今年6月AcFun弹幕视频网（俗称：A����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������站）发布消息称网站受到黑客攻击，近����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������千万条用户数据外泄，包含用����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������户ID、用户昵称、加密存����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������储的密码等信息。根据A站官网发布����� �������Ƴ����������� �������Ƴ����������� �������Ƴ������������ �������Ƴ�������的《关于AcFun受黑客攻击致用户����� �������Ƴ����������� �������Ƴ������������ �������Ƴ����������� �������Ƴ�������数据外泄的公告》，A站曾在201����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������7年7月7日升级了用户账号系统，但如果用户����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������在这个时间之后未登录过网站，或者密码加密强度不����� �������Ƴ����������� �������Ƴ����������� �������Ƴ������������ �������Ƴ������够，则账号仍然会存在泄露的����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������风险。

近几年的数据泄露事件层出不穷，从����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������2017年雅虎30亿用户信息����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������泄露、Uber 5700万用户账号被窃取，到����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������2018年新年伊始就爆出的美国国土����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������安全部雇员信息泄密事件，可谓一波又一波����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������，这次连二次元世界也不能����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������幸免。纵观这些数据泄露事件，大部分都指向了信����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������息安全中一个高对抗性的领域：Web应用安����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������全以及背后的数据库安全。

在今年5月份，Verizon公司刚刚发布了����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������《2018 年数据泄露调查报告》，这����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������也是Verizon连续发布的第11份数据泄露调����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������查报告。在今年的报告中，����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������Verizon团队一共分析了53,000起事件和����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������2,216起确认的数据泄露事件，详细分析了数����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������据泄露事件中常用的攻击方式。报告指����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ������出，在这些泄露事件中，大����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������部分的攻击都指向了Web应用程序：比如在信����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������息行业，49起泄露事件中有45起通过针对Web����� �������Ƴ������������ �������Ƴ����������� �������Ƴ����������� �������Ƴ�������应用程序的攻击而达成，占比超过90%。由此����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������可见，Web应用安全已经是数据泄露����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������事件的最前线，大量的渗透注入、探测、撞库、信����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������息窃取都发生在Web服务器和数据库之间。����� �������Ƴ����������� �������Ƴ������������ �������Ƴ����������� �������Ƴ�������互金类、社交类、游戏类、娱乐出行类互联网����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������已经涉足到了我们日常的生活中每一个角����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������落，对于这些企业来讲，注册用户数据����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������作为网站所有者的核心信息资����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������产，涉及到网站及关����� ������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������������Ƴ�������联����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������信息系统的实质业务，一旦泄露，不仅会造成经济利����� �������Ƴ������������ �������Ƴ����������� �������Ƴ����������� �������Ƴ������益上的损失，还会产生巨大的����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������声讨和信任危机。

首先数据库的应用相当复杂，掌握起来非常困难。许多����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������数据库管理员都忙于管理复杂的系统，疏忽����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������了安全隐患和不当配置的检查，例如����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������数据库访问权限的控制，共用账号����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������，使用特权账号sa、sy����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������stem访问、命令执行的控制。这是由于传统的����� �������Ƴ����������� �������Ƴ����������� �������Ƴ����������� �������Ƴ�������安全体系在很大程度上忽略了����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������数据库安全这一主题，数据库管理员����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������也通常没有把安全问题当作他们的首����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������要任务。

其次，数据的重要性日益剧增，也招����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������致一些非法人员对数据库的攻击，攻击����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������者一般会通过sql注入、APT等攻击方法对其进行攻����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������击，这些漏洞往往不存在数据库层面上，而在中间件����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������上，传统的WAF、数据清洗在����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������应对这类灵活的攻击手段时，����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������由于其本身的局限性，不能做到百����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������分百的安全。

