近年來(lái)與數(shù)據(jù)庫(kù)相關(guān)的信息安全事件頻發(fā)，政府組織、商業(yè)和金融機(jī)構(gòu)在數(shù)據(jù)庫(kù)中存儲(chǔ)重要的人事信息、交易記錄、市場(chǎng)決策信息、商業(yè)合同等大量的敏感數(shù)據(jù)，數(shù)據(jù)安全成為社會(huì)的關(guān)注焦點(diǎn)，數(shù)據(jù)庫(kù)安全問(wèn)題不容忽視。

安全測(cè)評(píng)機(jī)構(gòu)、安服團(tuán)隊(duì)、集團(tuán)安全部門在信息安全等級(jí)保護(hù)要求的指導(dǎo)下，使用專業(yè)的儀器設(shè)備與人工檢測(cè)相結(jié)合的方式，檢測(cè)數(shù)據(jù)庫(kù)的安全問(wèn)題，并向被測(cè)單位提出有針對(duì)性的整改措施，用來(lái)扭轉(zhuǎn)數(shù)據(jù)庫(kù)安全問(wèn)題頻發(fā)的嚴(yán)峻局面，保護(hù)和促進(jìn)信息化的健康發(fā)展。

目前數(shù)據(jù)庫(kù)安全檢測(cè)的主要類型有Oracle、MySQL、SQL Server、DB2、達(dá)夢(mèng)、人大金倉(cāng)等，每個(gè)類型數(shù)據(jù)庫(kù)還可能由于版本不同，數(shù)據(jù)庫(kù)缺省賬戶、安全配置參數(shù)等也不同，如：Oracle各版本的缺省賬戶共有700多個(gè)，達(dá)夢(mèng)6和達(dá)夢(mèng)7從連接的端口號(hào)到安全配置項(xiàng)都有不同。單純靠人工很難在短時(shí)間內(nèi)全面、有效、準(zhǔn)確的發(fā)現(xiàn)數(shù)據(jù)庫(kù)的安全問(wèn)題，借助數(shù)據(jù)庫(kù)漏掃工具可以提高安全檢查效率。

檢測(cè)重點(diǎn)及常見(jiàn)問(wèn)題

做數(shù)據(jù)庫(kù)安全檢測(cè)，一般需要在應(yīng)用系統(tǒng)不繁忙的時(shí)候使用數(shù)據(jù)庫(kù)漏掃工具進(jìn)行自動(dòng)化的數(shù)據(jù)庫(kù)弱點(diǎn)評(píng)估，按等保要求主要檢測(cè)如下幾點(diǎn)：

1）檢查用戶口令復(fù)雜度，找出弱口令和配置安全策略；

2）數(shù)據(jù)庫(kù)賬戶權(quán)限設(shè)置不當(dāng)；

3）數(shù)據(jù)庫(kù)中多余的運(yùn)維賬戶或過(guò)期賬戶未被及時(shí)清除；

4）數(shù)據(jù)庫(kù)安全審計(jì)功能處于關(guān)閉狀態(tài)；

5）數(shù)據(jù)庫(kù)補(bǔ)丁未升級(jí)和高、中等級(jí)漏洞，如：SQL注入和緩沖區(qū)溢出漏洞，帶有攻擊性，要引起重視。

安華金和經(jīng)與多家單位安服人員合作與溝通，總結(jié)在做數(shù)據(jù)庫(kù)安全檢測(cè)時(shí)，經(jīng)常會(huì)遇到的以下幾類問(wèn)題：

1）數(shù)據(jù)庫(kù)漏掃工具根本不支持國(guó)產(chǎn)數(shù)據(jù)庫(kù)的檢測(cè)，無(wú)法快速實(shí)現(xiàn)國(guó)產(chǎn)數(shù)據(jù)庫(kù)安全評(píng)估；

2）被測(cè)單位不允許檢測(cè)設(shè)備接入到運(yùn)行的網(wǎng)絡(luò)環(huán)境中，或者必須通過(guò)堡壘機(jī)（linux操作系統(tǒng)）才能檢測(cè)數(shù)據(jù)庫(kù)；

3）被測(cè)單位往往以數(shù)據(jù)庫(kù)管理員不在或者不清楚數(shù)據(jù)庫(kù)賬戶為由，不提供檢測(cè)工具授權(quán)掃描需要的管理員賬戶和密碼；

