开发者社区> 科技小能手> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

使用数据库扫描系统评估数据库的安全性

简介:
+关注继续查看
 本文使用的是从某数据库安全厂家获取的数据库扫描系统,版本不是最新的,不过应该可以代表产品的设计思路和其在相关领域的技术实力。
  数据库扫描的初期,一般都是确认评估范围,本产品也不例外。添加任务有两种方法:一是直接输入数据库的详细信息,二是对网络进行扫描,确认网内数据库的总量。

  相对于网上Nessus、NMAP等评估工具,本款数据库扫描产品更像是一款安全测试工具,因为在对数据库进行安全评估的时候,不但要输入通用的IP、端口,更要输入数据库系统的账号,甚至操作系统的账号(这样就可以审核用系统账号登录数据库系统情况下的安全性)。
  扫描速度理所当然的相当快,因为就技术而言,数据库的漏洞并不像主机那么多,检测项目也没有那么多,因此速度较快。下面是评估报告,当然这仅仅是主要描述部分,并不是细节描写。

  下图是数据库扫描系统的一些检测项,应该说基本覆盖了数据库安全检查项的绝大多数。

  下面是一个细节的描述,描述名称为“审计级别设置”:
漏洞描述:
    检查审计级别是否符合安全策略。你可以设置Microsoft SQL Server提供登录成功或失败的审计跟踪记录。审计日志提供哪个登录ID尝试登录,成功还是失败,连接是标准的还是信任的,时间和日期等信息。正确设置审计级别可以用来严格检测过期登录,登录攻击,违反登录时间。
漏洞来源:
    审计是数据库管理系统安全性重要的一部分,通过审计,凡是与数据库安全性相关的操作可被记录下来,只要检测审计记录,系统安全员就可以掌握数据库被使用状况。如何设置审计的级别:不审计、成功审计、失败审计、全部审计。
修复建议:
    更改审计级别。 对于SQL Server 6.x(使用企业管理器): 1.右击服务 2.从弹出菜单中选择设置 3.选择安全选项页 对于SQL Server7.0和2000(使用企业管理器): 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别 对于SQL Server 2005(使用SQL Server Management Studio): 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别
  漏洞描述、漏洞来源、修复建议,都比较的详细,可以指导数据库管理员对数据库进行有效的检查、审核数据库系统的安全性。
当然,相对于某些数据库扫描系统不支持MySQL(为什么不支持MySQL?因为多数人用的是免费版?),本软件支持Microsoft SQL Server、Oracle、MySQL、Sybase数据库,我手头的这版本没有DB/2和Infomix的支持,不知道新版本是否支持?
总的来说,产品是不错的,特别是在市场上数据库漏洞扫描产品很少,等级保护和分级保护又明确了数据库安全的情况下,本产品应该很有市场。
使用数据库扫描系统评估数据库的安全性
http://www.youxia.org/2009/09/DataBase-Scanner-Audit-Check.html

本文转自网路游侠 51CTO博客,原文链接:http://blog.51cto.com/youxia/197912

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
全方位解读服务网格(Service Mesh)的背景和概念
为了解决微服务框架的侵入性问题,我们引入服务网格。
1254 0
PolarDB 并行查询的前世今生
本文会深入介绍PolarDB MySQL在并行查询这一企业级查询加速特性上做的技术探索、形态演进和相关组件的实现原理,所涉及功能随PolarDB MySQL 8.0.2版本上线。
526 0
企业内部应用接入钉钉获取部门及人员信息
企业内部应用接入钉钉,同时通过API获取当前企业下部门及人员信息
1201 0
MySQL模糊查询再也用不着 like+% 了!
我们都知道 InnoDB 在模糊查询数据时使用 "%xx" 会导致索引失效,但有时需求就是如此,类似这样的需求还有很多,例如,搜索引擎需要根基用户数据的关键字进行全文查找,电子商务网站需要根据用户的查询条件,在可能需要在商品的详细介绍中进行查找,这些都不是B+树索引能很好完成的工作。 通过数值比较,范围过滤等就可以完成绝大多数我们需要的查询了。但是,如果希望通过关键字的匹配来进行查询过滤,那么就需要基于相似度的查询,而不是原来的精确数值比较,全文索引就是为这种场景设计的。
25677 0
阿里云云原生一体化数仓正式发布  助力企业数据驱动业务创新
云原生一体化数仓是集阿里云大数据产品MaxCompute、DataWorks、Hologres三种产品能力于一体的一站式大数据处理平台。核心是3个一体化和全链路数据治理能力,包括离线实时一体、湖仓一体、分析服务一体、全链路数据治理。
1622 0
全面公测|Grafana服务:一张图表胜过千行指标&日志
Grafana 帮助运维人员轻松处理各类运维过程中遇到的各类数据可视化与分析难题。目前阿里云 Grafana 服务全面免费公测,帮助企业轻松构建运维数据可视化平台,轻松实现数据驱动运维!
1174 0
一起学Golang系列(五)初次接触Go语言可能遇到的各种坑!
前面介绍了Go语言的基础语法,所谓磨刀不误砍柴工,希望大家还是能熟悉掌握这些基础知识,这样后面真正学起Go来才会得心应手。 作为初学者。Go语言的语法有些和java类似,但也有很多不一样的地方。刚开始都会遇到各种各样的坑。下面就来总结下学习go语言的过程中,遇到的各种坑。
1046 0
设备接入--海康摄像头SDK
springboot-对接海康摄像头,兼容window和Linux环境
1360 0
Flink SQL 在快手的扩展和实践
快手实时计算团队技术专家张静、张芒在 FFA 2021 的分享
1168 0
无影云桌面,企业与个人的应用神器
阿里云无影云桌面( Elastic Desktop Service)的原产品名为弹性云桌面,融合了无影产品技术后更名升级。它可以为您提供易用、安全、高效的云上桌面服务,帮助您快速构建、高效管理桌面办公环境,提供安全、灵活的办公体系。
276311 0
23704
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载