目前世界上主流的关系型数据库，诸如����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������Oracle、Sybase、Mic����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������rosoft SQL Se����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������rver、IBM DB2/Informix等数����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������据库数据库都具有以下特征：用户帐号及密����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������码、校验系统、优先级模型和����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������控制数据库的特别许可、内置����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ������命令（存储过程、触发器等）、唯一的脚本����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������和编程语言（例如PL/SQL、Transacti����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������on-SQL、OEMC等）、中间件、网络协议、����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������强有力的数据库管理实用程����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������序和开发工具。 数据库领域的安全措施通常包括：身����� �������Ƴ������������ �������Ƴ����������� �������Ƴ����������� �������Ƴ�������份识别和身份验证、自主访问控制和强制访问����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������控制、安全传输、系统审计、数据库存储加密����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������等。只有通过综合有关安全����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������的各个环节，才能确保高度安全����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������的系统。

汉领下一代数据库应用安全防御系统（简称NGDAP）是杭州汉领信息科技有限����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������公司自行研制开发的新一代数据防护系统。����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������NGDAP通过对访问数据库的����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������数据流进行采集、分析和识别。实时监视数据库的运����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������行状态，记录多种访问数据库行为，发现对数据库的����� �������Ƴ����������� �������Ƴ����������� �������Ƴ������������ �������Ƴ�������异常访问，并进行及时的阻断。

网络防火墙

数据库网络防火墙主要基于网络行为����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������的控制，基于TCP五元组来实现，根据五元组内的源地址，目����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������标地址，源端口，目标����� ����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ��������������Ƴ����������� �������Ƴ����������� �������Ƴ����������� �������Ƴ������������ �������Ƴ��������端口，传输层协议进行策略控制。

准入防火墙

通过白名单自学习进行访问准入规则的固化（����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ������自动学习到数据库访问行为的五元素—����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������访问源地址异常，访问源主机名称异常，访问源用户����� �������Ƴ����������� �������Ƴ����������� �������Ƴ������������ �������Ƴ������名称异常，访问工具名称异常，登录帐号名����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������称异常，固化安全规则），未被匹配到的数����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������据库接入行为都会进行实时的预警和����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������阻断会话，在不影响性能和修改数����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������据库的情况下，通过持续跟踪所有数据库操����� �������Ƴ������������ �������Ƴ����������� �������Ƴ����������� �������Ƴ�������作来识别未授权的活动或可疑的活动，并����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������及时阻断，避免数据库遭受网络攻����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������击，从根本上解决数据库恶意访问威胁。

行为防火墙

可以精准的追踪到用户的SQL语句命令����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������，可以对来源、目标库、目标表和指定����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������行为进行控制，防止高危违规操作和误操作����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������。

业务防火墙

学习阶段，它会记录分析并统计所有的应用程序发来的����� �������Ƴ����������� �������Ƴ������������ �������Ƴ����������� �������Ƴ�������查询请求，将其自动添加到白名单中来，����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������用户可以确认并调整白名单的内容����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������。切换到主动防御模式后，数据库防火����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������墙首先会对发来的请求数据进行标准化处理，然后将处����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������理后的数据送往模式匹配引擎中，跟白名单中的����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������数据进行比较，如果匹配到相关����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������规则，则认为是合法请求，该数据会被传����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������递到真实的数据库中进行查询，并最后返回给应用程序����� �������Ƴ����������� �������Ƴ������������ �������Ƴ����������� �������Ƴ�������；如果不匹配相关规则，则做出告警或者阻断响应，彻����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������底解决SQL注入、APT����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������等攻击。

部署方式

1. 在不影响性能、不修����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������改数据库的情况下，通过持续����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������跟踪所有数据库操作来识别未授����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������权的活动或可疑的活动，并����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������及时阻断，避免数据库遭受网络攻击；

2. 增进用户对数据库安全管理的便����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������捷性，还能提升用户的风险管控和法����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������规遵从能力；

3. 保障企业业务系统数据的安全����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������性和完整性；

4. 在数据库外围搭设一道防线，从而实现“御敌于����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������国门之外”，为企业业务安全撑起“����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ������保护伞”。