随着計(jì)算(suàn)機技術的飛(fēi)速發展，數據庫的應用(yòng)十分廣泛，深入到(dào)各個領域，但(dàn)随之而來(lái)産生了(le)數據的安全問題以及數據庫訪問的安全問題。數據庫系統作(zuò)爲信息的聚集體，是計(jì)算(suàn)機信息系統的核心部件，其安全性至關重要，各種應用(yòng)系統的數據庫中大(dà)量數據的安全問題、敏感數據的防竊取和(hé)防篡改問題，越來(lái)越引起人們的高(gāo)度重視(shì)。

高(gāo)校面臨的數據庫安全風(fēng)險，主要又以下(xià)幾點：

1. 訪問身份鑒别，學生、老(lǎo)師、第三方業務系統的開(kāi)發人員等都能(néng)夠訪問到(dào)數據庫或者接觸到(dào)數據庫提供的服務，傳統的數據庫管理(lǐ)方式存在着管理(lǐ)流程不到(dào)位，技術手段缺失，身份鑒别、接入控制不嚴格的問題；

2. 數據庫運維管控，鑒于高(gāo)校操作(zuò)數據庫人員的複雜(zá)性，高(gāo)校傳統的信息安全建設，往往側重于規範網絡層應用(yòng)用(yòng)戶，聚焦于網絡邊界的訪問控制，但(dàn)對(duì)内部人員卻缺乏有效的行爲管控；

3. 外(wài)部黑客攻擊，SQL注入問題無法根治。

帕拉迪下(xià)一代數據庫應用(yòng)安全防禦系統（簡稱NGDAP）是杭州安存網絡科技有限公司自(zì)行研制開(kāi)發的新一代數據防護系統。NGDAP通過對(duì)訪問數據庫的數據流進行采集、分析和(hé)識别。實時(shí)監視(shì)數據庫的運行狀态，記錄多種訪問數據庫行爲，發現(xiàn)對(duì)數據庫的異常訪問，并進行及時(shí)的阻斷。通過特有4道(dào)防火牆構建數據庫的最高(gāo)安全防護體系：

數據庫網絡防火牆

通過網絡IP地址及協議(yì)端口來(lái)阻止針對(duì)數據庫宿主操作(zuò)系統的未授權訪問行爲，如遠程下(xià)載、拷貝等行爲，解決操作(zuò)系統層面的數據洩漏威脅。

數據庫行爲防火牆

采用(yòng)流會(huì)話(huà)技術對(duì)數據庫協議(yì)進行協議(yì)全解析，能(néng)夠高(gāo)效、精準、及時(shí)的預警并阻斷内部違規數據庫操作(zuò)行爲，使惡意違規操作(zuò)無所遁形。

數據庫準入防火牆

通過白(bái)名單自(zì)學習進行訪問準入規則的固化（自(zì)動學習數據庫訪問行爲的五元素，通過管理(lǐ)者人爲固化安全規則），未被固化的數據庫接入行爲都會(huì)進行實時(shí)的預警和(hé)會(huì)話(huà)阻斷（訪問源準入因子包括：主機名、用(yòng)戶名、應用(yòng)工(gōng)具名及數據庫賬号名等），從(cóng)根本上(shàng)解決數據庫惡意訪問威脅。

數據庫業務防火牆

帕拉迪突破了(le)基于規則庫安全防護體系的技術壁壘，采用(yòng)流會(huì)話(huà)技術對(duì)業務SQL語句的關鍵字、邏輯關系等特征自(zì)動采樣學習，并結合高(gāo)性能(néng)的SQL語義分析計(jì)算(suàn)，構建對(duì)應的SQL語法樹，完成模态數據建模，從(cóng)而對(duì)未知(zhī)威脅進行高(gāo)效、及時(shí)、精準的預警和(hé)阻斷。從(cóng)根本上(shàng)解決三層業務系統訪問的安全威脅，如：SQL注入攻擊、零日攻擊、APT攻擊、網頁木(mù)馬、後門(mén)程序等對(duì)數據庫造成威脅的攻擊行爲。

部署方式

1. 支持旁路部署，獨創旁路阻斷技術，無需改動現(xiàn)有網絡拓撲；

2. 支持透明(míng)網橋部署，獨創無感知(zhī)3層ByPass技術，保證業務連續性； 

3. 支持反代部署，防護數據庫的同時(shí)，隐藏真實IP；

4. 徹底解決零日攻擊、APT攻擊、SQL注入攻擊、網頁木(mù)馬、後門(mén)程序等手段對(duì)數據庫數據造成的威脅； 

5. 無需安裝agent，不需要在數據庫上(shàng)進行配置，在不影響性能(néng)、不修改數據庫的情況下(xià)，通過持續跟蹤所有數據庫操作(zuò)來(lái)識别未授權的活動或可疑的活動，并及時(shí)阻斷，避免數據庫遭受網絡攻擊； 

6. 增進用(yòng)戶對(duì)數據庫安全管理(lǐ)的便捷性，還能(néng)提升用(yòng)戶的風(fēng)險管控和(hé)法規遵從(cóng)能(néng)力； 

7. 保護數據庫内數據可用(yòng)性、保密性和(hé)完整性。