近年來與數(shù)據(jù)庫相關(guān)的信息安全事件頻發(fā)，政府組織、商業(yè)和金融機構(gòu)在數(shù)據(jù)庫中存儲重要的人事信息、交易記錄、市場決策信息、商業(yè)合同等大量的敏感數(shù)據(jù)，數(shù)據(jù)安全成為社會的關(guān)注焦點，數(shù)據(jù)庫安全問題不容忽視。

安全測評機構(gòu)、安服團隊、集團安全部門在信息安全等級保護要求的指導(dǎo)下，使用專業(yè)的儀器設(shè)備與人工檢測相結(jié)合的方式，檢測數(shù)據(jù)庫的安全問題，并向被測單位提出有針對性的整改措施，用來扭轉(zhuǎn)數(shù)據(jù)庫安全問題頻發(fā)的嚴(yán)峻局面，保護和促進信息化的健康發(fā)展。

目前數(shù)據(jù)庫安全檢測的主要類型有Oracle、MySQL、SQL Server、DB2、達夢、人大金倉等，每個類型數(shù)據(jù)庫還可能由于版本不同，數(shù)據(jù)庫缺省賬戶、安全配置參數(shù)等也不同，如：Oracle各版本的缺省賬戶共有700多個，達夢6和達夢7從連接的端口號到安全配置項都有不同。單純靠人工很難在短時間內(nèi)全面、有效、準(zhǔn)確的發(fā)現(xiàn)數(shù)據(jù)庫的安全問題，借助數(shù)據(jù)庫漏掃工具可以提高安全檢查效率。

檢測重點及常見問題

做數(shù)據(jù)庫安全檢測，一般需要在應(yīng)用系統(tǒng)不繁忙的時候使用數(shù)據(jù)庫漏掃工具進行自動化的數(shù)據(jù)庫弱點評估，按等保要求主要檢測如下幾點：

1）檢查用戶口令復(fù)雜度，找出弱口令和配置安全策略；

2）數(shù)據(jù)庫賬戶權(quán)限設(shè)置不當(dāng)；

3）數(shù)據(jù)庫中多余的運維賬戶或過期賬戶未被及時清除；

4）數(shù)據(jù)庫安全審計功能處于關(guān)閉狀態(tài)；

5）數(shù)據(jù)庫補丁未升級和高、中等級漏洞，如：SQL注入和緩沖區(qū)溢出漏洞，帶有攻擊性，要引起重視。

安華金和經(jīng)與多家單位安服人員合作與溝通，總結(jié)在做數(shù)據(jù)庫安全檢測時，經(jīng)常會遇到的以下幾類問題：

1）數(shù)據(jù)庫漏掃工具根本不支持國產(chǎn)數(shù)據(jù)庫的檢測，無法快速實現(xiàn)國產(chǎn)數(shù)據(jù)庫安全評估；

2）被測單位不允許檢測設(shè)備接入到運行的網(wǎng)絡(luò)環(huán)境中，或者必須通過堡壘機（linux操作系統(tǒng)）才能檢測數(shù)據(jù)庫；

3）被測單位往往以數(shù)據(jù)庫管理員不在或者不清楚數(shù)據(jù)庫賬戶為由，不提供檢測工具授權(quán)掃描需要的管理員賬戶和密碼；

4）通常檢測工作需要在應(yīng)用系統(tǒng)不繁忙的時間進行，如凌晨12點以后；

5）通過數(shù)據(jù)庫漏掃工具檢測出來的結(jié)果過多，無法從檢測報表中找出等保對應(yīng)的檢測項或高中漏洞項；

6）檢測報表格式無法達到客戶或檢測單位的要求，實現(xiàn)定制化報表，滿足個性化需求。

問題分析及解決對策

對應(yīng)上述檢測重點來看：

一、檢查用戶口令復(fù)雜度，找出弱口令和配置安全策略；

首先要求對數(shù)據(jù)庫弱口令的檢測要有充足的弱口令字典和口令算法破解程序，通過能夠通過授權(quán)和非授權(quán)的弱口令掃描方式，實現(xiàn)弱口令的自動化發(fā)現(xiàn)，同時提供與口令和缺省賬戶相關(guān)的安全配置項檢查和修復(fù)建議，如：連續(xù)登錄的失敗次數(shù)、登錄失敗后鎖定時間、密碼賬戶的有效期等。

二、數(shù)據(jù)庫賬戶權(quán)限設(shè)置不當(dāng)；數(shù)據(jù)庫中多余的運維賬戶或過期賬戶未被及時清除；

上述這兩點要通過檢測工具和人工確認(rèn)共同完成，首先要通過數(shù)據(jù)庫漏掃工具快速發(fā)現(xiàn)當(dāng)前數(shù)據(jù)庫類型都有哪些賬戶和他們的權(quán)限，但是，這些賬戶只有通過與系統(tǒng)管理員核實，才有可能確定是否屬于廢棄的運維賬戶忘記回收了，賬戶的權(quán)限過大，過期賬戶是否鎖定或刪除，正確處理這些賬戶才能防止被黑客惡意提權(quán)，利用這些賬戶篡改和查詢敏感信息。

