請問公司內要購買安全防護器材的建議 - 資安

※ 引述《IRyan ( 型男‧占卜師‧導演)》之銘言：
: 大家好
: 小弟目前服務於一家小規模的公司，
: 公司是屬於資料庫功能為主
: 頭痛的是常有駭客把我們當成練習的對象，
: 利用資料庫的漏洞強行破壞我們的網站資料，

除非你的資料庫直接開在防火牆外頭
否則可能是透過你網站程式
或者你們自己提供，可以存取到db的client程式去動手腳

: 不勝其擾，
: 想請問一下各位專業的大大
: 可否推薦一些解決的方法？
: 或是提供一些可解決的器材呢？
: 最近有一間資安網管的公司提供一些器材的報價給我們參考，

聽起來很像是精○公司 :P

: 可否請大大們協助小弟看看哪項器材可以有效防護呢？
: 謝謝！！！

如果是 Web application ，用 web application firewall吧
主流有兩家
Citrix Application Firewall (前身是 Teros)
F5 Big-IP ASM (前身是Traffic Shield)
兩家國內都有代理，(不公平廣告一下，前者在國內建置經驗最多:P)
目前有通過ICSA LABS Applicatio Firewall認證除了這兩家外
還有 Breach WebDefend Web Application Firewall (上禮拜剛通過)
不過國內好像還沒有

市場上還有其他家，例如
Netcontiuum Application Firewall(國內也有代理)
不過前陣子剛被 Barracuda 買走，目前未來狀態還在觀望中

以上是萬一是從 web application 被打進來的一個建議

如果是其他管道讓別人動到資料庫，
可能要找人作一下弱點掃瞄或滲透測試，先把問題找出來再說。
個人建議如果沒有配置資安人員的打算，但是資安問題又對貴單位很致命
不要只是買產品，找家資安公司作長期服務會比較保險。
或至少找個人幫你們看一下環境和預算作個你們能夠理解和接受的規劃，
不然容易傻傻被廠商騙買一堆沒用的東東 XD



--