近年來與數(shù)據庫相關的信息安全事件頻發(fā)，政府組織、商業(yè)和金融機構在數(shù)據庫中存儲重要的人事信息、交易記錄、市場決策信息、商業(yè)合同等大量的敏感數(shù)據，數(shù)據安全成為社會的關注焦點，數(shù)據庫安全問題不容忽視。

安全測評機構、安服團隊、集團安全部門在信息安全等級保護要求的指導下，使用專業(yè)的儀器設備與人工檢測相結合的方式，檢測數(shù)據庫的安全問題，并向被測單位提出有針對性的整改措施，用來扭轉數(shù)據庫安全問題頻發(fā)的嚴峻局面，保護和促進信息化的健康發(fā)展。

目前數(shù)據庫安全檢測的主要類型有Oracle、MySQL、SQL Server、DB2、達夢、人大金倉等，每個類型數(shù)據庫還可能由于版本不同，數(shù)據庫缺省賬戶、安全配置參數(shù)等也不同，如：Oracle各版本的缺省賬戶共有700多個，達夢6和達夢7從連接的端口號到安全配置項都有不同。單純靠人工很難在短時間內全面、有效、準確的發(fā)現(xiàn)數(shù)據庫的安全問題，借助數(shù)據庫漏掃工具可以提高安全檢查效率。

檢測重點及常見問題

做數(shù)據庫安全檢測，一般需要在應用系統(tǒng)不繁忙的時候使用數(shù)據庫漏掃工具進行自動化的數(shù)據庫弱點評估，按等保要求主要檢測如下幾點：

1）檢查用戶口令復雜度，找出弱口令和配置安全策略；

2）數(shù)據庫賬戶權限設置不當；

3）數(shù)據庫中多余的運維賬戶或過期賬戶未被及時清除；

4）數(shù)據庫安全審計功能處于關閉狀態(tài)；

5）數(shù)據庫補丁未升級和高、中等級漏洞，如：SQL注入和緩沖區(qū)溢出漏洞，帶有攻擊性，要引起重視。

安華金和經與多家單位安服人員合作與溝通，總結在做數(shù)據庫安全檢測時，經常會遇到的以下幾類問題：

1）數(shù)據庫漏掃工具根本不支持國產數(shù)據庫的檢測，無法快速實現(xiàn)國產數(shù)據庫安全評估；

2）被測單位不允許檢測設備接入到運行的網絡環(huán)境中，或者必須通過堡壘機（linux操作系統(tǒng)）才能檢測數(shù)據庫；

3）被測單位往往以數(shù)據庫管理員不在或者不清楚數(shù)據庫賬戶為由，不提供檢測工具授權掃描需要的管理員賬戶和密碼；

4）通常檢測工作需要在應用系統(tǒng)不繁忙的時間進行，如凌晨12點以后；

5）通過數(shù)據庫漏掃工具檢測出來的結果過多，無法從檢測報表中找出等保對應的檢測項或高中漏洞項；

6）檢測報表格式無法達到客戶或檢測單位的要求，實現(xiàn)定制化報表，滿足個性化需求。

問題分析及解決對策

對應上述檢測重點來看：

一、檢查用戶口令復雜度，找出弱口令和配置安全策略；

首先要求對數(shù)據庫弱口令的檢測要有充足的弱口令字典和口令算法破解程序，通過能夠通過授權和非授權的弱口令掃描方式，實現(xiàn)弱口令的自動化發(fā)現(xiàn)，同時提供與口令和缺省賬戶相關的安全配置項檢查和修復建議，如：連續(xù)登錄的失敗次數(shù)、登錄失敗后鎖定時間、密碼賬戶的有效期等。

二、數(shù)據庫賬戶權限設置不當；數(shù)據庫中多余的運維賬戶或過期賬戶未被及時清除；

上述這兩點要通過檢測工具和人工確認共同完成，首先要通過數(shù)據庫漏掃工具快速發(fā)現(xiàn)當前數(shù)據庫類型都有哪些賬戶和他們的權限，但是，這些賬戶只有通過與系統(tǒng)管理員核實，才有可能確定是否屬于廢棄的運維賬戶忘記回收了，賬戶的權限過大，過期賬戶是否鎖定或刪除，正確處理這些賬戶才能防止被黑客惡意提權，利用這些賬戶篡改和查詢敏感信息。

