1、防止SQL注入的動機

近來教育行業的信息安全問題真是一波未平一波又起：陸續發生多個高校網站系統被更改，影響惡劣;高校密集被爆SQL注入漏洞，涉及80%以上的高校;教育行業成為電信詐騙的重災區，據統計，被騙學生占全部被騙人數的20%左右，甚至發生了大學生和準大學生被騙導致含恨離世的人間慘劇;考試成績被改，涉事人員被判;學校內部一卡通系統賬目被改動;以及諸多尚未公開的安全事件。

其中SQL注入漏洞問題，其實與多個事件是關聯的。首先，黑客利用SQL注入漏洞拖庫，造成數據泄漏。黑客由此掌握大量真實數據，倒賣給黑產，被用于實施電信詐騙;其次，SQL注入漏洞被利用，替換數據庫內容，或者間接控制文件系統，更改網站系統;再次，利用SQL注入漏洞修改數據庫內容，破壞數據一致性和真實性。

所以，防治SQL注入漏洞，是高校信息安全的重要工作，也是能夠迅速提升信息安全水平，尤其是數據安全水平的舉措。

2、高校防止SQL注入的困難

(1)意識方面，對SQL注入漏洞威脅的后果嚴重程度認識不足;

(2)經費審批，某些單位意識跟上了，但是沒有當期預算，只好拖著;

(3)技術和產品方面，以為WAF和NGFW就能阻止SQL注入。其實根除SQL注入，不能僅依靠WAF和NGFW。否則IMPERVA的產品為什么要有WAF和數據庫防火墻?但是國內的數據庫防火墻可選擇余地有限。

(4)系統分散，數據分散，系統開發發布比較隨意，安全測試嚴重不足;

(5)安全運維人力普遍嚴重不足，WAF和數據庫防火墻的規則配置質量難以保證。

3、可行的解決方案

總體思路是：采用系統安全掃描+WAF/NGFW+DB FIREWALL，根治SQL注入漏洞。

(1)系統安全掃描：采用商用系統漏洞掃描工具或者開源SQL注入漏洞掃描工具，檢測系統SQL注入漏洞，在上線前盡量消除這些漏洞。

(2)WAF/NGFW。采用商業的或者開源的WAF/NGFW，部分阻止SQL注入漏洞。

(3)數據庫防火墻。由于SQL注入特征在數據庫訪問SQL語句上會被放大，從而，在數據庫前端部署數據庫防火墻，理論上能夠根治SQL注入漏洞。

4、方案分析

該方案成敗的核心問題之一在于數據庫防火墻的規則配置。如果沒有配置出合理有效的規則，數據庫防火墻的防護能力將會大打折扣。針對教育行業，尤其是高校中信息系統運維人員較少的現實情況，又對規則配置的簡單易用性提出了很高的要求。鑒于此，數據庫防火墻應該應提供基于自動學習的規則配置方式，實現規則零配置。

該方案成敗的另一核心問題是部署方式。因為在教育行業，尤其是高校的另一個實際問題是系統眾多、數據分散。根據教育行業等保定級指導意見，高校信息系統中設計敏感信息的系統有幾十個之多。如果完全采用硬件方式的數據庫防火墻，將給實際的部署以及采購成本帶來壓力。所以數據庫防火墻最好能夠以軟件方式運行于學?，F有服務器或虛擬環境之上，從而極減少方案的實施成本。

5、數據庫防火墻部署方式

方式一：硬件方式。將商業數據庫防火墻硬件產品部署于數據庫之前，形成對數據庫中核心數據的保護。如果有多個數據庫，可以用一臺數據庫保護多臺數據庫系統，并且最好采用雙機熱備的方式。

方式二：軟件方式。將數據庫防火墻以軟件或者虛擬機的方式部署于獨立的硬件之上，部署在數據庫前端，形成對數據庫中核心數據的保護。這種方案既適用于傳統環境，又適用于虛擬環境。

方式三：部署于數據庫服務器。在數據庫服務器上安裝數據庫防火墻軟件或者虛擬機，直接保護數據庫中的核心數據。這種方式適用于分散的網站系統。

6、產品選擇

1)系統安全掃描

商業系統：綠盟，安恒，啟明等

開源系統：穿山甲等

2)WAF/NGFW

商業系統：綠盟、WebRay、深信服、啟明、山石等......

開源系統：ModSecurity

3)數據庫防火墻

商業系統：中安比特、安華金河

開源系統：GreenSQL早期開源版本，現在應該沒有開源的了。

鑒于國內數據庫防火墻可選擇余地不大，在此將中安比特的中安威士防火墻和安華金和的防火墻做個比較，信息來源于廠家公開的資料。