可靠：数据库安全网关作为智慧校园数据安全的重要组成部分，其建设强调系统的安全性和稳定性，确保了数据的保密性、完整性和可用性。2.统筹集约：数据库安全网关的部署应与智慧校园的整体规划相结合，实现资源共享和优化配置，提高数据安全性和网络的整体效能。3.应用驱动：数据库安全网关的建设应以实际应用需求为核心，解决校园数据安全问题，提升教育信息化应用能力和水平。4.融合创新：数据库安全网关应推动信息技术与校园管理、教学、科研等方面的深度融合，通过创新提升校园治理能力和服务水平。5.数据治理与应用：数据库安全网关的建设应包括数据治理的方法和关键要素，建设数据管理平台，基于数据价值导向的数据应用，确保数据的核心资源得到有效管理和利用。6.最小影响原则：项目开展过程应尽可能小的影响系统和网络的正常运行，不能对现有网络的运行和业务的正常运行产生明显影响（包括系统性能明显下降、网络拥塞、服务中断等）。7.可控性原则：实施方法和过程需要在双方认同（认可）的范围之内，项目进度要严格按照项目工作计划执行，保证对评估工作的可控性。8.标准性原则：安全规划方案的设计与实施应依据国内或国际的相关标准进行。9.规范性原则：项目实施过程和交付物文档，要求具有标准规范性，便于项目的跟踪与控制。10.保密原则：对项目实施中产生的数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害行为，否则将追究责任。11.软件正版化原则：项目所涉及软件必须满足软件正版化要求，并遵循学校软件正版化工作相关规定，如未满足将由乙方承担法律责任。项目需求要实现学校数据库全面安全防护的建设目标，应落实数据安全政策法规及相关需求，充分依托数据安全能力成熟度模型的理念和技术，充分借鉴其他高校的建设经验，结合学校实际开展建设。1.遵循数据安全政策法规：数据库防火墙的建设应符合《信息安全技术数据安全能力成熟度模型》（GB/T37988-2019）等国家标准，确保数据安全和隐私保护符合法律法规要求。2.技术与管理层面对齐：在技术层面，数据库防火墙应支持透明传输模式和反向代理模式，以确保所有数据库访问流量都能通过防火墙进行安全检查。管理层面上，应建立数据共享审批制度，与第三方签订保密协议，规范操作过程，防止数据泄露。3.高可用性与冗余部署：数据库防火墙应支持高可用性部署，如“主-备”、“主-主”或“集群”模式，以确保在设备故障时业务连续性和数据安全性。4.设备虚拟化与IPv6支持：随着云计算和虚拟化技术的发展，数据库防火墙应支持虚拟化部署，并能够适应IPv6网络环境，满足未来网络发展的需求。5.安全事件审计与告警：数据库防火墙应具备全面的安全事件审计能力，能够精确记录和审计登录事件和访问事件，同时提供实时的安全告警功能，以便及时发现和响应潜在的安全威胁。6.数据访问监控与审计：应完善数据访问的监控和审计机制，对日志进行实时的异地存储，严格管理和定期检查管理员权限，确保数据访问的合规性和安全性。7.数据备份与容灾：建立数据的异地容灾备份机制，确保在发生灾难或其他紧急情况时数据的完整性和可用性。8.应急响应机制：建立应急响应机制，以便在发生数据安全事件时能够迅速采取行动，减少损失。9.数据中台建设：通过建立数据中台，对校园各专业系统和业务系统数据进行融合，形成主题库，并通过API等方式提供给第三方使用，实现数据的封装和安全共享。10.数据脱敏处理：在提供数据给第三方使用前，应对数据进行脱敏处理，以保护个人隐私和敏感信息。技术要求1.数据访问控制能力：须通过IP、客户端主机名、操作系统用户名、客户端工具名和数据库账号等多个维度对用户身份进行认证，再结合分类分级平台对数据库进行的分级分类梳理，实现对进出核心数据服务的访问流量进行高效、精准的解析和精细的访问控制，保障数据不会被越权访问。再根据预设的规则有效的识别各种可疑、违规的访问行为，实时放行或者阻断对应的SQL请求与会话，有效地保障数据安全访问的合规性。2.动态脱敏能力：系统须提供对Oracle、MySQL、PostgreSQL、SQLServer、mariadb、DB2、Hive等数据库中敏感数据的动态脱敏功能，内置替换、截断、取整、掩码、乱序、平均值等常见的脱敏方法，MD5、SHA、HASH等标识符变形方法，在实现数据模糊化后，还具有一定的运算和分析价值，真正的实现用户数据的可用不可见。