数据库安全扫描系统白皮书110106.pdfVIP

安信通数据库安全扫描系统 技 术 白 皮 书 北京安信通网络技术有限公司 Beijing Anxintong Network Technology Co.,Ltd ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属安 信通所有，并受到有关产权及版权法保护。任何个人、机构未经安信通的书面授权许可，不得以任何方式 复制或引用本文的任何片断。 ■ 商标信息 所有在本文档中使用的商标为该商标所有人的资产。 目 录 一. 前言1 二. 为什么需要数据库安全扫描系统1 2.1 数据库安全现状1 2.2 数据库面临的风险1 三. 数据库安全扫描系统介绍2 3.1 系统架构3 3.1.1 体系结构及框架3 3.1.2 系统运行环境4 3.1.3 可扫描的数据库类型4 3.2 产品主要功能5 3.2.1 端口扫描5 3.2.2 漏洞检测（授权检测、非授权检测、渗透检测））5 3.2.3 策略管理5 3.2.4 漏洞分析5 3.2.5 报告分析5 3.2.6 日志管理6 3.2.7 漏洞修复6 3.2.8 数据库监控功能6 3.2.9 系统管理6 3.3 产品特点6 3.3.2 灵活的策略自定义功能7 3.3.3 定制任务自动扫描7 3.3.4 非授权检测和渗透检测7 3.3.5 字典攻击检测7 3.3.6 基于对象的报告分析7 3.3.7 实时监控数据库7 3.3.8 安全评估报告8 3.3.9 多种辅助工具8 3.3.10 高可靠的自身安全性8 四. 技术解决方案8 4.1 测评/检查单位解决方案 8 4.2 政府、部队及企事业类用户解决方案9 一. 前言 随着计算机技术的飞速发展，数据库的应用已经十分广泛，深入到了各个领域，政府组织、商业 机构和金融机构都是利用数据库保存其重要的人事信息、贸易记录、市场决策性信息、商业合同及敏 感的金融数据等。这些数据的重要性不容置疑，它关系到国家的安全、企业的兴衰，数据库是新型电 子交易、企业资源规划（ERP）和其它重要商业系统的基础。因此，如何有效地保证数据库系统的安全， 实现数据的保密性、完整性、有效性和可用性，已经成为如今信息化应用中的一个重要议题。 二. 为什么需要数据库安全扫描系统 2.1 数据库安全现状 数据库是任何商业和公共安全中最具有战略性的资产，保存着重要的信息资料，这些信息需要被 保护起来，以防止竞争者和其他非法者获取。虽然互联网的发展使得数据库信息的价值及可访问性得 到了提升，但同时，使得数据库面对来自内部和外部的安全风险大大增加，如违规越权操作、恶意入 侵导致机密信息窃取泄漏。报道中的数据库安全事件层出不穷，造成的损失也越来越大，有些甚至是 灾难性的损失。 据国内外多家权威部门统计，每年因为信息安全领域的策略失误所造成的损失高达几百亿美元， 其中有 65%以上的来自于单位内部，只有不到20%的攻击来自系统外部。 曾任职于华为技术有限公司的某工程师，通过互联网多次侵入北京移动公司的充值中心数据库， 盗取充值卡密码。 某医院数据库系统遭到非法入侵，导致上万名患者私人信息被盗取。 上海某一超市职员，利用数据库存在的漏洞，非法进入超市收银系统的数据库，修改数据信息， 将超市的销售记录的 20%营业款删除，并将收入转存入自己的账户。在 2004 年 6 月至 2005 年