基于堡垒机的数据库防御机制.docVIP

基于堡垒机的数据库防御机制 　　摘要：数据库安全作为信息安全的重要组成部分，已经越来越广泛的引起重视。如何建立一个安全的数据保障体系以确保信息安全可控也是众多专业人士研究的方向。通过堡垒机对数据库进行安全防护是目前发展的一个主流方案。本文旨在探讨，如果通过堡垒机的运作从而建设一个相对安全稳定的数据库环境。 　　关键词：堡垒机；数据库；安全 　　中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2015）22-0001-02 　　Abstract： Database security， as one of the most important component in information security， has caused a widely public attention.How to establish a safety data security system as to ensure the information security system is one of the direction of research by many professionals. The database security is maintained through bastion host，which is the mainstream solution nowadays. This paper mainly study how to creat a safety database security system by bastion host. 　　Key words： Access Gateway； Database； Safety 　　1什么是堡垒机 　　堡垒机，作为一种新型的网络安全防御机制。主要是在网络中通过以网络环境监控，数据流分析，入侵行为检测等手段建立的一个安全可控的环境。从而达到保障网络稳定和数据安全的目的。相对于传统的网络防火墙等设备，他具有更高级别的安全管控能力，对于未知的入侵攻击具有较好的防御效果。 　　2堡垒机的原理和功能 　　堡垒机的工作原理主要是阻断网络和服务器设备对数据库的直接访问。通过协议代理的方式，对所有的方案和操作行为进行分析和过滤，从而保证了可信的数据访问和操作被放行，不可信或被怀疑的攻击行为将被过滤和拦截。 　　堡垒机的主要功能包括两个大的方面，即：核心系统运维和安全审计管控。 　　核心系统运维即类似于防火墙的角色，所有的操作和访问将被堡垒机所监控和过滤，对不合法的命令进行阻断，对目标设备的非法访问将被过滤，同时对所有的操作和访问行为进行记录，以备故障发生后的行为追责。其主要功能包括：单点登录、账号管理、身份认证。 　　单点登录：当用户需要登录到一个大型的业务系统时，只要在一个门户系统中输入用户名和密码，即可无需验证的登录到别的与此系统相互信任的业务系统。而此功能在堡垒机中的体现即对于堡垒机的各个业务系统以及所有堡垒机管控的数据库系统，用户只要在单点登录系统中登录一次，就可以等同于登录全部系统的工作，而无需记录众多系统的登录密码，大大减轻了使用者的工作压力。 　　账号管理：基于单点登录功能，对所有使用者的账号在生命周期内进行统一监控。可以基于角色的设定每个使用者账号的功能和权限。 　　身份认证：基于单点登录功能，提供统一的身份认证功能接口。支持多重模式（动态口令，静态密钥，硬件密钥，生物特征识别等）的验证方式。并且可以通过接口与第三方认证设备进行对接，具有很高的安全性和可靠性。 　　安全审计管控主要是指所有对于数据库的操作需要登录堡垒机来进行。通过用户名密码等手段提升安全等级。通过后台对登录用户的行为记录从而保证风险可控以及事后溯源。其主要功能包括：资源授权、访问控制、操作审计等。 　　资源授权：是指对堡垒机所管辖的资源按照用户、目标设备、时间、协议类型、IP行为等要素实现精细化的操作授权，从而达到最大限度保护用户资源安全的目的。 　　访问控制：作为堡垒机的核心功能，能够按照资源授权的定义，对所有登录用户的操作进行控制。不同的用户按照设定只可以对获得授权的资源进行访问和操控。能够有效的杜绝非法访问，越权访问等事件的发生，从而最大限度的保护用户资源的安全性。 　　操作审计：即对堡垒机所管控设备的操作进行审计。通过对设备录像的方式将实施人员对操作系统，安全设备，网络设备，数据库等所做的操作进行记录，从而进行风险控制。并可通过对具体操作指令的有哪些信誉好的足球投注网站，完成记录的精准定位。 　　3为什么要部署堡垒机 　　随着信息化的不断发展，信息安全的威胁也在持续增长。根据统计：目前100%的企业存在数据安全的威胁。82%的企业存在数据泄露的风险