數(shù)據(jù)庫漏洞掃描是對(duì)數(shù)據(jù)庫系統(tǒng)進(jìn)行自動(dòng)化安全評(píng)估的專業(yè)技術(shù),能夠充分暴露并證明數(shù)據(jù)庫系統(tǒng)的安全漏洞和威脅并提供智能的修復(fù)建議����,將企業(yè)的數(shù)據(jù)庫
安全建設(shè)工作由被動(dòng)的事后追查轉(zhuǎn)變?yōu)槭虑爸鲃?dòng)預(yù)防,將數(shù)據(jù)庫的安全自查由低效的人工方式提升到高效準(zhǔn)確的自動(dòng)檢查方式�����,并以報(bào)表的方式呈現(xiàn)給用戶���,適時(shí)提
出修補(bǔ)方法和安全實(shí)施策略�����,對(duì)數(shù)據(jù)庫的安全狀況進(jìn)行持續(xù)化監(jiān)控����,從而幫助用戶保持?jǐn)?shù)據(jù)庫的安全健康狀態(tài)�����,實(shí)現(xiàn)“防患于未然”��。
數(shù)據(jù)庫漏洞掃描技術(shù)核心用戶價(jià)值在哪里���?
? 分析內(nèi)部不安全配置���,防止越權(quán)訪問
通過只讀賬戶登錄到數(shù)據(jù)庫服務(wù)器���,實(shí)現(xiàn)由內(nèi)到外的檢測(cè);提供現(xiàn)有數(shù)據(jù)的漏洞透視圖和數(shù)據(jù)庫配置安全評(píng)估�;初步診斷內(nèi)外部的非授權(quán)訪問。
? 監(jiān)控?cái)?shù)據(jù)庫安全狀況��,防止數(shù)據(jù)庫安全狀況惡化
對(duì)于數(shù)據(jù)庫建立安全基線��,對(duì)數(shù)據(jù)庫進(jìn)行定期掃描�����,對(duì)所有安全狀況發(fā)生的變化進(jìn)行及時(shí)報(bào)告和分析��。
? 用戶授權(quán)狀況掃描����,便于找到寬泛權(quán)限賬戶
對(duì)于大型業(yè)務(wù)系統(tǒng)中用戶�,以及用戶的授權(quán)狀況,特別是管理員權(quán)限的授予狀況����,是系統(tǒng)安全的關(guān)鍵��;從安全合規(guī)性的角度��,用戶和授權(quán)狀況總是審查的要點(diǎn)�,提供自動(dòng)化的收集工具�����,獲得獨(dú)立于DBA 的授權(quán)報(bào)告���。
? 豐富的弱口令字典庫比對(duì)�,即時(shí)展現(xiàn)不安全的口令設(shè)置
基于各種主流數(shù)據(jù)庫口令生成規(guī)則實(shí)現(xiàn)口令匹配掃描�,規(guī)避基于數(shù)據(jù)庫登錄的用戶鎖定問題和效率問題。
提供基于字典庫�,基于規(guī)則,基于窮舉的多種模式實(shí)現(xiàn)弱口令檢測(cè)�;提供2000 萬弱口令字典庫,兼容CSDN口令庫����。
? 發(fā)現(xiàn)外部黑客攻擊漏洞,防止外部攻擊
實(shí)現(xiàn)非授權(quán)的從外到內(nèi)的檢測(cè)����;模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)��,在沒有授權(quán)的情況下����,對(duì)目標(biāo)數(shù)據(jù)庫的安全性作深入的探測(cè)分析����;收集外部人員可以利用的數(shù)據(jù)庫漏洞的詳細(xì)信息。
? 發(fā)現(xiàn)敏感數(shù)據(jù)���,保護(hù)核心數(shù)據(jù)資產(chǎn)
一般應(yīng)用的后臺(tái)數(shù)據(jù)庫都有上百個(gè)表和上千個(gè)列��,要保護(hù)您的核心數(shù)據(jù)資產(chǎn)����,首先要了解核心數(shù)據(jù)資產(chǎn)在什么地方�,通過敏感數(shù)據(jù)發(fā)現(xiàn)功能對(duì)存儲(chǔ)密碼、個(gè)人標(biāo)識(shí)信息�、信用卡賬戶等的表和列進(jìn)行掃描,也支持用戶自定義敏感對(duì)象搜索關(guān)鍵字功能�����。
