1、背景
近年來(lái)與數(shù)據(jù)庫(kù)相關(guān)的信息安全事件頻發(fā)���,政府組織����、商業(yè)和金融機(jī)構(gòu)在數(shù)據(jù)庫(kù)中存儲(chǔ)重要的人事信息�、交易記錄、市場(chǎng)決策信息�����、商業(yè)合同等大量的敏感數(shù)據(jù)����,數(shù)據(jù)安全成為社會(huì)的關(guān)注焦點(diǎn),數(shù)據(jù)庫(kù)安全問(wèn)題不容忽視����。
安全測(cè)評(píng)機(jī)構(gòu)、安服團(tuán)隊(duì)���、集團(tuán)安全部門(mén)在信息安全等級(jí)保護(hù)要求的指導(dǎo)下���,使用專(zhuān)業(yè)的儀器設(shè)備與人工檢測(cè)相結(jié)合的方式�����,檢測(cè)數(shù)據(jù)庫(kù)的安全問(wèn)題�����,并向被測(cè)單位提出有針對(duì)性的整改措施,用來(lái)扭轉(zhuǎn)數(shù)據(jù)庫(kù)安全問(wèn)題頻發(fā)的嚴(yán)峻局面����,保護(hù)和促進(jìn)信息化的健康發(fā)展。
目前數(shù)據(jù)庫(kù)安全檢測(cè)的主要類(lèi)型有Oracle��、MySQL��、SQL Server���、DB2����、達(dá)夢(mèng)��、人大金倉(cāng)等,每個(gè)類(lèi)型數(shù)據(jù)庫(kù)還可能由于版本不同�����,數(shù)據(jù)庫(kù)缺省賬戶(hù)�、安全配置參數(shù)等也不同,如:Oracle各版本的缺省賬戶(hù)共有700多個(gè)�,達(dá)夢(mèng)6和達(dá)夢(mèng)7從連接的端口號(hào)到安全配置項(xiàng)都有不同。單純靠人工很難在短時(shí)間內(nèi)全面�����、有效����、準(zhǔn)確的發(fā)現(xiàn)數(shù)據(jù)庫(kù)的安全問(wèn)題,借助數(shù)據(jù)庫(kù)漏掃工具可以提高安全檢查效率�。
2、檢測(cè)重點(diǎn)及常見(jiàn)問(wèn)題
做數(shù)據(jù)庫(kù)安全檢測(cè)����,一般需要在應(yīng)用系統(tǒng)不繁忙的時(shí)候使用數(shù)據(jù)庫(kù)漏掃工具進(jìn)行自動(dòng)化的數(shù)據(jù)庫(kù)弱點(diǎn)評(píng)估,按等保要求主要檢測(cè)如下幾點(diǎn):
1)檢查用戶(hù)口令復(fù)雜度��,找出弱口令和配置安全策略���;
2)數(shù)據(jù)庫(kù)賬戶(hù)權(quán)限設(shè)置不當(dāng)���;
3)數(shù)據(jù)庫(kù)中多余的運(yùn)維賬戶(hù)或過(guò)期賬戶(hù)未被及時(shí)清除����;
4)數(shù)據(jù)庫(kù)安全審計(jì)功能處于關(guān)閉狀態(tài)��;
5)數(shù)據(jù)庫(kù)補(bǔ)丁未升級(jí)和高��、中等級(jí)漏洞�����,如:SQL注入和緩沖區(qū)溢出漏洞�,帶有攻擊性���,要引起重視���。
安華金和經(jīng)與多家單位安服人員合作與溝通,總結(jié)在做數(shù)據(jù)庫(kù)安全檢測(cè)時(shí)�,經(jīng)常會(huì)遇到的以下幾類(lèi)問(wèn)題:
1)數(shù)據(jù)庫(kù)漏掃工具根本不支持國(guó)產(chǎn)數(shù)據(jù)庫(kù)的檢測(cè),無(wú)法快速實(shí)現(xiàn)國(guó)產(chǎn)數(shù)據(jù)庫(kù)安全評(píng)估���;
2)被測(cè)單位不允許檢測(cè)設(shè)備接入到運(yùn)行的網(wǎng)絡(luò)環(huán)境中�,或者必須通過(guò)堡壘機(jī)(linux操作系統(tǒng))才能檢測(cè)數(shù)據(jù)庫(kù);
