权威解读丨新国标正式实施,数据库防火墙迎来官方正名
一、新国标实施,数据库防火墙迎来官方正名
11月1日,由公安部第三研究所起草,全国信息安全标准化技术委员会归口管理的GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价办法》正式实施。新版防火墙国家标准实施后,将替代原有的防火墙国家标准(如下图所示),为各类防火墙产品的研发、测试和选型提供最权威的指导性意见。
值得一提的是,这是数据库防火墙这一经典数据安全产品,首次正式在国家标准中获得明确定义和要求。这标志着数据库防火墙这一产品形态,已经获得国家、行业和社会的普遍认可。而目前业界对于数据库防火墙这一产品功能标准不一、命名混乱的现状则有望得到极大改善。
△ 公安部销售许可服务平台上关于数据库防火墙的各种分类和命名
二、新国标关于数据库防火墙要求的全面解读
新版防火墙国家标准按照保护对象和资产角度划分为网络型防火墙、Web应用防火墙、数据库防火墙和主机型防火墙,形成了统一的技术框架。同时根据各类防火墙的技术特点、功能属性和安全能力,提出了各类防火墙基本级和增强级安全技术要求的最小集合。
对于数据库防火墙的具体要求如下图所示,主要包括通用性和针对性两类要求。
其中对于数据库防火墙的针对性要求为:
1、应用层控制要求:
1)应用类型控制:数据库协议支持。
2)应用内容控制:
l 访问数据库的应用程序、运维工具;
l 数据库用户名、数据库名、数据表名和数据字段名;
l SQL语句关键字、数据库返回内容关键字;
l 影响行数、返回行数。
2、攻击防护要求:
l 数据库漏洞攻击防护;
l 异常SQL语句阻断;
l 数据库拖库攻击防护;
l 数据库撞库攻击防护。
3、性能要求:
1)SQL请求速率:
l 百兆产品的SQL请求速率应不小于2000个/s;
l 千兆产品的SQL请求速率应不小于10000个/s;
l 万兆产品的SQL请求速率应不小于50000个/s。
2)SQL并发连接数:
l 百兆产品的SQL并发连接数应不小于800个;
l 千兆产品的SQL并发连接数应不小于2000个;
l 万兆产品的SQL并发连接数应不小于4000个。
三、闪捷数据库防火墙:突破创新,实力防护
根据新国标的定义和要求,闪捷数据库防火墙是一款完全满足增强级,甚至在部署模式、高可用性、内容控制和处理性能等方面已经实现了诸多突破和创新的数据库防火墙产品,其主要特性如下:
1、创新部署模式:路由转发模式
除新国标增强级要求的透明传输模式和反向代理模式外,闪捷数据库防火墙创新支持路由转发模式,即通过用户配置策略路由,将应用和数据库之间流量全部都先转发到数据库防火墙处理后,再转发至目标数据库。该模式拥有配置简单、安全性高等优点。
2、超稳定可用
防火墙新国标中对于数据库防火墙高可用性的要求是:支持“主主”、“主备”或“集群”中的一种或多种高可用性模式。而闪捷信息数据库防火墙在对于上述高可用模式全部支持的基础上,额外支持软/硬件Bypass、路由Bypass等更多高可用机制,最大化保障用户业务的连续性和高可用。
3、细粒度管控
闪捷数据库防火墙权限管控基于主体、客体和行为三元组进行设置,每个类别之下再细分多种维度:其中主体颗粒度可细化至用户、IP、主机、程序、时间、频次等;客体颗粒度可达针对表、列、敏感数据、行数等;行为颗粒度可达操作、特权操作、SQL语句、异常、存储过程等;策略组合种类多达数百种,能够精准实现各种数据级的权限管控。远超国标中对于应用内容控制的要求。
4、高处理性能
闪捷数据库防火墙采用先进的技术架构和报文分析算法,千兆产品最高处理性能实测可达24万SQL/s,支持并发连接会话数超过15万条,甚至远超国标中对于万兆产品的性能要求。
5、广泛的落地应用
目前,闪捷数据库防火墙产品已落地应用于政务、金融、医疗、运营商等众多行业领域,帮助国务院扶贫办、国家税务总局新疆税务局等海量客户有效应对了来自内、外部的数据安全威胁,全面保障业务稳定运行及核心数据安全,其优异的性能和完善的服务获得了客户的一致认可和高度评价。
关于闪捷信息:
闪捷信息(Secsmart)是一家专注数据安全的高新技术企业,在业界率先将人工智能、量子加密技术成功应用于数据安全领域,创新性提出“零信任”动态数据安全治理以及“云管端”立体化数据安全解决方案,产品范围涉及数据安全治理、数据加密、数据脱敏、数据库审计、数据库防火墙、数据防泄漏、大数据安全、云数据安全等,已广泛应用于政府、电力、运营商、金融、教育、医疗等行业。