现在市场上出现了种类繁多的防火墙和入侵检测系统，虽然他们可以针对从应用层到物理层的各种不同的网络攻击进行识别和保护，但是他们都在保护数据库引擎其底层代码免受外部攻击和内部误操作方面能力有限。以防火墙为例，当我们一旦确定了合法的服务而打开相应的端口时，我们很难对通过这些合法端口的数据进行识别。尤其是针对象SQL注入这类的攻击法，防火墙和IDS根本无法识别有没有攻击发生，因为对他们来说一个来自程序的SQL update命令和drop table命令都是完全合法的。

高效能服务器

　　而Guardium的SQL GUARD 就是针对数据库的这种安全保护而特别开发的一个安全平台。它是一个集预置，可安装于机架上基于网络环境为一体的软硬件服务器。这个自成一体，独立分割的系统，为控制数据库安全访问，监控，报表等提供了一系列强大的功能。由于SQL GUARD服务器可以轻易的与网络界面连接，而且使用非入侵的方式对数据库数据访问的安全进行监控和管理，所以用户在进行简单的系统设定后，SQL GUARD 就可以完成实时监控数据库安全以及提供重要的安全访问审计信息。

　　SQL Guard支持各种主流厂商的数据库：Oracle, IBM, Sybase and Microsoft。虽然SQL Guard对数据库的网络数据吞吐量达到了很高的要求，但由于其采用的被动监视模式，所以并不影响数据库的性能。它能够通过对网络数据的监视获取其数据流量的类别、请求，用户名及其来源，由此分析判断该网络连接是否经过授权。

　　和防火墙类似，SQL Guard的过滤规则在检测到来自预定义的数据源和用户或者包含特殊命令的数据流量的时候，会向安全管理人员发出及时警告。譬如：客户端执行了管理员命令、SQL溢出以及SQL注入式攻击。

　　SQL Guard实际上由三个模块组成的：HealthGuard, PolicyGuard和AuditGuard：
HealthGuard连续不断的监视并估计数据库边界流量，并通过一个分类工具将数据流按照对数据库的威胁等级进行预先分类。该模块收集的信息是其他模块的分析源。

　　PolicyGuard包括策略编辑工具、实时策略告警和自动策略执行功能。安全管理人员可以根据自身的情况利用其定制更合适的策略，譬如：在某个时段内禁止对数据库的访问。违背策略的任何行为都会通过SQL Guard接口、预定的报告或者邮件产生一个告警。
 
　　AuditGuard则是那些为了要达到政府法规要求的企业的必备，如：医疗保险便携性与可计算法案（HIPAA）， GLBA和沙宾法案（SOX）。

　　GUARDIUM 所采用的这种数据库安全管理解决方案，在某种意义上讲，它根除了传统数据库安全管理科技使用的复杂处理方式，以及这些方式带来的对数据库系统的严重负荷。并且，GUARDIUM的解决方案大大减轻了传统解决方式中连带的对重要商业数据库系统的技术风险。SQL GUARD服务器运用其特有的专利算法，对数据访问进行实时监控，然后将监控数据存入自身的关系数据中心仓库。这样，用户历史访问数据可以被选择性的日志拷贝到SQL GUARD 的集合服务器(AGGREATION SERVER) 或者是海量存储网络系统 (STORAGE AREA NETWORK)，当出现安全事故时可以进行更细致的分析。
 
分步式和高延展性的企业体系机构

　　由于SQL GUARD 安全平台特殊的体系设计，SQL GUARD 可以监督，控制网络用户全部SQL数据流。这样的解决方案是将SQL GUARD 放置在网络的集成点上，由SQL GUARD 获取所有的数据库通讯。例如，SQL GUARD 服务器可以放置在与多个数据库相接的核心网络桥接器(Core Layer Switch) 上，这样，即使是分布在不同网络中的不同数据库类型的SQL数据流也可以被监控和管理。
大型企业还可能有众多在不同的地理位置的数据库系统需要进行集中监控，基于这种需求，如果是在企业环境内部署SQL GUARD 服务器，所有数据可以由一架中央服务器获得。SQL GUARD 集合服务器(AGGREGATION SERVER) 就可以起到汇总多个SQL GUARD 服务器传送来的数据，统一对这些获取的SQL数据流进行中央管理。 

　　因此，我们不难看出SQL GUARD 确实不仅是对数据库进行高效安全管理草的有效解决方案, 也是简化数据库审计工作的自动化工具。我想再次强调的是,由于SQL Guard 产品是基于网络设备上通过对数据库服务器在数据流中的数据进行监测，所以对当前客户端用户环境不会产生任何影响，应用程序也不用进行丝毫修改，所以产品本身也不会对数据库服务器的性能产生任何负荷。

更多关于SQL Guard详情：www.guardium.com

全文共2257字节