? 按不同安全檢測(cè)要求���,進(jìn)行靈活的策略管理
提供策略的管理功能���,將策略分類管理,可滿足不同安全等級(jí)檢查的需要���,如等級(jí)保護(hù)���、行業(yè)等安全政策。
數(shù)據(jù)庫漏掃技術(shù)的功能范圍
? DBMS安全漏洞知識(shí)庫
數(shù)據(jù)庫漏掃技術(shù)首先要有個(gè)能全面覆蓋數(shù)據(jù)庫安全隱患的知識(shí)庫��,包括DBMS 漏洞項(xiàng)���、弱安全配置����、補(bǔ)丁��、缺省用戶名/口令�����。其中基本漏洞項(xiàng)檢測(cè)覆蓋緩沖區(qū)溢出漏洞、提權(quán)漏洞�����、拒絕服務(wù)漏洞等�。
? 數(shù)據(jù)庫發(fā)現(xiàn)和安全檢查
數(shù)據(jù)庫漏掃要能支持多種數(shù)據(jù)庫自動(dòng)化檢查和網(wǎng)絡(luò)數(shù)據(jù)庫發(fā)現(xiàn)技術(shù),在實(shí)現(xiàn)數(shù)據(jù)庫服務(wù)器發(fā)現(xiàn)的同時(shí)���,還可以提供數(shù)據(jù)庫端口發(fā)現(xiàn)�。
數(shù)據(jù)庫漏掃實(shí)現(xiàn)多種DBMS的密碼生成技術(shù)���,提供多個(gè)口令爆破庫�����,實(shí)現(xiàn)快速的弱口令檢測(cè)�。
? 預(yù)定義安全策略集合
數(shù)據(jù)庫漏掃要包含系列預(yù)定義的掃描策略集合���,以幫助用戶立即完成不同的掃描任務(wù)�����,比如:全面掃描對(duì)對(duì)漏洞庫中的所有檢測(cè)項(xiàng)進(jìn)行掃描�,基本掃描對(duì)數(shù)據(jù)
庫使用缺陷、DBMS 系統(tǒng)缺陷進(jìn)行掃描���,快速掃描是對(duì)數(shù)據(jù)庫使用缺陷和DBMS 系統(tǒng)缺陷中的風(fēng)險(xiǎn)等級(jí)為高風(fēng)險(xiǎn)及中風(fēng)險(xiǎn)的檢測(cè)項(xiàng)進(jìn)行掃描。
? 數(shù)據(jù)庫安全狀況監(jiān)控
數(shù)據(jù)庫漏掃不僅能作為數(shù)據(jù)庫漏洞檢查工具�����,還可實(shí)現(xiàn)對(duì)數(shù)據(jù)庫運(yùn)維狀況的監(jiān)控�,包括相關(guān)安全配置、連接狀況�����、用戶變更狀況�����、權(quán)限變更狀況���、代碼變更狀況等�����。通過周期性的監(jiān)控?cái)?shù)據(jù)庫的運(yùn)行狀態(tài)和重要操作����,展現(xiàn)數(shù)據(jù)庫的實(shí)時(shí)的安全視圖。
? 數(shù)據(jù)庫模擬滲透攻擊
在數(shù)據(jù)庫的漏洞類型中�����,屬系統(tǒng)注入��、緩沖區(qū)溢出和拒絕服務(wù)攻擊這幾種類型對(duì)數(shù)據(jù)庫系統(tǒng)造成的危害最大���,為了讓用戶更清醒的認(rèn)識(shí)到數(shù)據(jù)庫的安全隱患��,
數(shù)據(jù)庫漏掃技術(shù)可以模擬黑客對(duì)數(shù)據(jù)庫進(jìn)行滲透攻擊��,如口令攻擊����、SQL注入和緩沖區(qū)溢出等���,并確保對(duì)目標(biāo)數(shù)據(jù)庫造成危害可快速恢復(fù)�����。
? 智能修復(fù)建議
對(duì)于需手工修復(fù)的漏洞能夠給出智能化漏洞修復(fù)建議���,同時(shí)注明漏洞的風(fēng)險(xiǎn)等級(jí)�、對(duì)數(shù)據(jù)庫系統(tǒng)的危害和漏洞來源���,便于數(shù)據(jù)庫風(fēng)險(xiǎn)評(píng)估之后的安全隱患消除。
