什么是数据库防火墙

数据库防火墙（Database Firewall），简称为DBF，是对数据库进行查询过滤和安全审计的安全产品。通过数据库防火墙可以拦截SQL注入攻击，对敏感数据脱敏，阻止高危数据删除操作，记录并发现违规行为等。相比于WAF和RASP，数据库防火墙提供了最后一层对SQL注入的安全防护能力。

与数据库防火墙商业产品相关的安全公司在国内和国外都有不少，相关产品有Oracle Database Firewall支持的Oracle数据库防护，其中开源且支持数据库类型比较多的数据库防火墙为DBShield。数据库防火墙安全模式可分为代理模式、插件模式、插件模式、组件模式、旁路模式。

数据库防火墙，简称为DBF，是对数据库进行查询过滤和安全审计的安全产品。通过数据库防火墙可以拦截SQL注入攻击，对敏感数据脱敏，阻止高危数据删除操作，记录并发现违规行为等。相比于WAF和RASP，数据库防火墙提供了最后一层对SQL注入的安全防护能力。简单来说数据库防火墙应该在入侵在到达数据库之前将其阻断，至少需要在入侵过程中阻断，目的是将来自外部的攻击阻断隔离。

实现数据库安全的基本方法有以下这些：

• 身份认证：在开放共享的物联网环境下，数据库系统必须要求用户进行身份认证。是一个访问数据库的第一道防线，目的是防止非法用户访问数据库。可以说身份认证是安全系统防止非法用户侵入的第一道安全防线。它的目的是识别系统授权的合法用户、防止非法用户访问数据库系统。用户要登录系统时，必须向系统提供用户标识和鉴别信息，以供安全系统识别认证。

• 访问控制：访问控制是指系统内部的访问控制，或者是系统内部主体对客体访问所受到的控制。实施访问控制是维护系统安全、保护系统资源的重要技术手段，也是物联网系统中数据库安全机制的核心。保护的主要目标是被访问的客体。其主要任务是对存取访问权限的确定、授予和实施。其目的就是在保证系统安全的前提下，最大限度地给予资源共享。

• 数据加密：所有数据以可读的原始形式存储在数据库中，某些用户尤其是一些内部用户（包括DBA）仍可能成为高明的入侵者从数据库系统的内存中导出所需要的信息，或者采用其他方式越权打入数据库，从系统的后备存储器上窃取数据或篡改数据。这样也没法保护数据的真实性、可靠性。因此，对于敏感数据的加密保护，也成为数据库安全策略的重要任务之一。

• 审计追踪和攻击检测：审计追踪和攻击检测便成了一个十分重要的安全措施，也是任何一个安全系统中不可缺少的最后一道防线。审计功能在系统运行时，可以自动对数据库的所有操作记录在审计日志中，它用来监视各用户对数据库施加的动作。攻击检测系统则是根据审计数据分析检测内部和外部攻击者的攻击企图，再现导致系统现状的事件，分析发现系统安全的弱点，追查相关责任者。

• 数据库备份与恢复：数据备份与恢复是实现信息安全运行的重要技术之一，能保证信息系统因各种原因遭到破坏时，能尽快投入使用。任何一个数据库在使用过程中，都可能因各种原因而使数据库受到破坏，从而导致系统崩溃，这时就需要对数据库进行相应的安全恢复。

• 分布式事务管理：物联网工程应用中，各应用节点采用分布式结构有机关联，因此，其数据库安全策略应该重视分布式事务管理技术。分布事务管理的目的在于保证事务的正确执行及执行结果的有效性，主要解决系统可靠性、事务并发控制及系统资源的有效利用等问题。分布式事务管理首先要分解为多个子事务到各个站点上去执行，各个服务器之间还必须采取合理的算法进行分布式并发控制和提交，以保证事务的完整性，确保整个物联网数据库系统的安全稳定。