从能源行业数据库安全检测报告观行业安全现状.docxVIP

从能源行业数据库安全检测报告观行业安全现状作为国家基础性产业，能源行业的信息化建设自上世纪60年代启动。信息化程度日趋成熟，很大程度上提高了行业内企业管理效率及核心竞争力，但与此同时，随着能源行业多项业务系统的上线，核心业务数据的存储与管理面临更大的挑战，业务数据、用户数据以及各类财务、人力等内部运营敏感信息，一旦遭到泄露或篡改，将影响业务系统的正常运转，关系民生。近年来，能源行业对于核心数据库的安全防护，已经在行业内获得关注。安华金和近些年为能源行业多家用户进行过数据库安全评估，整体情况并不乐观，我们看到有用户检测结果显示，未通过项中高危漏洞占比达到近三成。在几轮的安全评估之后，我们从中归纳总结出几类安全问题，由于该行业的信息系统大多为统一标准，几类问题可以说是整个行业的数据库安全通病。以某能源行业北方某分公司数据库安全加固项目为例，用户在进行数据库加固项目规划前，首先对核心数据库系统进行了一次全面的安全检查，希望根据检测报告制定有针对性的加固方案。本次安全检查利用安华金和数据库漏洞扫描系统，检测共涉及1000余检测项，结果显示未通过项为50余项，其中高危风险占比21%，中、低危风险占58%，其余为存在潜在风险的警告提示。风险等级主要根据各类安全漏洞、隐患可能导致的危害程度来评定。综合检测结果，以及与用户交流数据库系统的运维情况，安华金和对能源行业整体数据库安全问题及隐患进行了归纳与总结，希望可以为该行业用户数据库安全治理提供一些参考：用户对自身数据资产具体情况不完全清晰数据库安全状况的检测和后期加固，需要用户提供自身数据库系统的详细架构、数据表分布和使用情况等，例如信息系统中数据资产的规模和分布是怎样？数据资产之间的关联关系是怎样？哪些数据需要进行安全防护？哪些数据应该清理？我们发现，数据这些问题有些用户并不能梳理清楚。这将直接影响后续数据库安全加固建设方向的准确制定，在后期方案落地过程中也将面临诸多问题。数据库系统自身存在的安全漏洞无法实时更新补丁检测未通过项中数据库自身的安全漏洞占比不小，这个结果在我们的预料之中，该能源行业主要使用的数据库系统为Oracle、MySQL、Postgre、SQL Server等主流数据库类型。我们知道，越是成熟、广泛应用的数据库，被发现的自身漏洞反而越多，虽然数据库厂商能够及时发布补丁，但出于时间、人力成本及对关键业务系统运转连续性的考虑，户很难做到频繁的更新补丁、重启系统。利用诸如SQL注入、缓冲区溢出、权限提升等安全漏洞，发起威胁攻击正是黑客们最常用的攻击手段。数据库系统存在的弱口令账户、缺省账户以及低安全配置，构成潜在安全隐患数据库用户密码过于简单易猜，检测工具识别为弱口令账户，此外，扫描结果显示，用户数据库系统中仍然存在一些未修改过初始密码的账户，即为缺省账户。拿Oracle来说，各版本数据库系统共计700多个账户，出厂自带的原始用户名和密码大多类似，稍有数据库操作经验的人很容易破解。弱口令和缺省账户的存在，成为外部人员暴力破解，入侵数据库的捷径，不容小觑，以下是在检查中发现的部分缺省用户：锁定用户DIP存在缺省口令提示锁定用户EXFSYS存在缺省口令提示锁定用户OUTLN存在缺省口令提示锁定用户TSMSYS 存在缺省口令提示锁定用户WMSYS 存在缺省口令提示另一方面，检测中安华金和数据库漏洞扫描系统对低安全性的系统配置项进行了警告，如各类权限分配不当、参数设置不当、登陆次数不受限等等。配置缺陷属于潜在隐患，可能形成安全风险或系统性能的损耗。下面列举个别配置缺陷警告：名称：Oracle缺省表空间分配检查中风险描述：原则上，只有被授权的系统账户才能使用SYSTEM表空间作为缺省表空间，在检查结果中，出现了没有经过预定义的账户，则此项存在缺陷配置。该测试来自STIG(/stigs/)的 DO0155 测试项。修复建议：建议回收此部分未授权账户，或禁用缺省表空间。USERNAME1MGMT_VIEW名称：登录失败次数未设限制低风险描述:检测每个用户登录数据库的次数是否受限。Oracle数据库10.2版本中登陆失败的默认次数不能高于10次，而Oracle 10.2之前的版本中该值默认为无上限，如果没有及时优化配置，不法分子可能利用此漏洞进行暴力破解。修复建议:建议修改配置文件中FAILED_LOGIN_ATTEMPTS的值。修复语句：ALTER PROFILE /* fix */ ##amp;profile_name LIMIT FAILED_LOGIN_ATTEMPTS ##amp;num_failed_login_attempts;对于拥有高权限的内部运维人员、第三方人员，无有效的细粒度管控措施上文我们提到，该能源行业信息化程度较高，各类业务系统的开发、测试、运维等需要耗费大量的人