4）通常檢測(cè)工作需要在應(yīng)用系統(tǒng)不繁忙的時(shí)間進(jìn)行，如凌晨12點(diǎn)以后；

5）通過(guò)數(shù)據(jù)庫(kù)漏掃工具檢測(cè)出來(lái)的結(jié)果過(guò)多，無(wú)法從檢測(cè)報(bào)表中找出等保對(duì)應(yīng)的檢測(cè)項(xiàng)或高中漏洞項(xiàng)；

6）檢測(cè)報(bào)表格式無(wú)法達(dá)到客戶或檢測(cè)單位的要求，實(shí)現(xiàn)定制化報(bào)表，滿足個(gè)性化需求。

問(wèn)題分析及解決對(duì)策

對(duì)應(yīng)上述檢測(cè)重點(diǎn)來(lái)看：

一、檢查用戶口令復(fù)雜度，找出弱口令和配置安全策略；

首先要求對(duì)數(shù)據(jù)庫(kù)弱口令的檢測(cè)要有充足的弱口令字典和口令算法破解程序，通過(guò)能夠通過(guò)授權(quán)和非授權(quán)的弱口令掃描方式，實(shí)現(xiàn)弱口令的自動(dòng)化發(fā)現(xiàn)，同時(shí)提供與口令和缺省賬戶相關(guān)的安全配置項(xiàng)檢查和修復(fù)建議，如：連續(xù)登錄的失敗次數(shù)、登錄失敗后鎖定時(shí)間、密碼賬戶的有效期等。

二、數(shù)據(jù)庫(kù)賬戶權(quán)限設(shè)置不當(dāng)；數(shù)據(jù)庫(kù)中多余的運(yùn)維賬戶或過(guò)期賬戶未被及時(shí)清除；

上述這兩點(diǎn)要通過(guò)檢測(cè)工具和人工確認(rèn)共同完成，首先要通過(guò)數(shù)據(jù)庫(kù)漏掃工具快速發(fā)現(xiàn)當(dāng)前數(shù)據(jù)庫(kù)類型都有哪些賬戶和他們的權(quán)限，但是，這些賬戶只有通過(guò)與系統(tǒng)管理員核實(shí)，才有可能確定是否屬于廢棄的運(yùn)維賬戶忘記回收了，賬戶的權(quán)限過(guò)大，過(guò)期賬戶是否鎖定或刪除，正確處理這些賬戶才能防止被黑客惡意提權(quán)，利用這些賬戶篡改和查詢敏感信息。

三、數(shù)據(jù)庫(kù)安全審計(jì)功能處于關(guān)閉狀態(tài)；

這點(diǎn)和某數(shù)據(jù)庫(kù)廠商核實(shí)過(guò)，從數(shù)據(jù)庫(kù)運(yùn)行性能考慮不推薦開(kāi)啟審計(jì)功能，但是數(shù)據(jù)庫(kù)的操作必須要有獨(dú)立的審計(jì)日志，在出現(xiàn)非法篡改和數(shù)據(jù)泄漏的時(shí)候，能夠追責(zé)和定責(zé)，而且這些審計(jì)數(shù)據(jù)要符合數(shù)據(jù)的獨(dú)立性、完整性和安全性，因此，安華金和建議采用成熟的數(shù)據(jù)庫(kù)審計(jì)設(shè)備來(lái)實(shí)現(xiàn)數(shù)據(jù)庫(kù)操作記錄。

四、數(shù)據(jù)庫(kù)補(bǔ)丁未升級(jí)和高、中等級(jí)漏洞，如：SQL注入和緩沖區(qū)溢出漏洞，帶有攻擊性，要引起重視。

數(shù)據(jù)庫(kù)補(bǔ)丁未升級(jí)和安全漏洞問(wèn)題，如果檢測(cè)出來(lái)單純靠升級(jí)數(shù)據(jù)庫(kù)補(bǔ)丁的方式來(lái)解決，有可能在升級(jí)補(bǔ)丁后影響前臺(tái)應(yīng)用，建議采用數(shù)據(jù)庫(kù)防火墻的虛擬補(bǔ)丁實(shí)現(xiàn)網(wǎng)絡(luò)層的數(shù)據(jù)庫(kù)漏洞防護(hù)。

對(duì)于安服人員在實(shí)際檢測(cè)過(guò)程中遇到的問(wèn)題，安華金和數(shù)據(jù)庫(kù)安全專家提供如下解決對(duì)策：

1）在選擇數(shù)據(jù)庫(kù)漏掃工具的時(shí)候，優(yōu)先考慮能支持國(guó)產(chǎn)數(shù)據(jù)庫(kù)類型檢測(cè)的檢查工具；

