WAF現(xiàn)在已經(jīng)成為許多商業(yè)Web 網(wǎng)站與系統(tǒng)的基本保護(hù)措施，它的確在防范許多針對Web系統(tǒng)的安全攻擊方面卓有成效。但WAF只監(jiān)控通過HTTP方式來的數(shù)據(jù)，而數(shù)據(jù)庫的訪問源頭卻多種多樣，譬如以下幾種數(shù)據(jù)庫訪問方式，WAF并不一定能全面防范對數(shù)據(jù)庫展開的攻擊。

1、組織內(nèi)其他應(yīng)用系統(tǒng)能訪問數(shù)據(jù)庫：比如在電子商務(wù)系統(tǒng)里，價格和庫存可能會用一些自動化的腳本來定時更新。

2、一些內(nèi)部管理程序可以訪問系統(tǒng)，也可能是一些接口，方便雇員添加信息或者發(fā)送信息給客戶。

3、數(shù)據(jù)庫 DBA，IT 經(jīng)理，QA，開發(fā)人員等等內(nèi)部人員通過數(shù)據(jù)庫管理工具可以訪問數(shù)據(jù)庫。

這些潛在的數(shù)據(jù)庫訪問源頭WAF是毫不知情的，來自內(nèi)部的攻擊則更為可怕！數(shù)據(jù)庫暴露的訪問點多種多樣，僅僅依靠單一的防護(hù)手段是不夠的，需要不同的技術(shù)手段加以防護(hù)。審計是安全的數(shù)據(jù)庫系統(tǒng)不可缺少的一部分，因此，建議將web應(yīng)用防火墻與數(shù)據(jù)庫審計系統(tǒng)配合使用，對數(shù)據(jù)庫的防護(hù)效果加倍。

WAF只監(jiān)控通過HTTP方式來的數(shù)據(jù)，而數(shù)據(jù)庫的訪問源頭卻多種多樣，如以下幾種數(shù)據(jù)庫訪問方式：

1、組織內(nèi)其他應(yīng)用系統(tǒng)能訪問數(shù)據(jù)庫：比如在電子商務(wù)系統(tǒng)里，價格和庫存可能會用一些自動化的腳本來定時更新。

2、一些內(nèi)部管理程序可以訪問系統(tǒng)，也可能是一些接口，方便雇員添加信息或者發(fā)送信息給客戶。

3、數(shù)據(jù)庫 DBA，IT 經(jīng)理，QA，開發(fā)人員等等內(nèi)部人員通過數(shù)據(jù)庫管理工具可以訪問數(shù)據(jù)庫。

這些潛在的數(shù)據(jù)庫訪問源頭WAF是毫不知情的，來自內(nèi)部的攻擊則更為可怕!當(dāng)數(shù)據(jù)的價值越來越高，數(shù)據(jù)庫成為“攻擊”目標(biāo)時，僅依靠 WAF的防護(hù)顯得有些捉襟見肘。

數(shù)據(jù)庫審計系統(tǒng)一方面可對數(shù)據(jù)的訪問操作行為做一個完整的記錄，以備違反安全規(guī)則的事件發(fā)生后，能有效的追查責(zé)任和分析原因，必要時還可以為懲罰惡意攻擊行為提供必要的證據(jù)。

另一方面，實施審計準(zhǔn)則之后，審計線索會指出特定人員沒有違反規(guī)程，也沒有破壞性行為，對合法用戶是一種良好的保護(hù)。

從信息安全的角度上看，審計是安全的數(shù)據(jù)庫系統(tǒng)不可缺少的一部分，也是數(shù)據(jù)庫的最后一道重要的安全防線。

防統(tǒng)方系統(tǒng) ANKKI AAS-P，采用獨立的硬件架構(gòu)，主系統(tǒng)包含：

●審計引擎及管理后臺軟件、資產(chǎn)發(fā)現(xiàn)、事件回放、語句翻譯、策略管理、告警管理、權(quán)限管理、系統(tǒng)日志、狀態(tài)監(jiān)控、三層關(guān)聯(lián)審計、加密審計支持、旁路阻斷功能、抗菌藥物試劑及耗材分析、敏感數(shù)據(jù)防護(hù)、本地審計