不同技術(shù)路線研究
目前數(shù)據(jù)庫漏掃技術(shù)基于的主要方法是“已知入侵手段檢測(cè)”和“已知漏洞掃描”��,也就是基于知識(shí)庫的技術(shù)���。因此��,決定一個(gè)漏洞掃描評(píng)估技術(shù)和產(chǎn)品的重
要標(biāo)志之一就是能夠檢測(cè)的入侵種類和漏洞數(shù)量�����。為提升系統(tǒng)安全性�����,Oracle�����、SQL
Server等主流數(shù)據(jù)庫均開放了數(shù)據(jù)庫漏洞平臺(tái)�����,及時(shí)發(fā)布新的漏洞和補(bǔ)丁信息����;同時(shí),為幫助用戶最大限度地獲得所有安全信息����,通用漏洞披露CVE和中國(guó)
國(guó)家信息安全漏洞庫CNNVD等平臺(tái)和組織相繼建立。這些漏洞庫可以被用戶和安全廠商直接獲取��,成為數(shù)據(jù)庫漏洞評(píng)估技術(shù)良好的基礎(chǔ)支撐����。
發(fā)現(xiàn)數(shù)據(jù)庫漏洞的主要技術(shù)路線有黑盒、白盒和滲透測(cè)試三種方式����。
黑盒檢測(cè)方法的原理是在不知道數(shù)據(jù)庫登錄賬戶的情況下,根據(jù)權(quán)威的漏洞披露平臺(tái)和數(shù)據(jù)庫的版本號(hào)���,猜測(cè)會(huì)出現(xiàn)哪些漏洞���,傳統(tǒng)的網(wǎng)絡(luò)掃描就是根據(jù)黑盒檢測(cè)方法出數(shù)據(jù)庫漏洞檢測(cè)報(bào)告的�����,主要存在的缺陷如下:
1����、無法掃描出數(shù)據(jù)庫的低安全配置和所有的弱口令����;
2�、如果這個(gè)版本的數(shù)據(jù)庫沒有安裝含漏洞的組件,可能導(dǎo)致誤報(bào)��;
3���、相同的數(shù)據(jù)庫版本號(hào)掃描出的數(shù)據(jù)庫漏洞是一樣的����。
白盒檢測(cè)方法的原理是使用數(shù)據(jù)庫用戶和口令登錄�����,基于漏洞知識(shí)庫構(gòu)建漏洞描述和修復(fù)建議模型,采用檢測(cè)規(guī)則庫形成漏洞對(duì)應(yīng)檢測(cè)方法����,使用國(guó)際主流安全檢測(cè)腳本語言NASL腳本語言實(shí)現(xiàn)檢測(cè)。領(lǐng)先的數(shù)據(jù)庫漏掃技術(shù)一般采用這種方法����,這種檢測(cè)方法的優(yōu)勢(shì)如下:
1、缺省知識(shí)庫將覆蓋CVE���、CNNVD中絕大多數(shù)重要的數(shù)據(jù)庫安全威脅����;
2�����、對(duì)于知識(shí)庫的擴(kuò)充或升級(jí)���,只需在知識(shí)庫中添加漏洞的描述和修復(fù)建議��,同時(shí)補(bǔ)充NASL腳本檢查程序���,系統(tǒng)即可自動(dòng)完成漏洞庫的擴(kuò)充或升級(jí)��;
3����、可以掃描出安全配置和弱口令等問題�,對(duì)DBMS漏洞可以檢測(cè)得更準(zhǔn)。
滲透測(cè)試是模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段��,在沒有授權(quán)的情況下��,對(duì)目標(biāo)數(shù)據(jù)庫的安全性作深入的探測(cè)分析�,并實(shí)施攻擊(有可能導(dǎo)致停機(jī)或?qū)?shù)
據(jù)庫造成損害),取得系統(tǒng)安全威脅的真實(shí)證據(jù)�����。通過滲透測(cè)試�,可以直接看到應(yīng)用弱點(diǎn)被攻擊的后果�����,如獲得系統(tǒng)權(quán)限�、執(zhí)行系統(tǒng)命令,篡改數(shù)據(jù)等���,這類檢測(cè)方
