數(shù)據(jù)庫漏洞掃描是對數(shù)據(jù)庫系統(tǒng)進行自動化安全評估的專業(yè)技術(shù)����,能夠充分暴露并證明數(shù)據(jù)庫系統(tǒng)的安全漏洞和威脅并提供智能的修復建議,將企業(yè)的數(shù)據(jù)庫
安全建設工作由被動的事后追查轉(zhuǎn)變?yōu)槭虑爸鲃宇A防��,將數(shù)據(jù)庫的安全自查由低效的人工方式提升到高效準確的自動檢查方式��,并以報表的方式呈現(xiàn)給用戶��,適時提
出修補方法和安全實施策略�����,對數(shù)據(jù)庫的安全狀況進行持續(xù)化監(jiān)控����,從而幫助用戶保持數(shù)據(jù)庫的安全健康狀態(tài)����,實現(xiàn)“防患于未然”���。
數(shù)據(jù)庫漏洞掃描技術(shù)核心用戶價值在哪里�?
? 分析內(nèi)部不安全配置���,防止越權(quán)訪問
通過只讀賬戶登錄到數(shù)據(jù)庫服務器�,實現(xiàn)由內(nèi)到外的檢測��;提供現(xiàn)有數(shù)據(jù)的漏洞透視圖和數(shù)據(jù)庫配置安全評估�;初步診斷內(nèi)外部的非授權(quán)訪問。
? 監(jiān)控數(shù)據(jù)庫安全狀況�,防止數(shù)據(jù)庫安全狀況惡化
對于數(shù)據(jù)庫建立安全基線,對數(shù)據(jù)庫進行定期掃描��,對所有安全狀況發(fā)生的變化進行及時報告和分析��。
? 用戶授權(quán)狀況掃描�����,便于找到寬泛權(quán)限賬戶
對于大型業(yè)務系統(tǒng)中用戶,以及用戶的授權(quán)狀況��,特別是管理員權(quán)限的授予狀況�,是系統(tǒng)安全的關(guān)鍵;從安全合規(guī)性的角度���,用戶和授權(quán)狀況總是審查的要點,提供自動化的收集工具�����,獲得獨立于DBA 的授權(quán)報告�����。
? 豐富的弱口令字典庫比對�����,即時展現(xiàn)不安全的口令設置
基于各種主流數(shù)據(jù)庫口令生成規(guī)則實現(xiàn)口令匹配掃描���,規(guī)避基于數(shù)據(jù)庫登錄的用戶鎖定問題和效率問題���。
提供基于字典庫��,基于規(guī)則���,基于窮舉的多種模式實現(xiàn)弱口令檢測;提供2000 萬弱口令字典庫����,兼容CSDN口令庫。
? 發(fā)現(xiàn)外部黑客攻擊漏洞��,防止外部攻擊
實現(xiàn)非授權(quán)的從外到內(nèi)的檢測��;模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)�����,在沒有授權(quán)的情況下�,對目標數(shù)據(jù)庫的安全性作深入的探測分析;收集外部人員可以利用的數(shù)據(jù)庫漏洞的詳細信息�。
? 發(fā)現(xiàn)敏感數(shù)據(jù),保護核心數(shù)據(jù)資產(chǎn)
一般應用的后臺數(shù)據(jù)庫都有上百個表和上千個列��,要保護您的核心數(shù)據(jù)資產(chǎn)�,首先要了解核心數(shù)據(jù)資產(chǎn)在什么地方,通過敏感數(shù)據(jù)發(fā)現(xiàn)功能對存儲密碼、個人標識信息��、信用卡賬戶等的表和列進行掃描����,也支持用戶自定義敏感對象搜索關(guān)鍵字功能。
? 按不同安全檢測要求�,進行靈活的策略管理
提供策略的管理功能,將策略分類管理��,可滿足不同安全等級檢查的需要���,如等級保護、行業(yè)等安全政策��。
數(shù)據(jù)庫漏掃技術(shù)的功能范圍
? DBMS安全漏洞知識庫
數(shù)據(jù)庫漏掃技術(shù)首先要有個能全面覆蓋數(shù)據(jù)庫安全隱患的知識庫�,包括DBMS 漏洞項、弱安全配置��、補丁����、缺省用戶名/口令。其中基本漏洞項檢測覆蓋緩沖區(qū)溢出漏洞����、提權(quán)漏洞����、拒絕服務漏洞等�����。