系统丰富的算法库须考虑各种场景下的脱敏需求，减少用户根据实际需求编写自定义算法的过程，即降低使用难度，减轻用户在脱敏算法设置中的工作，又可以有效避免或降低数据泄露的风险。3.自定义规则能力：系统须内置的多种常见的数据攻击规则，针对多种攻击场景提供有效防护。能够有效减少数据破坏，数据勒索，数据窃取，数据误操作等带来的数据风险。同时也须支持用户自定义安全规则，对于具体的数据库操作请求的行为、数据库返回的具体结果可自定义进行命令阻断、会话阻断、动态脱敏等多种规则，有效防止对数据库的攻击、避免误操作行为造成的数据库安全隐患。4.虚拟补丁防护：系统须使用数据库虚拟补丁技术，通过控制数据库的请求参数、类型和个数在一定层面防御黑客利用已公开的数据库安全漏洞攻击数据库，对数据库的安全漏洞起到一定的的防御作用，极大保护未升级漏洞补丁的数据库服务器，有效降低用户数据篡改和泄露的可能。5.高可靠性和稳定性：系统须考虑高可用及高稳定，从软硬件架构层面整体方面考虑系统的稳定性及可靠性。系统采用软硬互补的策略保证设备从整体足够的稳定可靠，任何情况下以不影响客户业务稳定为前提，以安全防护为核心的策略保证数据库的安全。系统安全要求随着平台系统的持续建设，平台系统所涉及的重要信息数据不断增加，不可避免地面临着众多安全威胁。平台系统的安全风险主要体现在信息资源被非法使用，用户越权访问系统资源等方面，针对措施具体包括：1.认证授权：保证用户的合法性和用户使用应用信息资源的权力，避免内部敏感信息泄漏和服务所提供的信息资源被非法访问，造成严重的安全事件。2.信息保密：充分利用密码技术，对于需要保密的信息，采用密码技术进行加解密处理，防止信息的非授权泄漏，确保涉密信息在产生、存储、传递和处理过程中的保密。3.数据完整性：建立数据完整性检验机制，保证收发双方数据的一致性，防止信息被非授权修改。4.防抵赖性：为第三方验证信息源的真实性和信息的完整性提供证据。5.审计：记录应用日志，对事件进行分析，并能提供预警信息。6.数据的可回溯性：当发生数据误操作后，可以实现数据的可回溯性。7.等保二级要求：所建平台系统必须以国家信息安全等级保护二级(等保2.0)要求标准进行建设，并且中标公司须配合学校组织的等保2.0测评工作。如测评结果显示系统未满足等保2.0要求，必须在1个月内整改完毕，整改费用将有中标公司承担，学校不再额外支付。功能模块要求序号名称功能模块要求1数据库安全网关（1）虚拟机推荐配置：CPU：24核24线程；内存：64G；硬盘：2T；默认≥25个数据库实例。（2）部署模式：为适应各种复杂的部署环境，产品部署模式上应满足以下的要求：（2.1）支持透明串联部署，支持硬件bypass。（2.2）支持反向代理方式部署，反向代理部署支持IPV6，支持HA，HA模式下支持策略实时或定期同步。（2.3）策略路由引流部署。（2.4）支持软件化部署，支持入侵检测和入侵防御两种防护模式，入侵检测模式对业务是完全零影响。（2.5）支持旁路部署、集群部署。供应商须提供产品样本资料或官网上公开的技术参数等相关证明材料，未提供或者提供的材料不能证明所投产品能满足此项要求的视为不满足本项要求。（3）支持数据库：支持Oracle、MySQL、Mariadb、PostgreSQL、DB2、MSSqlserver、hive、hbase、kingbase、gbase8a、sybase、informix、MongoDB、达梦（DM）、人大金仓（KingBase）、ODPS、vertica、Guassdb100/200、GreenPlum、spark、TiDB、GoldenDB、HANA、Impala、Presto等数据库支持。（4）数据源扫描：支持新建数据源扫描任务自动发现数据源，可以定时扫描。（5）总览展示与告警：（5.1）展示各个资产的访问控制情况、攻击防护情况、数据脱敏情况、设备运行情况。（5.2）支持风险告警查询，且查询条件支持常见的账号、数据库名、客户端工具、操作系统用户名、客户端IP、操作类型、SQL关键字、执行结果、影响行数、执行时长等字段。（6）支持扫描发现14种敏感信息，包括身份证、银行卡、手机号、座机号、军官证、护照号、车牌号、MAC地址、日期、时间、港澳台通行证、台胞证、邮箱、中文姓名等，同时支持自定义敏感数据扫描规则。支持和分级分类系统对接，调用分级分类系统的结果。（7）审计功能：（7.1）支持数据库操作类、表、视图、索引、存储过程等各种对象的所有SQL操作审计。