三、數(shù)據(jù)庫安全審計功能處于關(guān)閉狀態(tài)；

這點和某數(shù)據(jù)庫廠商核實過，從數(shù)據(jù)庫運行性能考慮不推薦開啟審計功能，但是數(shù)據(jù)庫的操作必須要有獨立的審計日志，在出現(xiàn)非法篡改和數(shù)據(jù)泄漏的時候，能夠追責(zé)和定責(zé)，而且這些審計數(shù)據(jù)要符合數(shù)據(jù)的獨立性、完整性和安全性，因此，安華金和建議采用成熟的數(shù)據(jù)庫審計設(shè)備來實現(xiàn)數(shù)據(jù)庫操作記錄。

四、數(shù)據(jù)庫補丁未升級和高、中等級漏洞，如：SQL注入和緩沖區(qū)溢出漏洞，帶有攻擊性，要引起重視。

數(shù)據(jù)庫補丁未升級和安全漏洞問題，如果檢測出來單純靠升級數(shù)據(jù)庫補丁的方式來解決，有可能在升級補丁后影響前臺應(yīng)用，建議采用數(shù)據(jù)庫防火墻的虛擬補丁實現(xiàn)網(wǎng)絡(luò)層的數(shù)據(jù)庫漏洞防護。

對于安服人員在實際檢測過程中遇到的問題，安華金和數(shù)據(jù)庫安全專家提供如下解決對策：

1）在選擇數(shù)據(jù)庫漏掃工具的時候，優(yōu)先考慮能支持國產(chǎn)數(shù)據(jù)庫類型檢測的檢查工具；

2）可以采用檢測工具自帶的離線掃描工具來實現(xiàn)，將離線掃描工具發(fā)給被測單位，被測單位在自己網(wǎng)絡(luò)內(nèi)的可信計算機運行，采集到檢測結(jié)果文件后，發(fā)回給檢測單位生成相應(yīng)的報告；

3）在沒有數(shù)據(jù)庫賬戶的情況下，就要求數(shù)據(jù)庫漏掃工具通過非授權(quán)掃描的功能實現(xiàn)數(shù)據(jù)庫安全檢查，非授權(quán)掃描通過對數(shù)據(jù)庫版本和缺省數(shù)據(jù)庫賬戶的探測，同時結(jié)合CVE、CNNVD報的數(shù)據(jù)庫高危漏洞，實現(xiàn)非授權(quán)掃描報表；

4）在數(shù)據(jù)庫漏掃工具中，加入定時掃描的功能，可以在正常工作時間設(shè)定需要掃描的時間，到時就可以自動實現(xiàn)掃描，這樣，安服人員就不用常加班了，安服的小伙伴們肯定非常喜歡這個功能；

5）數(shù)據(jù)庫漏掃工具支持等保、分保和行業(yè)檢查策略定制功能，可以按檢測要求事先指定好檢查策略集合，然后進行掃描，就可以實現(xiàn)按需要的策略實現(xiàn)檢測的功能；

6）數(shù)據(jù)庫漏掃工具能輸出xml格式的檢查結(jié)果，這樣的數(shù)據(jù)就可以按客戶方提供的xml樣式表顯示定制的結(jié)果報表，如果客戶能采用編程的方式提取xml數(shù)據(jù)，那將來顯示的xml報表就更“貼心”了。

數(shù)據(jù)庫安全檢測是一項復(fù)雜、科學(xué)嚴(yán)謹(jǐn)?shù)墓ぷ鳎瑱z測人員首先要選擇檢測結(jié)果準(zhǔn)確、檢測過程方便、適應(yīng)各種安服條件的自動化數(shù)據(jù)庫漏掃工具，還需要結(jié)合測評工作經(jīng)驗和等、分保、行業(yè)信息安全政策要求，充分與被測方進行溝通后，才能得出數(shù)據(jù)庫安全測評結(jié)果，并提出有效的整改意見。安華金和結(jié)合自身數(shù)據(jù)庫安服和數(shù)據(jù)庫漏掃工具研發(fā)經(jīng)驗，對安服過程中的問題提出對策，也希望更多的安服小伙伴將自己在工作中的困惑和需求反饋給我們，這片文章希望起到“拋磚引玉”的效果對數(shù)據(jù)庫安全測評工作有實際幫助。

關(guān)于安華金和

安華金和是我國專業(yè)數(shù)據(jù)庫安全產(chǎn)品和服務(wù)提供商，由長期致力于數(shù)據(jù)庫內(nèi)核研發(fā)和信息安全領(lǐng)域的專業(yè)資深人員共同創(chuàng)造，是國內(nèi)唯一提供全面的數(shù)據(jù)庫安全產(chǎn)品、服務(wù)和解決方案服務(wù)商，覆蓋數(shù)據(jù)庫安全防護的事前檢查、事中控制和事后審核，幫助用戶全面實現(xiàn)數(shù)據(jù)庫安全防護和安全合規(guī)。

安華金和數(shù)據(jù)庫安全產(chǎn)品已經(jīng)廣泛地應(yīng)用于政府、軍隊、軍工、運營商、金融、企業(yè)信息防護等領(lǐng)域，建立了一定的聲譽，成為眾多企業(yè)在該領(lǐng)域?qū)で蟀踩a(chǎn)品和服務(wù)的首選。

更多信息請查看IT技術(shù)專欄