安裝安信通數據庫漏洞掃描系統的必要性
1、數據庫現狀及漏洞未修復產(chǎn)生的后果
數據庫保存了單位的核心資產(chǎn),一旦發(fā)生泄漏事件將造成不可估量的損失,其經(jīng)濟損失和社會(huì )影響將是巨大且不可承受的。
近些年來(lái)發(fā)生的信息安全事故屢見(jiàn)報道,從最近幾年報道的信息泄漏事件中,數據庫都是首當其沖的,因此加強數據庫安全也迫在眉睫,做到防患于未然。
黑客利用數據庫的各種漏洞來(lái)對數據庫進(jìn)行攻擊,或者內部人員的復雜性造成的數據泄露,都是數據庫信息泄漏的途徑。例如數據庫用戶(hù)密碼的脆弱性,非法的遠程連接,數據庫用戶(hù)占用CPU會(huì )話(huà)數過(guò)多等。對于不同的數據庫,漏洞也不同。如:目前oracle數據庫我們列舉出的漏洞就有超過(guò)1000項,MYSQL數據庫漏洞也有超過(guò)1000項。只要一個(gè)漏洞被黑客利用,數據庫就有被破壞的危險。因此,如何提前將數據庫漏洞檢查出來(lái)并事先進(jìn)行修復和防范是保護數據庫安全的最佳途徑,正如習近平總書(shū)記2016年4月在網(wǎng)絡(luò )安全和信息化工作座談會(huì )上的講話(huà)中強調“維護網(wǎng)絡(luò )安全,首先要知道風(fēng)險在哪里,是什么樣的風(fēng)險,什么時(shí)候發(fā)生風(fēng)險,正所謂“聰者聽(tīng)于無(wú)聲,明者見(jiàn)于未形”。感知網(wǎng)絡(luò )安全態(tài)勢是最基本最基礎的工作。要全面加強網(wǎng)絡(luò )安全檢查,摸清家底,認清風(fēng)險,找出漏洞,通報結果,督促整改”。
2、數據庫漏洞掃描系統與傳統漏洞掃描系統的區別
系統漏洞掃描系統是檢查操作系統中存在的漏洞,其掃描對象是操作系統,操作系統是大型數據庫系統的運行平臺,為數據庫系統提供一定程度的安全保護。但是當入侵是通過(guò)數據庫開(kāi)放的端口進(jìn)行時(shí),操作系統就無(wú)能為力了。
網(wǎng)絡(luò )漏洞掃描系統是一種基于網(wǎng)絡(luò )的漏洞掃描和分析工具軟件,能夠自動(dòng)檢查主機、網(wǎng)絡(luò )設備的安全漏洞,雖然包含了一些數據庫得漏洞掃描,但是其數據庫漏洞種類(lèi)僅限于軟件相關(guān)的漏洞,譬如我們常見(jiàn)的CVE漏洞,跟專(zhuān)業(yè)的數據庫漏洞掃描系統沒(méi)有可比性。專(zhuān)業(yè)的數據庫漏洞掃描系統漏洞庫要全面得多,CVE漏洞只占其中的一小部分,更多的:比如數據庫參數配置漏洞、角色配置漏洞、系統權限漏洞,以及口令類(lèi)、SQL注入、備份類(lèi)漏洞以及各種安全參數類(lèi)漏洞等等,這些都是系統漏洞掃描和網(wǎng)絡(luò )漏洞掃描系統所無(wú)法比擬的。
從漏洞數量上說(shuō),專(zhuān)業(yè)的數據庫漏洞掃描產(chǎn)品,其數據庫方面的漏洞數量多達上萬(wàn)條,遠大于系統漏洞掃描和網(wǎng)絡(luò )漏洞掃描系統的幾百條。
1)原理不同。數據庫監控與審計系統是被動(dòng)接收來(lái)自數據庫的數據進(jìn)行還原和分析;安信通數據庫漏洞掃描系統是主動(dòng)讀取數據庫內部的表和數據,然后進(jìn)行分析。
2)作用不同。數據庫監控與審計系統是用于事后的審計,即在出現數據庫安全事故時(shí),對原來(lái)操作的還原和追蹤,它不能防止事故的發(fā)生,通過(guò)它只可能追查到發(fā)生事故的原因,起到威懾作用;安信通數據庫漏洞掃描系統是用于事前防范,它的作用是防止事故的發(fā)生,意義顯而易見(jiàn)。
3)結果不同。數據庫監控與審計系統的結果是提供給用戶(hù)一本對數據庫操作的還原數據,一本日志帳,用戶(hù)從這些巨大的數據中找到有用的東西,需要專(zhuān)業(yè)的人士來(lái)操作;安信通數據庫漏洞掃描系統的結果是提供給用戶(hù)數據庫存在什么問(wèn)題或者是漏洞,有什么風(fēng)險,然后告訴用戶(hù)怎么修復這些漏洞及怎么防范這些風(fēng)險。它告訴用戶(hù)的是直接的問(wèn)題,對于無(wú)關(guān)的東西系統不關(guān)心。用戶(hù)根據報告就可解決問(wèn)題,簡(jiǎn)便易行。
4、安信通數據庫漏洞掃描系統的主要功能
1)可檢測Oracle、SQLServer、DB2、MySQL、SyBase、PostgreSQL、Informix、MongoDB等8種國際主流數據庫(可增加)和DM、KingBaseES、GBase、Oscar、優(yōu)炫數據庫、高斯數據庫等十幾種國產(chǎn)數據庫(可增加)