法一般用于驗(yàn)證數(shù)據(jù)漏洞存在的情況�����。
數(shù)據(jù)庫漏洞掃描核心技術(shù)
? 智能端口發(fā)現(xiàn)技術(shù)
實(shí)現(xiàn)數(shù)據(jù)庫服務(wù)器的自動(dòng)發(fā)現(xiàn)技術(shù)的瓶頸在于端口自動(dòng)識(shí)別技術(shù)��,對(duì)于常見的數(shù)據(jù)庫服務(wù)端口�����,如1433是SQL Server���,1521是Oracle��,3306是MySQL�����,這類端口可以根據(jù)知識(shí)庫快速識(shí)別����,但對(duì)于修改了默認(rèn)端口的服務(wù)識(shí)別難度就比較大�����。
通過“主動(dòng)方式”獲取指定數(shù)據(jù)庫所運(yùn)行的端口信息,即輪詢某一范圍的端口�,向它發(fā)送符合特定數(shù)據(jù)庫協(xié)議的連接請(qǐng)求,若得到符合格式的回應(yīng)信息����,則說明該端口為指定數(shù)據(jù)庫服務(wù)所監(jiān)聽的端口。
以O(shè)racle的TNS協(xié)議(服務(wù)器端與客戶端的通信協(xié)議)為例�����,向某一端口發(fā)送連接請(qǐng)求���,若該端口為Oracle服務(wù)器的監(jiān)聽端口��,則其必然返回拒絕報(bào)文與重定向報(bào)文��。只要收到以上兩個(gè)報(bào)文之一����,則說明該端口為Oracle服務(wù)的監(jiān)聽端口��。
? 漏洞庫的匹配技術(shù)
基于數(shù)據(jù)庫系統(tǒng)安全漏洞知識(shí)庫通過采用基于規(guī)則的匹配技術(shù)�����,既根據(jù)數(shù)據(jù)庫攻防實(shí)驗(yàn)室對(duì)數(shù)據(jù)庫漏洞攻擊特征的研究��、黑客攻擊案例的分析和DBA對(duì)數(shù)據(jù)
庫系統(tǒng)安全配置的實(shí)際經(jīng)驗(yàn)���,可以形成一套標(biāo)準(zhǔn)的數(shù)據(jù)庫系統(tǒng)漏洞庫���,然后再此基礎(chǔ)之上構(gòu)成相應(yīng)的匹配規(guī)則,由掃描程序自動(dòng)的進(jìn)行漏洞掃描工作�����。
這種技術(shù)的有效性主要取決于漏洞庫的完整性���。對(duì)于黑客所探知到的未知漏洞��,由于沒有包含在漏洞庫中�����,其防御性則大幅度降低����。另外,漏洞庫的修訂和更新的性能也會(huì)影響到檢查結(jié)果的準(zhǔn)確性���。
? 國(guó)內(nèi)外發(fā)展現(xiàn)狀
國(guó)外的數(shù)據(jù)庫漏洞掃描產(chǎn)品起步較早��,產(chǎn)品較多��,按照商業(yè)目的劃分����,可分為開源產(chǎn)品和商業(yè)產(chǎn)品����。開源類產(chǎn)品包括Scuba by
Imperva等;主要的商業(yè)產(chǎn)品有FortiDB���、SecureSphere
DAS���、Microsoft基準(zhǔn)安全分析器(MBSA)等。開源產(chǎn)品一般用于學(xué)術(shù)研究��,支持的漏洞種類和個(gè)數(shù)有限���,產(chǎn)品化程度也不高���,是一種輕量級(jí)的數(shù)據(jù)
庫漏掃工具,以下就主要幾款國(guó)際國(guó)內(nèi)主流商業(yè)產(chǎn)品進(jìn)行分析����。
? FortiDB
FortiDB是美國(guó)飛塔公司推出的專門用于數(shù)據(jù)漏洞評(píng)估的安全系列產(chǎn)品,可以通過監(jiān)測(cè)密碼漏洞�、存儲(chǔ)權(quán)限和配置設(shè)置來保護(hù)數(shù)據(jù)庫的安全。