3)被測(cè)單位往往以數(shù)據(jù)庫(kù)管理員不在或者不清楚數(shù)據(jù)庫(kù)賬戶(hù)為由����,不提供檢測(cè)工具授權(quán)掃描需要的管理員賬戶(hù)和密碼;
4)通常檢測(cè)工作需要在應(yīng)用系統(tǒng)不繁忙的時(shí)間進(jìn)行�,如凌晨12點(diǎn)以后;
5)通過(guò)數(shù)據(jù)庫(kù)漏掃工具檢測(cè)出來(lái)的結(jié)果過(guò)多�����,無(wú)法從檢測(cè)報(bào)表中找出等保對(duì)應(yīng)的檢測(cè)項(xiàng)或高中漏洞項(xiàng)�;
6)檢測(cè)報(bào)表格式無(wú)法達(dá)到客戶(hù)或檢測(cè)單位的要求,實(shí)現(xiàn)定制化報(bào)表��,滿(mǎn)足個(gè)性化需求�����。
3���、問(wèn)題分析及解決對(duì)策
對(duì)應(yīng)上述檢測(cè)重點(diǎn)來(lái)看:
一���、檢查用戶(hù)口令復(fù)雜度�,找出弱口令和配置安全策略���;
首先要求對(duì)數(shù)據(jù)庫(kù)弱口令的檢測(cè)要有充足的弱口令字典和口令算法破解程序��,通過(guò)能夠通過(guò)授權(quán)和非授權(quán)的弱口令掃描方式��,實(shí)現(xiàn)弱口令的自動(dòng)化發(fā)現(xiàn)�����,同時(shí)提供與口令和缺省賬戶(hù)相關(guān)的安全配置項(xiàng)檢查和修復(fù)建議��,如:連續(xù)登錄的失敗次數(shù)���、登錄失敗后鎖定時(shí)間�、密碼賬戶(hù)的有效期等。
二�����、數(shù)據(jù)庫(kù)賬戶(hù)權(quán)限設(shè)置不當(dāng)�����;數(shù)據(jù)庫(kù)中多余的運(yùn)維賬戶(hù)或過(guò)期賬戶(hù)未被及時(shí)清除;
上述這兩點(diǎn)要通過(guò)檢測(cè)工具和人工確認(rèn)共同完成��,首先要通過(guò)數(shù)據(jù)庫(kù)漏掃工具快速發(fā)現(xiàn)當(dāng)前數(shù)據(jù)庫(kù)類(lèi)型都有哪些賬戶(hù)和他們的權(quán)限��,但是�����,這些賬戶(hù)只有通過(guò)與系統(tǒng)管理員核實(shí)���,才有可能確定是否屬于廢棄的運(yùn)維賬戶(hù)忘記回收了��,賬戶(hù)的權(quán)限過(guò)大����,過(guò)期賬戶(hù)是否鎖定或刪除��,正確處理這些賬戶(hù)才能防止被黑客惡意提權(quán)��,利用這些賬戶(hù)篡改和查詢(xún)敏感信息����。
三、數(shù)據(jù)庫(kù)安全審計(jì)功能處于關(guān)閉狀態(tài);
這點(diǎn)和某數(shù)據(jù)庫(kù)廠(chǎng)商核實(shí)過(guò)��,從數(shù)據(jù)庫(kù)運(yùn)行性能考慮不推薦開(kāi)啟審計(jì)功能�,但是數(shù)據(jù)庫(kù)的操作必須要有獨(dú)立的審計(jì)日志,在出現(xiàn)非法篡改和數(shù)據(jù)泄漏的時(shí)候���,能夠追責(zé)和定責(zé)�����,而且這些審計(jì)數(shù)據(jù)要符合數(shù)據(jù)的獨(dú)立性�、完整性和安全性�����,因此�,安華金和建議采用成熟的數(shù)據(jù)庫(kù)審計(jì)設(shè)備來(lái)實(shí)現(xiàn)數(shù)據(jù)庫(kù)操作記錄。
四�����、數(shù)據(jù)庫(kù)補(bǔ)丁未升級(jí)和高��、中等級(jí)漏洞����,如:SQL注入和緩沖區(qū)溢出漏洞,帶有攻擊性����,要引起重視。
數(shù)據(jù)庫(kù)補(bǔ)丁未升級(jí)和安全漏洞問(wèn)題��,如果檢測(cè)出來(lái)單純靠升級(jí)數(shù)據(jù)庫(kù)補(bǔ)丁的方式來(lái)解決�����,有可能在升級(jí)補(bǔ)丁后影響前臺(tái)應(yīng)用���,建議采用數(shù)據(jù)庫(kù)防火墻的虛擬補(bǔ)丁實(shí)現(xiàn)網(wǎng)絡(luò)層的數(shù)據(jù)庫(kù)漏洞防護(hù)����。
