数据库虚拟补丁技术，打造轻安全

用户在思考，厂商就变革。当各类安全重型“武器”摆在客户面前使用时，当客户的IT系统在各个层面均需要不同的安全设备防护时，问题来了：如同盔甲上身，武器装备多了，动作步伐也会变得沉重起来。安华金和关注数据存储的最核心介质――数据库安全，自主研发产品，不断体会客户的使用感受，提升产品易用性，让安全运维变得轻盈可控。数据库虚拟补丁技术，就是在这种理念下的一种技术产物。

什么是数据库虚拟补丁

虚拟补丁技术是通过控制所保护系统的输入输出，防止对数据库系统的漏洞攻击行为的技术，是对已有数据库系统通过外围的方式，针对漏洞攻击的特征进行攻击行为发现和拦截的安全防御手段。它使针对漏洞防御的实施更为轻量，更为及时。

虚拟补丁技术较早的使用是在web应用系统上，较早提出这个概念的是趋势科技，近来绿盟也加入了这个领域，也是应用在web上。数据库的虚拟补丁是近几年的防御技术，较早提出的是Mcaffee，国内数据库安全厂商安华金和也是这方面的佼佼者。

数据库虚拟补丁一般是集成在数据库防火墙产品中，数据库防火墙是一款新的、有效针对数据库进行主动安全防御的产品，目前安华金和是国内首家数据库防火墙供应商。这种技术，一经面世，就受到了国内外用户的广泛欢迎；除了防御能力外，国内用户欢迎的一个重要原因还在于，在以极光为代表的网络漏扫工具，每年都会对数据库主机报告数十个高中危漏洞，然而发布漏洞补丁需要一定的周期，其次漏洞补丁的升级在带来相应的人力，物力成本的同时存在相应的风险，与之相反的是被检测单位亟待解决这些数据库漏洞问题，而虚拟补丁技术，无疑也对这种现实的需求提供了有效的解决方案。

数据库虚拟补丁技术

常规的数据库虚拟补丁技术主要分2种：

技术一： 修改数据库程序的运行时代码。如果发现攻击涉及到某些存储敏感信息的数据表，会创造一个输出补丁，从而改变数据库返回的结果集输出的方向，向某特定地址传输该数据包。

技术二：在数据库的前端设置某种类型代理，以控制数据库的输入和输出，从而阻止或消除攻击行为。可以检测对漏洞的尝试利用，并终止可疑的会话。

当前市场上的数据库防护工具，如果具备数据库漏洞防护能力，通常采用第二种虚拟补丁防护方式，避免对数据库做代码层级的改动。安华金和数据库防火墙产品（DBFirewall）中提供了虚拟补丁技术，所采用的是第二种技术，无需修改动用用户的数据库运行代码，通过在数据库外的网络层创建一个安全层，用户在无需补丁的情况下，即可帮助用户主动防御外部入侵数据库。DBFirewall支持22类460个虚拟补丁。

数据库虚拟补丁在数据库防护中的作用

随着网络黑客的攻击活动方式越来越多，速度越来越快，针对信息系统的漏洞研究和系统安全漏洞的修补，成为了攻与防永恒的主题。但系统漏洞的修补永远晚于漏洞的发现，系统设计的缺陷导致漏洞难以修补，现实稳定运行的信息系统难以接受系统的升级等等，这些原因都造成了现实世界中诸多被暴露了漏洞的系统仍然在持续‘裸奔’中。这如同已经被曝了安全隐患的汽车，无法召回，人们只能祈祷‘厄运’不要降临在自己身上。

在信息安全日益严峻的今天，系统漏洞从来就没有真正消失，许多公司都在为系统打补丁的工作付出超额的人力成本，但等待安装安全补丁的维护时期，则是一段艰难和危险的过程，这与黑客多次利用零日（0day）漏洞大规模攻击形成鲜明对比。

虚拟补丁的防护机制正是过监控所有数据库活动，获取通讯信息。利用监控数据与保护规则相比较，从而发现攻击企图。当比较结果与规则匹配时，就发出告警警报，并根据防护策略及时的终止可疑会话、操作程序或隔离用户，直到这个可疑的活动被审查通过。

虚拟补丁的优势所在，就是可以在无需修补DBMS内核的情况下保护数据库。虚拟补丁在数据库外创建了一个安全层，从而无需根据数据库厂商提供的补丁做数据库修复，也不需要停止服务和回归测试。

数据库虚拟补丁技术，作为数据库漏洞防护体系中最简便、最节省资源的处理方式，具有极高的可应用性。其价值不仅在于对数据库漏洞的简单防护，未来更可以配合数据库漏扫系统，为数据库建立起周密而可对照的检测与防护系统。作为数据库防火墙的重要功能组件，其价值更在数据库防护过程中得到充分的体现。