? 數(shù)據(jù)庫發(fā)現(xiàn)和安全檢查
數(shù)據(jù)庫漏掃要能支持多種數(shù)據(jù)庫自動化檢查和網(wǎng)絡數(shù)據(jù)庫發(fā)現(xiàn)技術(shù)��,在實現(xiàn)數(shù)據(jù)庫服務器發(fā)現(xiàn)的同時����,還可以提供數(shù)據(jù)庫端口發(fā)現(xiàn)。
數(shù)據(jù)庫漏掃實現(xiàn)多種DBMS的密碼生成技術(shù)��,提供多個口令爆破庫����,實現(xiàn)快速的弱口令檢測。
? 預定義安全策略集合
數(shù)據(jù)庫漏掃要包含系列預定義的掃描策略集合����,以幫助用戶立即完成不同的掃描任務,比如:全面掃描對對漏洞庫中的所有檢測項進行掃描��,基本掃描對數(shù)據(jù)
庫使用缺陷、DBMS 系統(tǒng)缺陷進行掃描���,快速掃描是對數(shù)據(jù)庫使用缺陷和DBMS 系統(tǒng)缺陷中的風險等級為高風險及中風險的檢測項進行掃描�����。
? 數(shù)據(jù)庫安全狀況監(jiān)控
數(shù)據(jù)庫漏掃不僅能作為數(shù)據(jù)庫漏洞檢查工具���,還可實現(xiàn)對數(shù)據(jù)庫運維狀況的監(jiān)控,包括相關(guān)安全配置����、連接狀況、用戶變更狀況��、權(quán)限變更狀況���、代碼變更狀況等。通過周期性的監(jiān)控數(shù)據(jù)庫的運行狀態(tài)和重要操作��,展現(xiàn)數(shù)據(jù)庫的實時的安全視圖����。
? 數(shù)據(jù)庫模擬滲透攻擊
在數(shù)據(jù)庫的漏洞類型中���,屬系統(tǒng)注入、緩沖區(qū)溢出和拒絕服務攻擊這幾種類型對數(shù)據(jù)庫系統(tǒng)造成的危害最大�����,為了讓用戶更清醒的認識到數(shù)據(jù)庫的安全隱患����,
數(shù)據(jù)庫漏掃技術(shù)可以模擬黑客對數(shù)據(jù)庫進行滲透攻擊,如口令攻擊����、SQL注入和緩沖區(qū)溢出等,并確保對目標數(shù)據(jù)庫造成危害可快速恢復����。
? 智能修復建議
對于需手工修復的漏洞能夠給出智能化漏洞修復建議,同時注明漏洞的風險等級��、對數(shù)據(jù)庫系統(tǒng)的危害和漏洞來源��,便于數(shù)據(jù)庫風險評估之后的安全隱患消除�。
不同技術(shù)路線研究
目前數(shù)據(jù)庫漏掃技術(shù)基于的主要方法是“已知入侵手段檢測”和“已知漏洞掃描”,也就是基于知識庫的技術(shù)���。因此���,決定一個漏洞掃描評估技術(shù)和產(chǎn)品的重
要標志之一就是能夠檢測的入侵種類和漏洞數(shù)量�����。為提升系統(tǒng)安全性�,Oracle��、SQL
Server等主流數(shù)據(jù)庫均開放了數(shù)據(jù)庫漏洞平臺���,及時發(fā)布新的漏洞和補丁信息���;同時,為幫助用戶最大限度地獲得所有安全信息�,通用漏洞披露CVE和中國
國家信息安全漏洞庫CNNVD等平臺和組織相繼建立。這些漏洞庫可以被用戶和安全廠商直接獲取�����,成為數(shù)據(jù)庫漏洞評估技術(shù)良好的基礎(chǔ)支撐��。
發(fā)現(xiàn)數(shù)據(jù)庫漏洞的主要技術(shù)路線有黑盒�����、白盒和滲透測試三種方式�。
黑盒檢測方法的原理是在不知道數(shù)據(jù)庫登錄賬戶的情況下,根據(jù)權(quán)威的漏洞披露平臺和數(shù)據(jù)庫的版本號�,猜測會出現(xiàn)哪些漏洞,傳統(tǒng)的網(wǎng)絡掃描就是根據(jù)黑盒檢測方法出數(shù)據(jù)庫漏洞檢測報告的���,主要存在的缺陷如下:
1���、無法掃描出數(shù)據(jù)庫的低安全配置和所有的弱口令;
2�����、如果這個版本的數(shù)據(jù)庫沒有安裝含漏洞的組件����,可能導致誤報;
