数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术，数据库防火墙部署于应用服务器和数据库之间。用户必须通过该系统才能对数据库进行访问或管理。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界(FireWall、IDS\IPS等)防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏的等，从数据库SQL语句精细化控制的技术层面，提供一种主动安全防御措施，并且，结合独立于数据库的安全访问控制规则，帮助用户应对来自内部和外部的数据安全威胁。

屏蔽直接访问数据库的通道:数据库防火墙部署介于数据库服务器和应用服务器之间，屏蔽直接访问的通道，防止数据库隐通道对数据库的攻击。二次认证:基于独创的"连接六元组【机器指纹(不可伪造)、IP地址、MAC地址、用户、应用程序、时间段】"授权单位，应用程序对数据库的访问，必须经过数据库防火墙和数据库自身两层身份认证。攻击保护:实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为，同时详细的审计下攻击操作发生的时间、来源IP、登录数据库的用户名、攻击代码等详细信息。连接监控:实时的监控所有到数据库的连接信息、操作数、违规数等。管理员可以断开指定的连接。安全审计:系统能够审计对数据库服务器的访问情况。包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、执行结果等等信息。并提供灵活的回放日志查询分析功能，并可以生存报表。审计探针:本系统在作为数据库防火墙的同时，还可以作为数据库审计系统的数据获取引擎，将通信内容发送到审计系统中。细粒度权限控制:按照SQL操作类型包括Select、Insert、Update、Delete,对象拥有者，及基于表、视图对象、列进行权限控制精准SQL语法分析:高性能SQL语义分析引擎，对数据库的SQL语句操作，进行实时捕获、识别、分类自动SQL学习:基于自学习机制的风险管控模型，主动监控数据库活动，防止未授权的数据库访问、SQL注入、权限或角色升级，以及对敏感数据的非法访问等。透明部署:无须改变网络结构、应用部署、应用程序内部逻辑、前端用户习惯等

支持桥接、网关和混合接入方式基于硬件的BYPASS能力，防止单点失效多线程技术和缓存技术，支持高并发连接配置管理采用浏览器界面，方便学习和使用现有应用程序与透明数据库防火墙之间可以无缝连接，部署和配置过程简单可以灵活的对每个应用程序的访问权限进行配置，可以选择全部放行、到数据库级别、模式级别、表级别、字段级别的权限控制支持基于安全等级标记的访问控制策略可以选择违规响应策略，审计、拒绝访问可以配置审计的内容，对于违规等重要的事件，系统进行强制审计。用户也可以选择对常规操作进行审计先进的查询功能，并可以使用多个查询条件，包括时间、IP、用户名、风险等级等支持双机热备功能，保障连续服务能力

DBFirewall支持两种串联模式:

透明网桥模式:在网络上物理串联接入DBFirewall设备，所

有用户访问的网络流量都串联流经设备;通过透明网桥技术，客户端看到的数据库地址不变。

代理接入模式:网络上并联接入DBFirewall设备，客户端逻辑连接防火墙设备地址，防火墙设备转发流量到数据库服务器;通过代理接入模式，网络拓扑结构不变。

旁路部署模式

DBFirewall设备不直接接入网络，而是通过TAP、SPAN等技术将网络流量映射到防火墙设备;通过旁路部署模式既不改变网络拓扑，也不在应用链路上增加新的设备点。

随着互联网技术和信息技术的迅速发展，以数据库为基础的信息系统在经济、金融、医疗等领域的信息基础设施建设中得到了广泛的应用，越来越多的数据信息被不同组织和机构(例如，统计部门、医院、保险公司等)搜集、存储以及发布，其中大量信息被用于行业合作和数据共享。但是在新的网络环境中，由于信息的易获取性，这些包含在数据库系统中的关乎国家安全、商业或技术机密、个人隐私等涉密信息将面临更多的安全威胁。当前，日益增长的信息泄露问题已然成为影响社会和谐的一大障碍。

数据泄漏事件几乎覆盖所有行业，例如:

(1) 金融行业:2012年4月，visa信用卡泄密事件致使150万个账户受影响。

(2) 政府部门:2011年12月，广东公安厅技术漏洞致444万出入境数据泄漏。

(3) 互联网:2011年岁末，数据泄密信息过亿，其中当当网1200万用户信息泄漏;支付宝账户泄漏达1500万到2500万;CSDN 600余万用户信息泄漏。

(4) 电信行业:2011年3月，陕西移动1394万用户信息被盗。

(5) 医疗行业:2008年深圳4万余名孕妇信息泄漏。

由上述案例可见，数据泄漏无处不在，且愈演愈烈。据Verizon公司的数据泄漏调查报告统计显示:有90%以上的数据泄漏是由数据库被盗引起的。

现有边界防御安全产品和解决方案均采用被动防御技术，无法从根本上解决各组织数据库数据所面临的安全威胁和风险，解决数据库数据安全需要专用的数据库安全设备从根本上解决数据安全问题。

防止外部黑客攻击威胁:黑客利用Web应用漏洞，进行SQL注入;或以Web应用服务器为跳板，利用数据库自身漏洞攻击和侵入。

防护:通过虚拟补丁技术捕获和阻断漏洞攻击行为，通过SQL注入特征库捕获和阻断SQL注入行为。

防止内部高危操作

威胁:系统维护人员、外包人员、开发人员等，拥有直接访问数据库的权限，有意无意的高危操作对数据造成破坏。

防护:通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。

防止敏感数据泄漏

威胁:黑客、开发人员可以通过应用批量下载敏感数据，内部维护人员远程或本地批量导出敏感数据。

防护:限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。

审计追踪非法行为

威胁:业务人员在利益诱惑下，通过业务系统提供的功能完成对敏感信息的访问，进行信息的售卖和数据篡改。

防护:提供对所有数据访问行为的记录，对风险行为进行SysLog、邮件、短信等方式的告警，提供事后追踪分析工具。

一， 数据库置疑产生的原因

二， 数据库置疑的预防

三， 数据库置疑的修复

1、SQLServer所在分区空间是否够?数据库文件大小是否达到最大文件限制?

FAT32的格式只支持四G以内的文件

2、 数据库文件损坏或被非正常删除时出现这种情况

3、 病毒防火墙的扫描也会引起数据库置疑

4、 当SQLServer启动时，将会尝试获得对数据库文件的排他访问权，如果此时该文件被其他程序占用，或者遗失，数据库将会被标记为置疑。

5、 电脑非法关机也会造成数据库置疑

6、 电脑磁盘有坏道有可能造成数据库置疑

1、 数据库存放的盘符，空间是否够大，经常检查盘符的空间

2、 数据库存放的盘符的格式设置为NTFS格式

3、 进行病毒清除时，尽量把SQL服务停掉，再进行检查

4、 尽量减少非正常关机

5、 建议客户购买后备电源

6、 给客户实施软件之后一定要做好自动备份

7、 建议客户每隔一定时间手动备份一次

1， 点击后台登录时，如果提示如下图片就有可能表示数据库置疑了

2， 需要确认检查数据库置疑，打开企业管理器中的数据库目录，如下图显示表示置疑

下面所有修复置疑的语法，在没有特别提到时，默认数据库都请选择(Master)数据库)

3， 修复置疑(必须在SQL的查询分析器中才能进行数据修复置疑工作)

A、 打开查询分析器，当数据置疑之后在查询分析器中是看不到置疑的数据库名称的，所以进入查询分析器之后，所选数据库默认(Master)数据库即可。(复制下面置疑语法到查询分析器中执行。

lubanPDS系统是依托鲁班算量创建的BIM和全过程造价数据为基础，把原来分散在个人手中的工程信息模型汇总到企业，形成一个汇总的企业项目基础数据库，企业不同岗位都可以进行数据的查询和分析。为总部管理和决策提供依据，为项目部的成本管理提供依据。

四大核心

(1) BIM库

建立企业级项目基础数据(BIM)

(2) 汇总、统计、分析

自动汇总分散在各项目中的工程模型，建立企业工程基础数据库。

自动拆分、统计各部门所需数据，为决策做依据。

自动拆分工程人、材、机数量，形成多工程对比。

(3) 协同、共享

建立共享的数据平台，提高各部门间协同效率。

(4) 与ERP接口

与ERP系统数据互通、共享。

成本分析数据信息化、自动化、智能化。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

在具体应用防火墙技术时，还要考虑到两个方面:

一是防火墙是不能防病毒的，尽管有不少的防火墙产品声称其具有这个功能。 二是防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。并且，防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。

总之，防火墙是企业网安全问题的流行方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。