2)端口識別與發(fā)現:供自動(dòng)搜索功能,系統提供的端口掃描功能可以自動(dòng)搜索出某一網(wǎng)段或指定IP范圍內的活動(dòng)數據庫,輕松獲得數據庫的基本信息(包括端口號、數據庫類(lèi)型、版本號、數據庫服務(wù)器IP地址等)。
3)可檢測的項目有12類(lèi):賬戶(hù)類(lèi)、口令類(lèi)、日志類(lèi)、監聽(tīng)類(lèi)、審計類(lèi)、數據加密類(lèi)、內存類(lèi)、表空間類(lèi)、參數類(lèi)、資源限制類(lèi)、限制DBA組中的操作系統用戶(hù)數量類(lèi)、設定信任IP集類(lèi)
4)檢測服務(wù)包括缺省口令、弱口令、低安全配置、DBMS脆弱點(diǎn)、補丁漏洞、程序后門(mén)、易受攻擊代碼等類(lèi)別。
5)漏洞總數超過(guò)10000條,且絕大部分是非CVE漏洞。
6)根據危害程度,對漏洞進(jìn)行高、中、低風(fēng)險分級。
7)有五種檢測方式:授權檢測、非授權檢測、滲透檢測、木馬檢測、敏感信息檢測。
8)專(zhuān)門(mén)的弱口令檢測:可按窮舉、字典庫、規則等多種方式檢測弱口令,且不受數據庫嘗試登陸次數的影響;且能進(jìn)行密碼的口令窮舉破解。
9)數據庫加固功能:系統包含了對于數據庫加固的解決方案。
10)漏洞修復:系統對于無(wú)論哪種檢測方式查出的漏洞,均提供詳細的修復建議。
11)各種報告:簡(jiǎn)明報告、詳細報告、對比報告、趨勢分析報告、評估報告、整體報告;且給出詳細的漏洞來(lái)源、修復建議等。提供弱口令、高危程序等單項報告。
5、為什么選擇“安信通數據庫漏洞掃描系統”
相對于國內其他廠(chǎng)家的數據庫漏洞掃描產(chǎn)品,由北京安信通網(wǎng)絡(luò )技術(shù)有限公司研制生產(chǎn)的“安信通數據庫漏洞掃描系統”產(chǎn)品具有如下優(yōu)勢:
率先通過(guò)國家保密局檢測中心、公安部安全產(chǎn)品檢測中心、解放軍安全產(chǎn)品檢測中心的認可,并被這些單位選定為數據庫安全檢測工具,用于對涉密/保密行業(yè)、軍工行業(yè)、分保、等保檢查、部隊檢查的檢查工具。
產(chǎn)品特色(相比其他廠(chǎng)家):
1)漏洞庫全,有效的漏洞多。除了常見(jiàn)的CVE漏洞外,安信通數據庫漏洞掃描系統更多的是包含了諸如角色類(lèi)、文件權限類(lèi)、用戶(hù)類(lèi)等與管理員和操作員使用相關(guān)的漏洞,還包含了各種相關(guān)的數據庫安全參數漏洞。
2)漏洞庫分類(lèi)更為合理。漏洞分類(lèi)簡(jiǎn)單明了,減少了大量冗余漏洞,檢測速度更快,準確性更高。
3)可檢測的數據庫種類(lèi)更多,目前可檢測的數據庫種類(lèi)已達12種之多,并且根據用戶(hù)需要在不斷增加中。
4)相比其他產(chǎn)品,本公司產(chǎn)品誤報率低得多、漏報率極少。這是該產(chǎn)品問(wèn)世超過(guò)十年、近千家用戶(hù)實(shí)際使用的總結。
5)產(chǎn)品兼容用戶(hù)各種環(huán)境和需求,十年磨一劍,用戶(hù)體驗更好。
6)本公司產(chǎn)品是唯一即具有單機版又有網(wǎng)絡(luò )版的數據庫安全檢查產(chǎn)品。單機版適用于安全檢查工具;網(wǎng)絡(luò )版適合數據中心數據庫的聯(lián)網(wǎng)檢查和防護,可隨時(shí)了解聯(lián)網(wǎng)各部門(mén)數據庫的安全情況,實(shí)用且降低成本。
7)完善的報告模板。相比其他廠(chǎng)家,安信通數據庫漏洞掃描系統提供的報告模板最全最多。如:保密行業(yè)報告模板、等保單位報告模板、趨勢分析、對比分析、運行報告、整體報告等。
8)功能更齊全:授權檢測、非授權檢測、滲透檢測、木馬檢測、一鍵檢測;更增加了許多實(shí)用功能,如口令加密、oracle數據庫的補丁查詢(xún)、解密工具等。
6、產(chǎn)品形態(tài)和方案選擇
安信通數據庫漏洞掃描系統有兩種產(chǎn)品形態(tài):?jiǎn)螜C版和網(wǎng)絡(luò )版。
單機版:軟件系統安裝在一臺PC機或筆記本電腦上(不低于如下配置:CPU≥I3,內存≥8G,硬盤(pán)≥500G)上,然后連接到用戶(hù)數據庫服務(wù)器所在的網(wǎng)絡(luò )即可(用戶(hù)在網(wǎng)絡(luò )內分配一個(gè)IP地址)。
網(wǎng)絡(luò )版:整個(gè)系統為一款軟硬一體化專(zhuān)用設備。該專(zhuān)用設備連接到數據庫服務(wù)器所在的交換機上即可(為專(zhuān)用分配一個(gè)IP地址)。