3��、相同的數(shù)據(jù)庫版本號掃描出的數(shù)據(jù)庫漏洞是一樣的�。
白盒檢測方法的原理是使用數(shù)據(jù)庫用戶和口令登錄,基于漏洞知識庫構(gòu)建漏洞描述和修復建議模型��,采用檢測規(guī)則庫形成漏洞對應檢測方法,使用國際主流安全檢測腳本語言NASL腳本語言實現(xiàn)檢測�����。領(lǐng)先的數(shù)據(jù)庫漏掃技術(shù)一般采用這種方法���,這種檢測方法的優(yōu)勢如下:
1�����、缺省知識庫將覆蓋CVE���、CNNVD中絕大多數(shù)重要的數(shù)據(jù)庫安全威脅;
2���、對于知識庫的擴充或升級�����,只需在知識庫中添加漏洞的描述和修復建議��,同時補充NASL腳本檢查程序���,系統(tǒng)即可自動完成漏洞庫的擴充或升級;
3��、可以掃描出安全配置和弱口令等問題��,對DBMS漏洞可以檢測得更準���。
滲透測試是模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段����,在沒有授權(quán)的情況下����,對目標數(shù)據(jù)庫的安全性作深入的探測分析,并實施攻擊(有可能導致停機或?qū)?shù)
據(jù)庫造成損害)�����,取得系統(tǒng)安全威脅的真實證據(jù)����。通過滲透測試,可以直接看到應用弱點被攻擊的后果���,如獲得系統(tǒng)權(quán)限�����、執(zhí)行系統(tǒng)命令�����,篡改數(shù)據(jù)等����,這類檢測方
法一般用于驗證數(shù)據(jù)漏洞存在的情況。
數(shù)據(jù)庫漏洞掃描核心技術(shù)
? 智能端口發(fā)現(xiàn)技術(shù)
實現(xiàn)數(shù)據(jù)庫服務器的自動發(fā)現(xiàn)技術(shù)的瓶頸在于端口自動識別技術(shù)�,對于常見的數(shù)據(jù)庫服務端口,如1433是SQL Server����,1521是Oracle,3306是MySQL�,這類端口可以根據(jù)知識庫快速識別,但對于修改了默認端口的服務識別難度就比較大���。
通過“主動方式”獲取指定數(shù)據(jù)庫所運行的端口信息��,即輪詢某一范圍的端口���,向它發(fā)送符合特定數(shù)據(jù)庫協(xié)議的連接請求�,若得到符合格式的回應信息����,則說明該端口為指定數(shù)據(jù)庫服務所監(jiān)聽的端口�。
以Oracle的TNS協(xié)議(服務器端與客戶端的通信協(xié)議)為例,向某一端口發(fā)送連接請求����,若該端口為Oracle服務器的監(jiān)聽端口,則其必然返回拒絕報文與重定向報文��。只要收到以上兩個報文之一��,則說明該端口為Oracle服務的監(jiān)聽端口����。
? 漏洞庫的匹配技術(shù)
基于數(shù)據(jù)庫系統(tǒng)安全漏洞知識庫通過采用基于規(guī)則的匹配技術(shù),既根據(jù)數(shù)據(jù)庫攻防實驗室對數(shù)據(jù)庫漏洞攻擊特征的研究�、黑客攻擊案例的分析和DBA對數(shù)據(jù)
庫系統(tǒng)安全配置的實際經(jīng)驗,可以形成一套標準的數(shù)據(jù)庫系統(tǒng)漏洞庫���,然后再此基礎(chǔ)之上構(gòu)成相應的匹配規(guī)則���,由掃描程序自動的進行漏洞掃描工作�。
這種技術(shù)的有效性主要取決于漏洞庫的完整性�。對于黑客所探知到的未知漏洞,由于沒有包含在漏洞庫中��,其防御性則大幅度降低����。另外,漏洞庫的修訂和更新的性能也會影響到檢查結(jié)果的準確性���。
? 國內(nèi)外發(fā)展現(xiàn)狀
國外的數(shù)據(jù)庫漏洞掃描產(chǎn)品起步較早�,產(chǎn)品較多��,按照商業(yè)目的劃分���,可分為開源產(chǎn)品和商業(yè)產(chǎn)品�����。開源類產(chǎn)品包括Scuba by