●支持主流數(shù)據(jù)庫類型：：Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、人大金倉、達(dá)夢、神州通用等

支持對Caché數(shù)據(jù)庫的M語言的審計，包括傳統(tǒng)的sql工具如Sqlmanager/WinSql，和特有的Medtrak、Studio、Portal、Terminal工具，能夠?qū)Χ喾NCaché版本進(jìn)行審計，能夠?qū)﹂_發(fā)和維護(hù)global變量、方法過程進(jìn)行監(jiān)控審計；

支持對HIS系統(tǒng)、Telnet、CachePORTAL、FTP等信息的采集和審計,支持處方還原

SQL審計處理能力（吞吐）峰值≥1Gbps

SQL審計處理能力（速率）峰值≥24000SQL/S

日志在線存儲24億條；

不限制數(shù)據(jù)庫實例數(shù)；

CPU：4核8線程；

內(nèi)存：16GB；

硬盤：4TB HDD硬盤*1；240G SSD硬盤*2；

網(wǎng)卡：千兆電口*6；萬兆光口*2；

電源：高效節(jié)能服務(wù)器電源

我們的平臺采用了新的架構(gòu)，引入了大數(shù)據(jù)組件層次化設(shè)計。大數(shù)據(jù)搜索引擎實現(xiàn)海量數(shù)據(jù)的快速檢索；數(shù)據(jù)分析層采用多進(jìn)程、高效緩存機(jī)制對源數(shù)據(jù)與系統(tǒng)的情景模型進(jìn)行快速匹配分析，實現(xiàn)實時分析，實時告警，實時聯(lián)動；平臺預(yù)置AI學(xué)習(xí)引擎，能快速對源數(shù)據(jù)進(jìn)行學(xué)習(xí)建模，實現(xiàn)異常行為的快速定位和識別。平臺已完成多場景化的適配應(yīng)用，包括鯤鵬大數(shù)據(jù)平臺，阿里的大數(shù)據(jù)平臺、華為的數(shù)據(jù)中臺，我們做到與新場景新技術(shù)的快速匹配和對接。

Ankki DSP的數(shù)據(jù)安全治理平臺有如下幾方面優(yōu)勢：開放的體系結(jié)構(gòu)，不僅能對接我們自身的產(chǎn)品，還可以對接其他廠商安全產(chǎn)品；具備采集完整、風(fēng)險可量化、風(fēng)險識別精準(zhǔn)的特點；支持多種數(shù)據(jù)接口，方便對接；分布式大數(shù)據(jù)平臺，支持支持Tomcat、spark、ES、kafka等組件，保障系統(tǒng)數(shù)據(jù)分析能力、系統(tǒng)可擴(kuò)展性。

首先我們在市面上看到的大多是網(wǎng)絡(luò)安全態(tài)勢感知，它主要是從網(wǎng)絡(luò)攻擊行為（如病毒等）態(tài)勢進(jìn)行分析展示；而我們的數(shù)據(jù)安全態(tài)勢感知（數(shù)據(jù)安全治理平臺）是以數(shù)據(jù)安全為核心，圍繞數(shù)據(jù)的全生命周期從數(shù)據(jù)安全總體態(tài)勢、風(fēng)險態(tài)勢、健康態(tài)勢、脆弱性態(tài)勢、資產(chǎn)態(tài)勢的維度分析展示，并能聯(lián)動周邊安全產(chǎn)品實現(xiàn)聯(lián)動聯(lián)防，以此建立體系化的數(shù)據(jù)安全治理作戰(zhàn)平臺。

Ankki DSP數(shù)據(jù)安全治理平臺是國內(nèi)唯一進(jìn)入Gartner《2021數(shù)據(jù)安全技術(shù)成熟度曲線》的數(shù)據(jù)安全代表廠家。對比其他同類產(chǎn)品來說，昂楷提早布局推廣數(shù)據(jù)安全綜合治理方案，落地到政府、金融、醫(yī)療等行業(yè)。