對(duì)于安服人員在實(shí)際檢測(cè)過(guò)程中遇到的問(wèn)題��,安華金和數(shù)據(jù)庫(kù)安全專(zhuān)家提供如下解決對(duì)策:
1)在選擇數(shù)據(jù)庫(kù)漏掃工具的時(shí)候�,優(yōu)先考慮能支持國(guó)產(chǎn)數(shù)據(jù)庫(kù)類(lèi)型檢測(cè)的檢查工具;
2)可以采用檢測(cè)工具自帶的離線(xiàn)掃描工具來(lái)實(shí)現(xiàn)����,將離線(xiàn)掃描工具發(fā)給被測(cè)單位,被測(cè)單位在自己網(wǎng)絡(luò)內(nèi)的可信計(jì)算機(jī)運(yùn)行,采集到檢測(cè)結(jié)果文件后��,發(fā)回給檢測(cè)單位生成相應(yīng)的報(bào)告�;
3)在沒(méi)有數(shù)據(jù)庫(kù)賬戶(hù)的情況下,就要求數(shù)據(jù)庫(kù)漏掃工具通過(guò)非授權(quán)掃描的功能實(shí)現(xiàn)數(shù)據(jù)庫(kù)安全檢查����,非授權(quán)掃描通過(guò)對(duì)數(shù)據(jù)庫(kù)版本和缺省數(shù)據(jù)庫(kù)賬戶(hù)的探測(cè),同時(shí)結(jié)合CVE�����、CNNVD報(bào)的數(shù)據(jù)庫(kù)高危漏洞��,實(shí)現(xiàn)非授權(quán)掃描報(bào)表���;
4)在數(shù)據(jù)庫(kù)漏掃工具中����,加入定時(shí)掃描的功能����,可以在正常工作時(shí)間設(shè)定需要掃描的時(shí)間,到時(shí)就可以自動(dòng)實(shí)現(xiàn)掃描�,這樣,安服人員就不用常加班了�����,安服的小伙伴們肯定非常喜歡這個(gè)功能��;
5)數(shù)據(jù)庫(kù)漏掃工具支持等保�、分保和行業(yè)檢查策略定制功能,可以按檢測(cè)要求事先指定好檢查策略集合���,然后進(jìn)行掃描����,就可以實(shí)現(xiàn)按需要的策略實(shí)現(xiàn)檢測(cè)的功能���;
6數(shù)據(jù)庫(kù)漏掃工具能輸出xml格式的檢查結(jié)果���,這樣的數(shù)據(jù)就可以按客戶(hù)方提供的xml樣式表顯示定制的結(jié)果報(bào)表,如果客戶(hù)能采用編程的方式提取xml數(shù)據(jù)�����,那將來(lái)顯示的xml報(bào)表就更“貼心”了�。
4�����、結(jié)束語(yǔ)
數(shù)據(jù)庫(kù)安全檢測(cè)是一項(xiàng)復(fù)雜�、科學(xué)嚴(yán)謹(jǐn)?shù)墓ぷ?,檢測(cè)人員首先要選擇檢測(cè)結(jié)果準(zhǔn)確、檢測(cè)過(guò)程方便�、適應(yīng)各種安服條件的自動(dòng)化數(shù)據(jù)庫(kù)漏掃工具,還需要結(jié)合測(cè)評(píng)工作經(jīng)驗(yàn)和等�、分保、行業(yè)信息安全政策要求�,充分與被測(cè)方進(jìn)行溝通后,才能得出數(shù)據(jù)庫(kù)安全測(cè)評(píng)結(jié)果�,并提出有效的整改意見(jiàn)。安華金和結(jié)合自身數(shù)據(jù)庫(kù)安服和數(shù)據(jù)庫(kù)漏掃工具研發(fā)經(jīng)驗(yàn)�,對(duì)安服過(guò)程中的問(wèn)題提出對(duì)策,也希望更多的安服小伙伴將自己在工作中的困惑和需求反饋給我們����,這片文章希望起到“拋磚引玉”的效果對(duì)數(shù)據(jù)庫(kù)安全測(cè)評(píng)工作有實(shí)際幫助。
產(chǎn)品咨詢(xún):4000 258 365 
