【IT168 资讯】“CSDN泄密事件”、“小米用户账号信息曝光”、“Facebook数据泄”……触目惊心的数据库泄漏事件一件接一件层出不穷。不但给企业、客户带来经济损失，也造成了巨大的社会影响。

　　而针对这种存储在数据库中的数据，信息安全行业内一直都在尝试各种安全防护手段。比如堡垒主机、数据库审计等产品，但是很明显，即使客户在实施了这些对数据库的安全防护方案的情况下，大量针对数据库中数据的攻击行为、数据库数据的泄漏/篡改行为还是屡见不鲜。因为堡垒主机解决的是否能登录到数据库服务器的问题，即进数据库之前的问题;数据库审计是将所有对数据库的访问行为做记录供事后追溯，解决的是发生泄露事件之后的追责问题。这两类产品对于用户登录数据库后对库中数据进行的各种操作、各种修改、各种数据下载的问题，无法及时发现、及时制止。只能在数据库泄漏、篡改事件发生之前、之后，进行登录权限检查和操作内容追溯。这种“马后炮”的防护方式，已经远远无法解决当前数据库面临的安全风险。

　　大量的客户，特别是已经部署了堡垒主机、数据库审计等防护手段的客户，已经开始考虑一种针对用户登录数据库之后能够实时控制操作过程的思路，即是否有这样一种产品，首先，它能够在用户登录数据库之前就对用户身份权限进行验证，并且将验证信息与用户能够访问的数据库中的表的内容关联起来，特定的用户只能访问特定的表，满足安全体系中的最小化权限分配要求;其次，它能够实时监控登录用户对数据库的访问行为，当发现违规的数据库数据泄漏、篡改的行为时，立刻将正在进行的违规行为阻断，从而实时阻止针对数据库的违规操作事件的发生，保证数据库中的数据不会出现安全危害;最后，它还能记录所有用户对数据库的各种访问行为，供追溯非重要的安全事件。

　　在大量客户的真实迫切的需求驱动下，业内出现了一种专门针对数据库实时防御的一种产品——数据库防火墙。可能大家都跟我一样，现在行业内已经有了网络防火墙、WEB防火墙，怎么又出来一种数据库防火墙，这种设备到底跟传统的防火墙有什么本质的区别?请看下图：

▲

　　图：常见的网络安全防护架构