三、數(shù)據庫安全審計功能處于關閉狀態(tài)；

這點和某數(shù)據庫廠商核實過，從數(shù)據庫運行性能考慮不推薦開啟審計功能，但是數(shù)據庫的操作必須要有獨立的審計日志，在出現(xiàn)非法篡改和數(shù)據泄漏的時候，能夠追責和定責，而且這些審計數(shù)據要符合數(shù)據的獨立性、完整性和安全性，因此，安華金和建議采用成熟的數(shù)據庫審計設備來實現(xiàn)數(shù)據庫操作記錄。

四、數(shù)據庫補丁未升級和高、中等級漏洞，如：SQL注入和緩沖區(qū)溢出漏洞，帶有攻擊性，要引起重視。

數(shù)據庫補丁未升級和安全漏洞問題，如果檢測出來單純靠升級數(shù)據庫補丁的方式來解決，有可能在升級補丁后影響前臺應用，建議采用數(shù)據庫防火墻的虛擬補丁實現(xiàn)網絡層的數(shù)據庫漏洞防護。

對于安服人員在實際檢測過程中遇到的問題，安華金和數(shù)據庫安全專家提供如下解決對策：

1）在選擇數(shù)據庫漏掃工具的時候，優(yōu)先考慮能支持國產數(shù)據庫類型檢測的檢查工具；

2）可以采用檢測工具自帶的離線掃描工具來實現(xiàn)，將離線掃描工具發(fā)給被測單位，被測單位在自己網絡內的可信計算機運行，采集到檢測結果文件后，發(fā)回給檢測單位生成相應的報告；

3）在沒有數(shù)據庫賬戶的情況下，就要求數(shù)據庫漏掃工具通過非授權掃描的功能實現(xiàn)數(shù)據庫安全檢查，非授權掃描通過對數(shù)據庫版本和缺省數(shù)據庫賬戶的探測，同時結合CVE、CNNVD報的數(shù)據庫高危漏洞，實現(xiàn)非授權掃描報表；

4）在數(shù)據庫漏掃工具中，加入定時掃描的功能，可以在正常工作時間設定需要掃描的時間，到時就可以自動實現(xiàn)掃描，這樣，安服人員就不用常加班了，安服的小伙伴們肯定非常喜歡這個功能；

5）數(shù)據庫漏掃工具支持等保、分保和行業(yè)檢查策略定制功能，可以按檢測要求事先指定好檢查策略集合，然后進行掃描，就可以實現(xiàn)按需要的策略實現(xiàn)檢測的功能；

6）數(shù)據庫漏掃工具能輸出xml格式的檢查結果，這樣的數(shù)據就可以按客戶方提供的xml樣式表顯示定制的結果報表，如果客戶能采用編程的方式提取xml數(shù)據，那將來顯示的xml報表就更“貼心”了。

數(shù)據庫安全檢測是一項復雜、科學嚴謹?shù)墓ぷ?，檢測人員首先要選擇檢測結果準確、檢測過程方便、適應各種安服條件的自動化數(shù)據庫漏掃工具，還需要結合測評工作經驗和等、分保、行業(yè)信息安全政策要求，充分與被測方進行溝通后，才能得出數(shù)據庫安全測評結果，并提出有效的整改意見。安華金和結合自身數(shù)據庫安服和數(shù)據庫漏掃工具研發(fā)經驗，對安服過程中的問題提出對策，也希望更多的安服小伙伴將自己在工作中的困惑和需求反饋給我們，這片文章希望起到“拋磚引玉”的效果對數(shù)據庫安全測評工作有實際幫助。

關于安華金和

安華金和是我國專業(yè)數(shù)據庫安全產品和服務提供商，由長期致力于數(shù)據庫內核研發(fā)和信息安全領域的專業(yè)資深人員共同創(chuàng)造，是國內唯一提供全面的數(shù)據庫安全產品、服務和解決方案服務商，覆蓋數(shù)據庫安全防護的事前檢查、事中控制和事后審核，幫助用戶全面實現(xiàn)數(shù)據庫安全防護和安全合規(guī)。

安華金和數(shù)據庫安全產品已經廣泛地應用于政府、軍隊、軍工、運營商、金融、企業(yè)信息防護等領域，建立了一定的聲譽，成為眾多企業(yè)在該領域尋求安全產品和服務的首選。

更多信息請查看IT技術專欄