1��、背景
近年來與數(shù)據(jù)庫相關(guān)的信息安全事件頻發(fā)����,政府組織、商業(yè)和金融機構(gòu)在數(shù)據(jù)庫中存儲重要的人事信息�����、交易記錄����、市場決策信息�、商業(yè)合同等大量的敏感數(shù)據(jù)��,數(shù)據(jù)安全成為社會的關(guān)注焦點�,數(shù)據(jù)庫安全問題不容忽視���。
安全測評機構(gòu)����、安服團隊�����、集團安全部門在信息安全等級保護要求的指導(dǎo)下��,使用專業(yè)的儀器設(shè)備與人工檢測相結(jié)合的方式�����,檢測數(shù)據(jù)庫的安全問題��,并向被測單位提出有針對性的整改措施����,用來扭轉(zhuǎn)數(shù)據(jù)庫安全問題頻發(fā)的嚴峻局面�,保護和促進信息化的健康發(fā)展�����。
目前數(shù)據(jù)庫安全檢測的主要類型有Oracle�、MySQL、SQL Server���、DB2�����、達夢�、人大金倉等��,每個類型數(shù)據(jù)庫還可能由于版本不同����,數(shù)據(jù)庫缺省賬戶、安全配置參數(shù)等也不同����,如:Oracle各版本的缺省賬戶共有700多個,達夢6和達夢7從連接的端口號到安全配置項都有不同����。單純靠人工很難在短時間內(nèi)全面�、有效�����、準(zhǔn)確的發(fā)現(xiàn)數(shù)據(jù)庫的安全問題��,借助數(shù)據(jù)庫漏掃工具可以提高安全檢查效率���。
2、檢測重點及常見問題
做數(shù)據(jù)庫安全檢測����,一般需要在應(yīng)用系統(tǒng)不繁忙的時候使用數(shù)據(jù)庫漏掃工具進行自動化的數(shù)據(jù)庫弱點評估,按等保要求主要檢測如下幾點:
1)檢查用戶口令復(fù)雜度�����,找出弱口令和配置安全策略����;
2)數(shù)據(jù)庫賬戶權(quán)限設(shè)置不當(dāng);
3)數(shù)據(jù)庫中多余的運維賬戶或過期賬戶未被及時清除���;
4)數(shù)據(jù)庫安全審計功能處于關(guān)閉狀態(tài)�;
5)數(shù)據(jù)庫補丁未升級和高、中等級漏洞�,如:SQL注入和緩沖區(qū)溢出漏洞,帶有攻擊性���,要引起重視��。
安華金和經(jīng)與多家單位安服人員合作與溝通����,總結(jié)在做數(shù)據(jù)庫安全檢測時���,經(jīng)常會遇到的以下幾類問題:
1)數(shù)據(jù)庫漏掃工具根本不支持國產(chǎn)數(shù)據(jù)庫的檢測�,無法快速實現(xiàn)國產(chǎn)數(shù)據(jù)庫安全評估�����;
2)被測單位不允許檢測設(shè)備接入到運行的網(wǎng)絡(luò)環(huán)境中����,或者必須通過堡壘機(linux操作系統(tǒng))才能檢測數(shù)據(jù)庫;
3)被測單位往往以數(shù)據(jù)庫管理員不在或者不清楚數(shù)據(jù)庫賬戶為由,不提供檢測工具授權(quán)掃描需要的管理員賬戶和密碼�����;
4)通常檢測工作需要在應(yīng)用系統(tǒng)不繁忙的時間進行����,如凌晨12點以后;
5)通過數(shù)據(jù)庫漏掃工具檢測出來的結(jié)果過多�,無法從檢測報表中找出等保對應(yīng)的檢測項或高中漏洞項;
6)檢測報表格式無法達到客戶或檢測單位的要求��,實現(xiàn)定制化報表�����,滿足個性化需求�。
3�����、問題分析及解決對策
對應(yīng)上述檢測重點來看:
一���、檢查用戶口令復(fù)雜度���,找出弱口令和配置安全策略����;
首先要求對數(shù)據(jù)庫弱口令的檢測要有充足的弱口令字典和口令算法破解程序�,通過能夠通過授權(quán)和非授權(quán)的弱口令掃描方式,實現(xiàn)弱口令的自動化發(fā)現(xiàn)��,同時提供與口令和缺省賬戶相關(guān)的安全配置項檢查和修復(fù)建議�,如:連續(xù)登錄的失敗次數(shù)、登錄失敗后鎖定時間�、密碼賬戶的有效期等。
二�、數(shù)據(jù)庫賬戶權(quán)限設(shè)置不當(dāng);數(shù)據(jù)庫中多余的運維賬戶或過期賬戶未被及時清除����;
