防火墻國標正式實施｜防火墻國家標準形成了統一技術框架 - 網安

2020年11月1日，《信息安全技術防火墻安全技術要求和測試評價方法》將正式實施。

新版防火墻國家標準實施后，將替代原有的防火墻國家標準（如下圖所示），為各類防火墻產品的研發、測試和選型提供最權威的指導性意見。

新一代信息技術發展和威脅風險不斷涌現，推動著防火墻技術和產品的不斷革新，此次新標準在GB/T 20281-2015基礎上，創新性的將各類防火墻國家標準進行了系統、全面梳理，形成了統一的技術框架，將防火墻按照保護對象和資產角度劃分為網絡型防火墻、Web應用防火墻、數據庫防火墻和主機型防火墻，并明確了各類防火墻的定義、安全技術要求、測試評價方法及安全等級劃分。

值得注意的是，網絡型防火墻、WEB應用型防火墻、主機型防火墻都是對原有國家標準的修訂、升級，數據庫防火墻則首次以國家標準形式明確定義和要求，這將直接改觀數據庫防火墻產品水平參差不齊的市場現狀；解決用戶選擇數據庫防火墻產品缺乏國家標準指導的困境；為落地等保2.0數據安全建設、落實關鍵基礎設施數據安全保護提供產品層面標準依據。

新版防火墻國家標準對數據庫防火墻定義為：部署于數據庫服務器前端，對流經的數據庫訪問和響應數據進行解析，能夠具備數據庫訪問控制及安全防護功能的網絡安全產品，并從安全功能、自身安全功能、性能要求和安全保障四個方面提出明確的要求。

隨著新版防火墻國家標準的發布與實施，數據庫防火墻將受到越來越多行業用戶的關注，那么一個成熟的數據庫防火墻產品應具備哪些關鍵能力？

作為該標準核心起草單位之一，數據庫防火墻主力編制單位，美創科技在數據庫安全及數據庫協議具備十余年的研究經驗，產品也廣泛應用于政府、醫療、金融、通信等各個行業，對此，我們總結了以下七點：

高可用和高性能

☆ 高可用：數據庫防火墻部署在應用服務器和數據庫服務器之間，數據庫防火墻任何的風吹草動都會影響業務系統的正常運行。因此數據庫防火墻需要具備冗余部署的能力，能夠支持“主主”、“主備”、“集群”模式，支持軟硬件bypass等可靠性技術，確保系統在各種未知的突發情況發生時，能夠快速切換至正常狀態，保證整個業務的穩定運行。

☆ 高性能：由于業務系統的高并發訪問，數據庫需要對標直連訪問數據庫，1毫秒內SQL處理速率要基本同直連訪問數據庫，避免因數據庫防火墻部署影響業務系統的正常使用。

全面的入侵防御

☆ 數據庫漏洞攻擊防護：依據已公開的CVE漏洞形成檢測策略，能夠精確捕獲、阻斷漏洞攻擊行為。

☆ 虛擬補丁：數據庫的復雜性決定了其會有諸多安全漏洞，這些漏洞一旦被入侵者或非授權用戶利用，后果不堪設想。數據庫廠商并不能在第一時間對漏洞進行修復并發布升級補丁，這要求數據庫防火墻在受保護的數據庫外部建立一個策略實施點，以便在漏洞到達目標之前識別和攔截利用這些漏洞的行為，通過虛擬補丁的功能，能夠在無需修補數據庫內核漏洞的情況下，保護數據庫的安全，從而讓漏洞在非法攻擊中隱形。

☆ SQL注入檢測防護：SQL注入攻擊是數據庫防火墻的核心應用場景，這要求數據庫防火墻對注入攻擊的SQL特征能精準識別和實時阻斷。

☆ 拖庫與撞庫：能夠識別拖庫行為，及時阻斷及時告警，避免數據庫被非法拖庫導致信息泄露事件的發生。撞庫是業務系統面臨的一類非漏洞的攻擊行為，數據庫防火墻要能及時預警、阻斷撞庫行為，解決業務層面的極大風險威脅。

精細度訪問控制

能夠實現基于訪問數據庫的應用程序、運維工具；數據庫用戶名、數據庫名、數據表名和數據字段名；SQL語句關鍵字、數據庫返回內容關鍵字；影響行數、返回行數的細粒度訪問控制。如：

☆ 多維度準入控制：支持對授權的身份賬號（如用戶名密碼）、用戶指紋特征（如IP地址、應用程序、主機名、登陸的時間等）、數字證書客戶端等因素進行多方位鑒定識別，防止惡意身份非法進入數據庫。

☆ 訪問頻次和行數管理：提供訪問頻次控制，避免一定時間內對核心數據的高頻次訪問，避免數據流失。提供基于敏感表格訪問的返回行控制技術，同時能夠對大量返回行事件做出告警、能夠對頻繁的相同語句做出告警，避免數據大量泄漏，保證數據的安全訪問。

☆ 數據庫合規訪問控制：數據庫防火墻需具有強大的自身安全機制，實現系統管理員、審計員等特權賬戶權限的有效劃分，避免出現單一用戶權限過高造成的越權行為。例如：數據庫防火墻系統默認有系統管理員，具有數據防火墻系統的維護權限，但是不具備查看審計結果與創建用戶的權限。

☆ 敏感SQL語句管理：即SQL所帶有敏感信息，對這些SQL需要單獨管理，只授權給可以訪問的身份，拒絕未經授權的身份進行訪問。

敏感數據保護

☆ 應用防假冒認證機制：對于數據庫應用假冒，數據庫防火墻提供相應的應用防假冒認證機制，防止假冒應用訪問數據庫，進行非法操作。

☆ 業務動態脫敏：敏感數據訪問過程中，數據庫防火墻應具備業務動態脫敏功能，根據不同訪問者的權限，返回不同的脫敏數據，避免敏感數據和個人隱私信息泄露。

精確的安全審計和分析

對于審計管理，能夠按照使用場景的不同提供簡單搜索、擴展搜索和高級搜索，能夠根據客戶搜索的條件搜索特定的安全事件信息。

對于業務審計，提供全面詳細的審計記錄、豐富的告警、跟蹤事件記錄，并在此基礎上實現了內容豐富的、動態可跟蹤的實時審計分析和追蹤。

對于審計分析，提供安全事件分析功能，可針對某個登錄主題進行從數據庫登陸到當前操作的時間序列安全事件回溯，是真正基于數據庫會話的一致性回溯，也可以對某條安全事件進行同類事件回顧，回溯相同的安全審計事件在歷史上的發生情況。提供全方面的、細粒度的數據庫審計管理。

智能化告警與風險可視化

-☆ 智能化告警：數據庫防火墻能夠對任何新面孔或異常操作進行主動識別、告警，包括新發現的IP地址、應用程序、數據庫賬戶、應用賬戶、訪問對象、訪問操作、SQL語句等，并通過短信、郵件、動畫等多種手段來保證告警的實時性。

☆ 風險可視化：能夠從數據庫訪問、終端、風險策略、敏感資產等多角度進行監控并可視化展示，直觀、全局、清晰的把握數據庫安全情況。

多種數據庫類型和部署方式支持

☆ 支持透明網橋、代理多種部署模式，能夠滿足不同部署場景需求。

☆ 能夠支持各種主流的關系型、非關系型數據庫（NoSQL）以及大數據平臺組件等數據庫的安全防護