數(shù)據(jù)庫漏洞掃描服務(wù)簡(jiǎn)介

1、天津華勝天成數(shù)據(jù)庫安全檢查服務(wù)一、為什么需要數(shù)據(jù)庫安全檢查數(shù)據(jù)庫系統(tǒng)被攻擊破壞的原因是多方面的，在數(shù)據(jù)庫使用方面，或者數(shù)據(jù)庫本身的設(shè)計(jì)缺陷，存在諸多的安全風(fēng)險(xiǎn)或安全隱患，主要表現(xiàn)在以下幾個(gè)方面：1.1、 不正確地管理數(shù)據(jù)庫數(shù)據(jù)庫服務(wù)器的應(yīng)用相當(dāng)復(fù)雜，掌握起來比較困難，需要具備較高的專業(yè)知識(shí)。許多數(shù)據(jù)庫管理員（DBA都忙于管理復(fù)雜的系統(tǒng)，很可能沒有檢查出嚴(yán)重的安全隱患和不當(dāng)?shù)呐渲茫踔粮緵]有進(jìn)行檢測(cè)。正是由于傳統(tǒng)的安全體系在很大程度上忽略了數(shù)據(jù)庫安全這一主題，使數(shù)據(jù)庫專業(yè)人員也通常沒有把安全問題當(dāng)作他們的首要任務(wù)。1.2、 重視網(wǎng)絡(luò)和主機(jī)安全，忽視數(shù)據(jù)庫自身安全許多信息安全人員中存在著一個(gè)錯(cuò)誤

2、概念，認(rèn)為：一旦修補(bǔ)了關(guān)鍵的網(wǎng)絡(luò)服務(wù)和主機(jī)操作系統(tǒng)的漏洞，數(shù)據(jù)庫就得到了安全保障。錯(cuò)誤的觀念導(dǎo)致了數(shù)據(jù)庫安全事故的發(fā)生。一個(gè)簡(jiǎn)單的事實(shí)：所有現(xiàn)代關(guān)系型數(shù)據(jù)庫系統(tǒng)都是“可從端口尋址的"，這意味著任何人只要有合適的查詢工具，就能躲開操作系統(tǒng)的安全機(jī)制，與數(shù)據(jù)庫直接相連，直接對(duì)數(shù)據(jù)庫造成威脅。1.3、 數(shù)據(jù)庫內(nèi)部權(quán)限管理不嚴(yán)格數(shù)據(jù)庫中的數(shù)據(jù)訪問權(quán)限定義不夠嚴(yán)格，使得內(nèi)部普通員工很容易通過網(wǎng)絡(luò)獲取數(shù)據(jù)庫中的機(jī)密數(shù)據(jù)。同時(shí)，數(shù)據(jù)庫系統(tǒng)本身的缺省用戶和口令、數(shù)據(jù)庫自身的安全漏洞或者管理員后門等均可能被普通用戶利用，獲取較高權(quán)限，竊取機(jī)密數(shù)據(jù)。1.4、 應(yīng)用系統(tǒng)對(duì)數(shù)據(jù)庫的影響大部分的應(yīng)用系統(tǒng)在設(shè)計(jì)

3、的時(shí)候?yàn)榱斯?jié)省license的數(shù)量，數(shù)據(jù)庫的實(shí)際用戶只有若干個(gè)（或者1個(gè)），而用戶之間的身份區(qū)別是通過數(shù)據(jù)庫中內(nèi)部建立用戶名/口令表的方式來實(shí)現(xiàn)的。這種系統(tǒng)實(shí)際登錄到數(shù)據(jù)庫的“用戶”是同一個(gè)數(shù)據(jù)庫用戶，所有用戶相對(duì)數(shù)據(jù)庫平臺(tái)的權(quán)限是相同的，因此很容易相互冒用。如果一個(gè)用戶可以冒用他人身份進(jìn)入，那么在案發(fā)或者故障時(shí)很難查證。1.5、 數(shù)據(jù)庫自身安全漏洞數(shù)據(jù)庫系統(tǒng)因?yàn)槠涔δ軓?qiáng)大、結(jié)構(gòu)復(fù)雜、各種應(yīng)用客戶端眾多，因此系統(tǒng)自身的漏洞也十分的繁多。其中很多漏洞不僅威脅到數(shù)據(jù)庫自身的安全，還會(huì)威脅到其所在操作系統(tǒng)的安全性。SQLServer>Oracle等數(shù)據(jù)庫都有很多廣為人知的漏洞。惡意的用戶很可能

4、利用這些漏洞攻擊數(shù)據(jù)庫進(jìn)而入侵操作系統(tǒng)，獲取重要數(shù)據(jù)，對(duì)系統(tǒng)造成破壞。在一般安全領(lǐng)域中，類似網(wǎng)頁被修改、電腦中病毒、木馬、流氓軟件、彈出窗口等所造成的經(jīng)濟(jì)損失微乎其微，而一旦數(shù)據(jù)庫出現(xiàn)安全風(fēng)險(xiǎn)并被惡意利用所造成的后果幾乎是災(zāi)難性的和不可挽回的。、數(shù)據(jù)庫安全檢查內(nèi)容2.1 檢查內(nèi)容概述:2.2 檢查內(nèi)容列表:管理相關(guān)角色類口令類權(quán)限類設(shè)置類文件權(quán)限類系統(tǒng)類用戶相關(guān)設(shè)置類用戶類軟件相關(guān)SQL注入類緩沖區(qū)溢出類系統(tǒng)類信息查看備份類角色類權(quán)限類設(shè)置類文件權(quán)限類用戶類三、數(shù)據(jù)庫類型支持:數(shù)據(jù)庫類型Oracle數(shù)據(jù)庫版本：Oracle8i、9i、10g、11g、12cMSSQServer數(shù)據(jù)庫版本：MSSQServer7.x、2000、2005、2008、2012Sybas瞰據(jù)庫版本：Sybase12.5、15.0MySQL據(jù)庫版本：MySQL3.04.0、5.0IBMDB縱據(jù)庫版本：EMDB28、9四、檢測(cè)方法4.1 授權(quán)檢測(cè)：使用具有DBAZ限的數(shù)據(jù)庫用戶，執(zhí)行選定的安全策略實(shí)現(xiàn)對(duì)目標(biāo)數(shù)據(jù)庫的檢測(cè)。4.2 非授權(quán)檢測(cè)：用戶在沒有授權(quán)的情況下（即：不需要數(shù)據(jù)庫的用戶名和密碼），依據(jù)數(shù)據(jù)庫版本號(hào)并根據(jù)選定的安全策略對(duì)目標(biāo)數(shù)據(jù)庫進(jìn)行的檢測(cè)。五、報(bào)告產(chǎn)出5.