使用数据库扫描系统评估数据库的安全性.pdfVIP

使用数据库扫描系统评估数据库的安全性 本文使用的是从某数据库安全厂家获取的数据库扫描系统， 版本不是最新的， 不过应该 可以代表产品的设计思路和其在相关领域的技术实力。 数据库扫描的初期，一般都是确认评估范围，本产品也不例外。添加任务有两种方法： 一是直接输入数据库的详细信息，二是对网络进行扫描，确认网内数据库的总量。 相对于网上 Nessus、NMAP 等评估工具，本款数据库扫描产品更像是一款安全测试工 具，因为在对数据库进行安全评估的时候，不但要输入通用的 IP、端口，更要输入数据库 系统的账号， 甚至操作系统的账号 （这样就可以审核用系统账号登录数据库系统情况下的安 全性）。 扫描速度理所当然的相当快， 因为就技术而言， 数据库的漏洞并不像主机那么多， 检测 项目也没有那么多， 因此速度较快。 下面是评估报告，当然这仅仅是主要描述部分，并不是 细节描写。 下图是数据库扫描系统的一些检测项，应该说基本覆盖了数据库安全检查项的绝大多 数。 下面是一个细节的描述，描述名称为 “审计级别设置 ”： 漏洞描述： 检查审计级别是否符合安全策略。你可以设置 Microsoft SQL Server 提供登录成功或失 败的审计跟踪记录。审计日志提供哪个登录 ID 尝试登录，成功还是失败，连接是标准的还 是信任的，时间和日期等信息。正确设置审计级别可以用来严格检测过期登录，登录攻击， 违反登录时间。 漏洞来源： 审计是数据库管理系统安全性重要的一部分， 通过审计， 凡是与数据库安全性相关的操 作可被记录下来， 只要检测审计记录， 系统安全员就可以掌握数据库被使用状况。 如何设置 审计的级别：不审计、成功审计、失败审计、全部审计。 修复建议： 更改审计级别。 对于 SQL Server 6.x （使用企业管理器）： 1.右击服务 2.从弹出菜单 中选择设置 3.选择安全选项页 对于 SQL Server7.0 和 2000 （使用企业管理器）： 1.右击服 务 2.选择属性选项 3.选择安全页更改审计级别 对于 SQL Server 2005 （使用 SQL Server Management Studio ）： 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别 漏洞描述、 漏洞来源、修复建议，都比较的详细， 可以指导数据库管理员对数据库进行 有效的检查、审核数据库系统的安全性。 当然，相对于某些数据库扫描系统不支持 MySQL （为什么不支持 MySQL ？因为多数 人用的是免费版？），本软件支持 Microsoft SQL Server 、Oracle 、MySQL 、Sybase 数据库， 我手头的这版本没有 DB/2 和 Infomix 的支持，不知道新版本是否支持？ 总的来说， 产品是不错的， 特别是在市场上数据库漏洞扫描产品很少， 等级保护和分级 保护又明确了数据库安全的情况下，本产品应该很有市场。 作者：张百川（网路游侠） 转载请注明来源！谢谢