上述這兩點要通過檢測工具和人工確認共同完成,首先要通過數(shù)據(jù)庫漏掃工具快速發(fā)現(xiàn)當(dāng)前數(shù)據(jù)庫類型都有哪些賬戶和他們的權(quán)限�,但是,這些賬戶只有通過與系統(tǒng)管理員核實���,才有可能確定是否屬于廢棄的運維賬戶忘記回收了����,賬戶的權(quán)限過大,過期賬戶是否鎖定或刪除�����,正確處理這些賬戶才能防止被黑客惡意提權(quán)�����,利用這些賬戶篡改和查詢敏感信息�����。
三����、數(shù)據(jù)庫安全審計功能處于關(guān)閉狀態(tài);
這點和某數(shù)據(jù)庫廠商核實過���,從數(shù)據(jù)庫運行性能考慮不推薦開啟審計功能,但是數(shù)據(jù)庫的操作必須要有獨立的審計日志�����,在出現(xiàn)非法篡改和數(shù)據(jù)泄漏的時候��,能夠追責(zé)和定責(zé),而且這些審計數(shù)據(jù)要符合數(shù)據(jù)的獨立性�����、完整性和安全性���,因此���,安華金和建議采用成熟的數(shù)據(jù)庫審計設(shè)備來實現(xiàn)數(shù)據(jù)庫操作記錄。
四����、數(shù)據(jù)庫補丁未升級和高、中等級漏洞���,如:SQL注入和緩沖區(qū)溢出漏洞��,帶有攻擊性���,要引起重視。
數(shù)據(jù)庫補丁未升級和安全漏洞問題���,如果檢測出來單純靠升級數(shù)據(jù)庫補丁的方式來解決���,有可能在升級補丁后影響前臺應(yīng)用��,建議采用數(shù)據(jù)庫防火墻的虛擬補丁實現(xiàn)網(wǎng)絡(luò)層的數(shù)據(jù)庫漏洞防護�����。
對于安服人員在實際檢測過程中遇到的問題���,安華金和數(shù)據(jù)庫安全專家提供如下解決對策:
1)在選擇數(shù)據(jù)庫漏掃工具的時候,優(yōu)先考慮能支持國產(chǎn)數(shù)據(jù)庫類型檢測的檢查工具�����;
2)可以采用檢測工具自帶的離線掃描工具來實現(xiàn)����,將離線掃描工具發(fā)給被測單位,被測單位在自己網(wǎng)絡(luò)內(nèi)的可信計算機運行�,采集到檢測結(jié)果文件后,發(fā)回給檢測單位生成相應(yīng)的報告���;
3)在沒有數(shù)據(jù)庫賬戶的情況下,就要求數(shù)據(jù)庫漏掃工具通過非授權(quán)掃描的功能實現(xiàn)數(shù)據(jù)庫安全檢查����,非授權(quán)掃描通過對數(shù)據(jù)庫版本和缺省數(shù)據(jù)庫賬戶的探測��,同時結(jié)合CVE��、CNNVD報的數(shù)據(jù)庫高危漏洞��,實現(xiàn)非授權(quán)掃描報表����;
4)在數(shù)據(jù)庫漏掃工具中���,加入定時掃描的功能�����,可以在正常工作時間設(shè)定需要掃描的時間�����,到時就可以自動實現(xiàn)掃描����,這樣�,安服人員就不用常加班了�����,安服的小伙伴們肯定非常喜歡這個功能���;
5)數(shù)據(jù)庫漏掃工具支持等保、分保和行業(yè)檢查策略定制功能��,可以按檢測要求事先指定好檢查策略集合��,然后進行掃描�,就可以實現(xiàn)按需要的策略實現(xiàn)檢測的功能;
6數(shù)據(jù)庫漏掃工具能輸出xml格式的檢查結(jié)果���,這樣的數(shù)據(jù)就可以按客戶方提供的xml樣式表顯示定制的結(jié)果報表���,如果客戶能采用編程的方式提取xml數(shù)據(jù),那將來顯示的xml報表就更“貼心”了��。
4���、結(jié)束語
數(shù)據(jù)庫安全檢測是一項復(fù)雜�、科學(xué)嚴謹?shù)墓ぷ鳎瑱z測人員首先要選擇檢測結(jié)果準(zhǔn)確���、檢測過程方便、適應(yīng)各種安服條件的自動化數(shù)據(jù)庫漏掃工具�����,還需要結(jié)合測評工作經(jīng)驗和等����、分保、行業(yè)信息安全政策要求����,充分與被測方進行溝通后,才能得出數(shù)據(jù)庫安全測評結(jié)果��,并提出有效的整改意見���。安華金和結(jié)合自身數(shù)據(jù)庫安服和數(shù)據(jù)庫漏掃工具研發(fā)經(jīng)驗�����,對安服過程中的問題提出對策��,也希望更多的安服小伙伴將自己在工作中的困惑和需求反饋給我們����,這片文章希望起到“拋磚引玉”的效果對數(shù)據(jù)庫安全測評工作有實際幫助。
產(chǎn)品咨詢:4000 258 365 
