1、防止SQL注入的動機

近來教育行業的信息安全問題真是一波未平一波又起：陸續發生多個高校網站系統被更改，影響惡劣;高校密集被爆SQL注入漏洞，涉及80%以上的高校;教育行業成為電信詐騙的重災區，據統計，被騙學生占全部被騙人數的20%左右，甚至發生了大學生和準大學生被騙導致含恨離世的人間慘劇;考試成績被改，涉事人員被判;學校內部一卡通系統賬目被改動;以及諸多尚未公開的安全事件。

其中SQL注入漏洞問題，其實與多個事件是關聯的。首先，黑客利用SQL注入漏洞拖庫，造成數據泄漏。黑客由此掌握大量真實數據，倒賣給黑產，被用于實施電信詐騙;其次，SQL注入漏洞被利用，替換數據庫內容，或者間接控制文件系統，更改網站系統;再次，利用SQL注入漏洞修改數據庫內容，破壞數據一致性和真實性。

所以，防治SQL注入漏洞，是高校信息安全的重要工作，也是能夠迅速提升信息安全水平，尤其是數據安全水平的舉措。

2、高校防止SQL注入的困難

(1)意識方面，對SQL注入漏洞威脅的后果嚴重程度認識不足;

(2)經費審批，某些單位意識跟上了，但是沒有當期預算，只好拖著;

(3)技術和產品方面，以為WAF和NGFW就能阻止SQL注入。其實根除SQL注入，不能僅依靠WAF和NGFW。否則IMPERVA的產品為什么要有WAF和數據庫防火墻?但是國內的數據庫防火墻可選擇余地有限。

(4)系統分散，數據分散，系統開發發布比較隨意，安全測試嚴重不足;

(5)安全運維人力普遍嚴重不足，WAF和數據庫防火墻的規則配置質量難以保證。

3、可行的解決方案

總體思路是：采用系統安全掃描+WAF/NGFW+DB FIREWALL，根治SQL注入漏洞。

(1)系統安全掃描：采用商用系統漏洞掃描工具或者開源SQL注入漏洞掃描工具，檢測系統SQL注入漏洞，在上線前盡量消除這些漏洞。

(2)WAF/NGFW。采用商業的或者開源的WAF/NGFW，部分阻止SQL注入漏洞。

(3)數據庫防火墻。由于SQL注入特征在數據庫訪問SQL語句上會被放大，從而，在數據庫前端部署數據庫防火墻，理論上能夠根治SQL注入漏洞。

4、方案分析

該方案成敗的核心問題之一在于數據庫防火墻的規則配置。如果沒有配置出合理有效的規則，數據庫防火墻的防護能力將會大打折扣。針對教育行業，尤其是高校中信息系統運維人員較少的現實情況，又對規則配置的簡單易用性提出了很高的要求。鑒于此，數據庫防火墻應該應提供基于自動學習的規則配置方式，實現規則零配置。

該方案成敗的另一核心問題是部署方式。因為在教育行業，尤其是高校的另一個實際問題是系統眾多、數據分散。根據教育行業等保定級指導意見，高校信息系統中設計敏感信息的系統有幾十個之多。如果完全采用硬件方式的數據庫防火墻，將給實際的部署以及采購成本帶來壓力。所以數據庫防火墻最好能夠以軟件方式運行于學校現有服務器或虛擬環境之上，從而極減少方案的實施成本。

5、數據庫防火墻部署方式

方式一：硬件方式。將商業數據庫防火墻硬件產品部署于數據庫之前，形成對數據庫中核心數據的保護。如果有多個數據庫，可以用一臺數據庫保護多臺數據庫系統，并且最好采用雙機熱備的方式。

方式二：軟件方式。將數據庫防火墻以軟件或者虛擬機的方式部署于獨立的硬件之上，部署在數據庫前端，形成對數據庫中核心數據的保護。這種方案既適用于傳統環境，又適用于虛擬環境。

方式三：部署于數據庫服務器。在數據庫服務器上安裝數據庫防火墻軟件或者虛擬機，直接保護數據庫中的核心數據。這種方式適用于分散的網站系統。

6、產品選擇

1)系統安全掃描

商業系統：綠盟，安恒，啟明等

開源系統：穿山甲等

2)WAF/NGFW

商業系統：綠盟、WebRay、深信服、啟明、山石等......

開源系統：ModSecurity

3)數據庫防火墻

商業系統：中安比特、安華金河

開源系統：GreenSQL早期開源版本，現在應該沒有開源的了。

鑒于國內數據庫防火墻可選擇余地不大，在此將中安比特的中安威士防火墻和安華金和的防火墻做個比較，信息來源于廠家公開的資料。