目前數(shù)據(jù)分級分類支持的數(shù)據(jù)庫類型有如下：

1)可以自動掃描發(fā)現(xiàn)的數(shù)據(jù)庫類型有：oracle、mysql、sqlserver、db2、postgresql、sybase、informix、Caché

2)可以進(jìn)行分類分級的數(shù)據(jù)庫類型有：oracle、mysql、sqlserver、db2、PostgreSQL、sybase、informix、Caché、hive、MongoDB、達(dá)夢（DMDbms）、GaussDB、Teradata、人大金倉（Kingbase）、星環(huán)、ES

數(shù)據(jù)庫防火墻可以上云部署，目前僅支持代理網(wǎng)橋模式部署，需要將客戶端邏輯連接數(shù)據(jù)庫防火墻設(shè)備地址，數(shù)據(jù)庫防火墻設(shè)備轉(zhuǎn)發(fā)流量到數(shù)據(jù)庫服務(wù)器。

目前數(shù)據(jù)脫敏支持兩種形式脫敏：

第一種是靜態(tài)脫敏，靜態(tài)脫敏系統(tǒng)使用客戶配置的只讀賬號從源數(shù)據(jù)庫抽取出需要脫敏的數(shù)據(jù)，再根據(jù)客戶配置的脫敏規(guī)則對數(shù)據(jù)進(jìn)行隱私化處理，最后將處理后的數(shù)據(jù)插入到目標(biāo)測試庫中。脫敏過程中數(shù)據(jù)全程都不會存儲于我們的設(shè)備中，實現(xiàn)的是數(shù)據(jù)不落地的原則。脫敏后的數(shù)據(jù)與生產(chǎn)環(huán)境隔離，開發(fā)、測試、培訓(xùn)、分析人員可以在目標(biāo)測試數(shù)據(jù)庫中隨意取用測試數(shù)據(jù)，并進(jìn)行讀寫操作，滿足業(yè)務(wù)需要的同時保障生產(chǎn)數(shù)據(jù)庫的安全。

靜態(tài)脫敏一般應(yīng)用于非生產(chǎn)環(huán)境，將敏感數(shù)據(jù)從生產(chǎn)環(huán)境抽取并脫敏后下發(fā)到非生產(chǎn)環(huán)境使用，常用于培訓(xùn)、分析、測試、開發(fā)等非生產(chǎn)系統(tǒng)的數(shù)據(jù)庫。

第二種是動態(tài)脫敏，動態(tài)脫敏采用代理部署模式，進(jìn)行應(yīng)用層解析，對返回結(jié)果進(jìn)行脫敏處理。客戶端先訪問到脫敏系統(tǒng)，脫敏系統(tǒng)根據(jù)客戶端訪問請求，通過代理用戶訪問數(shù)據(jù)庫，數(shù)據(jù)庫接收請求后返回結(jié)果給脫敏系統(tǒng)，脫敏系統(tǒng)再根據(jù)不同用戶身份特征，指定對應(yīng)的數(shù)據(jù)脫敏規(guī)則對返回數(shù)據(jù)進(jìn)行脫敏處理，再將脫敏后的數(shù)據(jù)返回給客戶端，即針對生產(chǎn)庫返回的數(shù)據(jù)進(jìn)行實時脫敏處理，同時限制響應(yīng)一個查詢所返回的行數(shù)，確保返回數(shù)據(jù)的可用性和安全性。

誤報漏報的關(guān)鍵是審計能力及審計性能。我們的系統(tǒng)采取電信級架構(gòu)設(shè)計，支持深度檢測、雙向?qū)徲嫞槍σ恍┖诳图墑e的操作能做到不漏審不誤審，如綁定變量操作、嵌套語句、函數(shù)語句等，還能適應(yīng)三層架構(gòu)、加密、虛擬化等復(fù)雜應(yīng)用環(huán)境。另外我們還獨創(chuàng)“六元組”，幫助客戶第一時間發(fā)現(xiàn)問題所在。

1.一般SQL注入猜測

2.SQL寫操作關(guān)鍵字

3.SQL存儲過程關(guān)鍵字

4.系統(tǒng)SHELL關(guān)鍵字

5.一般注入測試

6.XSS攻擊

7.攔截,MDB文件下載

8.攔截EXE文件上傳。