2）可以采用檢測(cè)工具自帶的離線掃描工具來(lái)實(shí)現(xiàn)，將離線掃描工具發(fā)給被測(cè)單位，被測(cè)單位在自己網(wǎng)絡(luò)內(nèi)的可信計(jì)算機(jī)運(yùn)行，采集到檢測(cè)結(jié)果文件后，發(fā)回給檢測(cè)單位生成相應(yīng)的報(bào)告；

3）在沒(méi)有數(shù)據(jù)庫(kù)賬戶的情況下，就要求數(shù)據(jù)庫(kù)漏掃工具通過(guò)非授權(quán)掃描的功能實(shí)現(xiàn)數(shù)據(jù)庫(kù)安全檢查，非授權(quán)掃描通過(guò)對(duì)數(shù)據(jù)庫(kù)版本和缺省數(shù)據(jù)庫(kù)賬戶的探測(cè)，同時(shí)結(jié)合CVE、CNNVD報(bào)的數(shù)據(jù)庫(kù)高危漏洞，實(shí)現(xiàn)非授權(quán)掃描報(bào)表；

4）在數(shù)據(jù)庫(kù)漏掃工具中，加入定時(shí)掃描的功能，可以在正常工作時(shí)間設(shè)定需要掃描的時(shí)間，到時(shí)就可以自動(dòng)實(shí)現(xiàn)掃描，這樣，安服人員就不用常加班了，安服的小伙伴們肯定非常喜歡這個(gè)功能；

5）數(shù)據(jù)庫(kù)漏掃工具支持等保、分保和行業(yè)檢查策略定制功能，可以按檢測(cè)要求事先指定好檢查策略集合，然后進(jìn)行掃描，就可以實(shí)現(xiàn)按需要的策略實(shí)現(xiàn)檢測(cè)的功能；

6）數(shù)據(jù)庫(kù)漏掃工具能輸出xml格式的檢查結(jié)果，這樣的數(shù)據(jù)就可以按客戶方提供的xml樣式表顯示定制的結(jié)果報(bào)表，如果客戶能采用編程的方式提取xml數(shù)據(jù)，那將來(lái)顯示的xml報(bào)表就更“貼心”了。

數(shù)據(jù)庫(kù)安全檢測(cè)是一項(xiàng)復(fù)雜、科學(xué)嚴(yán)謹(jǐn)?shù)墓ぷ鳎瑱z測(cè)人員首先要選擇檢測(cè)結(jié)果準(zhǔn)確、檢測(cè)過(guò)程方便、適應(yīng)各種安服條件的自動(dòng)化數(shù)據(jù)庫(kù)漏掃工具，還需要結(jié)合測(cè)評(píng)工作經(jīng)驗(yàn)和等、分保、行業(yè)信息安全政策要求，充分與被測(cè)方進(jìn)行溝通后，才能得出數(shù)據(jù)庫(kù)安全測(cè)評(píng)結(jié)果，并提出有效的整改意見(jiàn)。安華金和結(jié)合自身數(shù)據(jù)庫(kù)安服和數(shù)據(jù)庫(kù)漏掃工具研發(fā)經(jīng)驗(yàn)，對(duì)安服過(guò)程中的問(wèn)題提出對(duì)策，也希望更多的安服小伙伴將自己在工作中的困惑和需求反饋給我們，這片文章希望起到“拋磚引玉”的效果對(duì)數(shù)據(jù)庫(kù)安全測(cè)評(píng)工作有實(shí)際幫助。

關(guān)于安華金和

安華金和是我國(guó)專業(yè)數(shù)據(jù)庫(kù)安全產(chǎn)品和服務(wù)提供商，由長(zhǎng)期致力于數(shù)據(jù)庫(kù)內(nèi)核研發(fā)和信息安全領(lǐng)域的專業(yè)資深人員共同創(chuàng)造，是國(guó)內(nèi)唯一提供全面的數(shù)據(jù)庫(kù)安全產(chǎn)品、服務(wù)和解決方案服務(wù)商，覆蓋數(shù)據(jù)庫(kù)安全防護(hù)的事前檢查、事中控制和事后審核，幫助用戶全面實(shí)現(xiàn)數(shù)據(jù)庫(kù)安全防護(hù)和安全合規(guī)。

安華金和數(shù)據(jù)庫(kù)安全產(chǎn)品已經(jīng)廣泛地應(yīng)用于政府、軍隊(duì)、軍工、運(yùn)營(yíng)商、金融、企業(yè)信息防護(hù)等領(lǐng)域，建立了一定的聲譽(yù)，成為眾多企業(yè)在該領(lǐng)域?qū)で蟀踩a(chǎn)品和服務(wù)的首選。

更多信息請(qǐng)查看IT技術(shù)專欄