发现漏洞--设置更严格的WAF过滤--升级补丁--数据被盗取--严格WAF规则……往复循环，安全管理员你还好吗？心疼你一秒！

 

政府、央企、教育、金融、医疗，无论哪个行业的安全管理员，每天都过着修修补补的人生，循环往复。黑客从不客气，总是利用WEB应用缺陷从数据库盗取各种重要资料，传统防护思路有两种：部署WAF进行防护，对特征字符串进行过滤，强化对恶意特征字符串的过滤能力；对框架进行升级安装补丁，这种情况就比较麻烦了，发现漏洞后只能冒着一定风险对框架进行升级安装最新补丁。

 

周而复始且伴随着担惊受怕的日子好似一个泥潭，数据泄露发生后的亡羊补牢不仅不能从根本上切断风险源，愈加繁重的工作量却让管理人员越挣扎陷得越深。

 

 

 

 

跳出泥潭，有效防护从数据库端开始

 

更严格的waf策略，及时的补丁升级……这些头痛医头的传统手段，不仅滞后且无法应对攻击手段快速迭代。制敌当遏其咽喉，打其三寸，万千变化的攻击方式目的总是获取数据库中存储的敏感数据。那么，在黑客入侵的目的地进行防护，则更加直接有效。

 

拒绝黑客调戏，恶意语句“我”自知

 

数据库端的安全防护，重点在于对数据库恶意语句的识别，传统防护手段由于不具备数据库通讯协议的解析能力，面对攻击时存在明显短板。一款足够理解数据库语言，能够精准识别恶意语句， 从而准确识别安全风险，及时阻断和告警的产品是不是广大安全管理员梦寐以求的产品呢？安华金和数据库防火墙应运而生。

 

摒弃被动过滤，主动出击防护

 

黑客想要获取数据库中存储的大量敏感信息，最终都是向数据中发送sql语句。安华金和数据库防火墙基于对数据库通信协议的理解，可以对每条sql语句进行精准解析，判断sql语句的真实意图，比如这句语到底是针对哪个表的哪个字段进行哪种操作。一旦发现违规操作，立即进行拦截并向管理员发出告警，更加准确、有效的进行防护，同时解决了黑客绕过WAF进行的数据库攻击行为。

 

细粒度控制防止黑客模拟用户获得数据

 

手段高明的黑客可以通过巧妙的模拟用户语句，骗过WAF等防护工具对数据库进行访问请求，安华金和数据库防火墙会通过对结果集的特征进行分析，一旦出现异常，立即进行拦截，防止结果集被返回到非法用户手中，而泄露隐私数据。

 

构建安全模型，感知风险，自动拦截

 

安华金和数据库防火墙可以自动根据应用和数据库之间采用的语句构建安全模型。根据SQL语法结构形成的安全模型，有效防护用户后台的数据库不被不可信sql语句所访问：比如由黑客发送的以获取敏感信息为目的的恶意语句。安全模型的建立不仅可以有效的应对已知安全威胁，更可以对未知的安全威胁进行主动防御。

 

传统的防护思路就像西医，头疼医头，脚疼医脚，往往治标不治本。让数据库具备感知风险的能力，从而彻底脱离填补漏洞的被动循环模式才是安全管理员美好生活正解！