（7.2）支持访问数据全审计，支持审计数据导出报表。（7.3）审计日志支持syslog、kfaka外发。（8）智能分析：（8.1）支持用户行为建模，可通过一段时间的学习，智能建立用户行为模型，学习期结束后对业务侧正常SQL语句放行，异常SQL阻断或告警。（8.2）支持敏感表访问分析，对用户对敏感表的访问模型分析，可建立敏感数据访问模型。（9）访问控制：（9.1）支持多种数据来源筛选管控，包括IP、客户端主机名、操作系统用户名、客户端工具名、客户端端口、数据库账号、数据库名、对象组、数据级别、操作类型、SQL关键字、SQL长度、执行时长、影响行数、返回结果集等。（9.2）支持与数据分级分类系统结合，实现基于身份认证和数据分级分类细粒度访问控制。（9.3）对于越权的动作可以选择：阻断、脱敏、仅告警。（9.4）支持阻断未经授权的逻辑备份操作，如mysqldump、oracleexp、pg_dump等。（9.5）支持分组管理进行分组管控。（9.6）实现资产和访问控制、身份认证直接的对应。（10）运维审批：（10.1）支持申请运维任务通过邮件发送且通过邮件正文的链接审批。（10.2）支持运维申请手动配置运维对象或者选择对象组。（10.3）支持手动添加运维SQL和导入SQL文件。（10.4）运维任务支持运维资产、运维对象、运维人员和运维时间等维度。（10.5）支持运维任务的两级审批。（11）安全防护能力（11.1）内置的特征策略包含缓冲区溢出、SQL注入、提权、数据库内核入侵探测等常见攻击特征，内置多种数据库安全规则。（11.2）自定义规则支持根据账号、数据库名、客户端工具、操作系统用户名、客户端IP、操作类型、SQL关键字等制定防护策略。（11.3）自定义规则支持根据执行结果、影响行数、执行时长等设置防护策略。（11.4）自定义规则支持针对不同的数据库类型进行独立的策略动作设置。（11.5）支持基于返回行数的sql访问控制。（11.6）支持基于一定时间范围内基于同一会话、同一ip、同一用户、同一工具等维度对数据库访问频次及返回行数的限制。（11.7）规则动作支持允许访问、命令阻断、会话阻断和动态脱敏。（11.8）支持数据库防护虚拟补丁技术，防护未升级数据库，并可以更新维护。（11.9）支持数据库“隐身”，使黑客无法通过常用手段扫描数据库漏洞，从而达到保护数据库的目的，支持主流漏洞扫描器防护。（11.10）内置替换、截断、取整、掩码等常见的脱敏规则算法，实现敏感数据的模糊化。（11.11）支持IP组、操作系统用户名组、客户端主机名组、客户端工具名组、数据库账号组、时间组和对象组的分组管理。（11.12）拦截阻断功能API化，可通过http请求供外部调用。（11.13）支持对接安全管控平台实现规则下发。同时可在数据安全管控平台查看设备运行状态及安全策略总数、告警数量、防护资产数量、在线会话数、虚拟补丁数量、策略执行数量等。（11.14）支持IP组、数据库账号组、组和时间组的导入和导出。（11.15）支持对接零信任基于身份的动态授权访问控制，支持持续鉴别用户身份安全，动态授权访问数据库。（12）动态脱敏（12.1）自定义敏感数据规则，敏感信息发现结果的在线新增、修改和删除。（12.2）动态脱敏支持多种脱敏算法，如字符串取整、遮蔽等。（12.3）支持自定义策略脱敏，关键字、正则表达式、字符长度等。（12.4）支持动态脱敏效果预览。（12.5）对于越权的数据访问进行动态脱敏，防止数据泄露。支持复杂SQL脱敏，例如：字符串拼接、截取、正则表达式替换及截取、行列转换、分析函数等。（12.6）对源数据库的操作影响在毫秒级以内。（13）系统管理（13.1）支持数据自动清理功能，支持根据保留天数和占用百分比自动清理最早的数据。（13.2）支持三权分立，除超级管理员外，内置系统管理员、安全管理员、审计员三种默认用户。（13.3）支持SNMP获取设备信息，支持资源使用报表，支持调试工具：日志下载、连通性检测、tcpdump抓包。（13.4）支持系统配置备份，用户可自定义备份内容，全部备份或选择某个模块/具体规则备份。（13.5）支持系统安全配置如会话锁定、超时退出、IP访问控制、密码复杂性管理等安全措施。（13.6）支持一键恢复出厂设置。（14）操作日志（14.1）支持多操作日志记录(例如：攻击日志、访问控制日志、脱敏日志、告警日志)、日志查询，可以对接日志审计平台。（14.2