Imperva等����;主要的商業(yè)產(chǎn)品有FortiDB、SecureSphere
DAS�����、Microsoft基準安全分析器(MBSA)等�����。開源產(chǎn)品一般用于學術(shù)研究����,支持的漏洞種類和個數(shù)有限�,產(chǎn)品化程度也不高,是一種輕量級的數(shù)據(jù)
庫漏掃工具��,以下就主要幾款國際國內(nèi)主流商業(yè)產(chǎn)品進行分析�。
? FortiDB
FortiDB是美國飛塔公司推出的專門用于數(shù)據(jù)漏洞評估的安全系列產(chǎn)品,可以通過監(jiān)測密碼漏洞���、存儲權(quán)限和配置設置來保護數(shù)據(jù)庫的安全�。
該產(chǎn)品擁有多種產(chǎn)品型號���,包括FortiDB-400B����,F(xiàn)ortiDB-1000B和FortiDB-2000B,可滿足多達10-60個并行數(shù)據(jù)庫的
漏洞評估��,具備支持大規(guī)模數(shù)據(jù)庫應用的優(yōu)勢��;同時該產(chǎn)品還具有很強行業(yè)合規(guī)性����,符合支付行業(yè)PCI、金融行業(yè)GLBA��、醫(yī)療行業(yè)HIPAA等行業(yè)法規(guī)要
求�����。但該產(chǎn)品不支持我國國家安全政策����,不支持國產(chǎn)數(shù)據(jù)庫以及中國國家信息安全漏洞庫,并存在明顯的自身安全特性缺失�。
? SecureSphere DAS
Imperva公司的SecureSphere發(fā)現(xiàn)與評估服務器(DAS)可使企業(yè)客戶通過數(shù)據(jù)資產(chǎn)的發(fā)現(xiàn)、存儲數(shù)據(jù)分類及可識別誤配置與潛在漏洞的綜合漏洞管理�,它能擴展支持大型異構(gòu)環(huán)境的需求,并提供企業(yè)級報告和分析視圖��,包括數(shù)據(jù)風險管理和歷史趨勢分析。
但該產(chǎn)品不支持滲透檢測功能�����,不利于取證����。另外,也同樣面臨不符合國家安全政策����、不支持國產(chǎn)數(shù)據(jù)庫等問題。
? 國內(nèi)專業(yè)的數(shù)據(jù)庫安全產(chǎn)品
安華金和數(shù)據(jù)庫漏洞掃描系統(tǒng)(簡稱DBScan)是一款幫助用戶對當前的數(shù)據(jù)庫系統(tǒng)進行自動化安全評估的專業(yè)軟件����,作為領(lǐng)先國內(nèi)的數(shù)據(jù)庫漏洞掃描產(chǎn)品�,能夠幫助用戶防患于未然,有效暴露當前數(shù)據(jù)庫系統(tǒng)的安全問題�,提供對數(shù)據(jù)庫的安全狀況進行持續(xù)化監(jiān)控,幫助用戶保持數(shù)據(jù)庫的安全健康狀態(tài)��。
產(chǎn)品能夠?qū)崿F(xiàn)以下安全檢測及防護效果:
發(fā)現(xiàn)外部黑客攻擊漏洞�,防止外部攻擊:實現(xiàn)非授權(quán)的從外到內(nèi)的檢測;模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)��,在沒有授權(quán)的情況下,對目標數(shù)據(jù)庫的安全性作深入的探測分析��;收集外部人員可以利用的數(shù)據(jù)庫漏洞的詳細信息�。
分析內(nèi)部不安全配置,防止越權(quán)訪問:通過只讀賬戶�,實現(xiàn)由內(nèi)到外的檢測;提供現(xiàn)有數(shù)據(jù)的漏洞透視圖和數(shù)據(jù)庫配置安全評估���;避免內(nèi)外部的非授權(quán)訪問��。
監(jiān)控數(shù)據(jù)庫安全狀況�,防止數(shù)據(jù)庫安全狀況惡化:對數(shù)據(jù)庫進行定期掃描����,對所有安全狀況發(fā)生的變化進行報告和分析。
產(chǎn)品咨詢:4000 258 365 
