本文使用的是从某数据库安全厂家获取的数据库扫描系统,版本不是最新的,不过应该可以代表产品的设计思路和其在相关领域的技术实力。 数据库扫描的初期,一般都是确认评估范围,本产品也不例外。添加任务有两种方法:一是直接输入数据库的详细信息,二是对网络进行扫描,确认网内数据库的总量。
相对于网上Nessus、NMAP等评估工具,本款数据库扫描产品更像是一款安全测试工具,因为在对数据库进行安全评估的时候,不但要输入通用的IP、端口,更要输入数据库系统的账号,甚至操作系统的账号(这样就可以审核用系统账号登录数据库系统情况下的安全性)。 扫描速度理所当然的相当快,因为就技术而言,数据库的漏洞并不像主机那么多,检测项目也没有那么多,因此速度较快。下面是评估报告,当然这仅仅是主要描述部分,并不是细节描写。
下图是数据库扫描系统的一些检测项,应该说基本覆盖了数据库安全检查项的绝大多数。
下面是一个细节的描述,描述名称为“审计级别设置”:漏洞描述:
检查审计级别是否符合安全策略。你可以设置Microsoft SQL Server提供登录成功或失败的审计跟踪记录。审计日志提供哪个登录ID尝试登录,成功还是失败,连接是标准的还是信任的,时间和日期等信息。正确设置审计级别可以用来严格检测过期登录,登录攻击,违反登录时间。
漏洞来源:
审计是数据库管理系统安全性重要的一部分,通过审计,凡是与数据库安全性相关的操作可被记录下来,只要检测审计记录,系统安全员就可以掌握数据库被使用状况。如何设置审计的级别:不审计、成功审计、失败审计、全部审计。
修复建议:
更改审计级别。 对于SQL Server 6.x(使用企业管理器): 1.右击服务 2.从弹出菜单中选择设置 3.选择安全选项页 对于SQL Server7.0和2000(使用企业管理器): 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别 对于SQL Server 2005(使用SQL Server Management Studio): 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别
漏洞描述、漏洞来源、修复建议,都比较的详细,可以指导数据库管理员对数据库进行有效的检查、审核数据库系统的安全性。
当然,相对于某些数据库扫描系统不支持MySQL(为什么不支持MySQL?因为多数人用的是免费版?),本软件支持Microsoft SQL Server、Oracle、MySQL、Sybase数据库,我手头的这版本没有DB/2和Infomix的支持,不知道新版本是否支持?
总的来说,产品是不错的,特别是在市场上数据库漏洞扫描产品很少,等级保护和分级保护又明确了数据库安全的情况下,本产品应该很有市场。
使用数据库扫描系统评估数据库的安全性
http://www.youxia.org/2009/09/DataBase-Scanner-Audit-Check.html
本文转自网路游侠 51CTO博客,原文链接:http://blog.51cto.com/youxia/197912