該產(chǎn)品擁有多種產(chǎn)品型號(hào)�����,包括FortiDB-400B����,F(xiàn)ortiDB-1000B和FortiDB-2000B,可滿足多達(dá)10-60個(gè)并行數(shù)據(jù)庫的
漏洞評(píng)估��,具備支持大規(guī)模數(shù)據(jù)庫應(yīng)用的優(yōu)勢(shì)�����;同時(shí)該產(chǎn)品還具有很強(qiáng)行業(yè)合規(guī)性����,符合支付行業(yè)PCI�、金融行業(yè)GLBA�、醫(yī)療行業(yè)HIPAA等行業(yè)法規(guī)要
求。但該產(chǎn)品不支持我國(guó)國(guó)家安全政策�����,不支持國(guó)產(chǎn)數(shù)據(jù)庫以及中國(guó)國(guó)家信息安全漏洞庫�����,并存在明顯的自身安全特性缺失��。
? SecureSphere DAS
Imperva公司的SecureSphere發(fā)現(xiàn)與評(píng)估服務(wù)器(DAS)可使企業(yè)客戶通過數(shù)據(jù)資產(chǎn)的發(fā)現(xiàn)���、存儲(chǔ)數(shù)據(jù)分類及可識(shí)別誤配置與潛在漏洞的綜合漏洞管理���,它能擴(kuò)展支持大型異構(gòu)環(huán)境的需求,并提供企業(yè)級(jí)報(bào)告和分析視圖���,包括數(shù)據(jù)風(fēng)險(xiǎn)管理和歷史趨勢(shì)分析���。
但該產(chǎn)品不支持滲透檢測(cè)功能,不利于取證���。另外��,也同樣面臨不符合國(guó)家安全政策�����、不支持國(guó)產(chǎn)數(shù)據(jù)庫等問題����。
? 國(guó)內(nèi)專業(yè)的數(shù)據(jù)庫安全產(chǎn)品
安華金和數(shù)據(jù)庫漏洞掃描系統(tǒng)(簡(jiǎn)稱DBScan)是一款幫助用戶對(duì)當(dāng)前的數(shù)據(jù)庫系統(tǒng)進(jìn)行自動(dòng)化安全評(píng)估的專業(yè)軟件����,作為領(lǐng)先國(guó)內(nèi)的數(shù)據(jù)庫漏洞掃描產(chǎn)品,能夠幫助用戶防患于未然�����,有效暴露當(dāng)前數(shù)據(jù)庫系統(tǒng)的安全問題�,提供對(duì)數(shù)據(jù)庫的安全狀況進(jìn)行持續(xù)化監(jiān)控,幫助用戶保持?jǐn)?shù)據(jù)庫的安全健康狀態(tài)���。
產(chǎn)品能夠?qū)崿F(xiàn)以下安全檢測(cè)及防護(hù)效果:
發(fā)現(xiàn)外部黑客攻擊漏洞��,防止外部攻擊:實(shí)現(xiàn)非授權(quán)的從外到內(nèi)的檢測(cè)�;模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù),在沒有授權(quán)的情況下��,對(duì)目標(biāo)數(shù)據(jù)庫的安全性作深入的探測(cè)分析���;收集外部人員可以利用的數(shù)據(jù)庫漏洞的詳細(xì)信息�����。
分析內(nèi)部不安全配置�����,防止越權(quán)訪問:通過只讀賬戶�����,實(shí)現(xiàn)由內(nèi)到外的檢測(cè)���;提供現(xiàn)有數(shù)據(jù)的漏洞透視圖和數(shù)據(jù)庫配置安全評(píng)估;避免內(nèi)外部的非授權(quán)訪問�����。
監(jiān)控?cái)?shù)據(jù)庫安全狀況��,防止數(shù)據(jù)庫安全狀況惡化:對(duì)數(shù)據(jù)庫進(jìn)行定期掃描,對(duì)所有安全狀況發(fā)生的變化進(jìn)行報(bào)告和分析��。
產(chǎn)品咨詢:4000 258 365 
