安華金和數(shù)據(jù)庫漏洞掃描系統(tǒng)白皮書

精品文檔 你我共享安華金和數(shù)據(jù)庫漏洞掃描系統(tǒng)白皮書腹有詩書氣自華精品文檔 你我共享腹有詩書氣自華精品文檔 你我共享目錄安華金和數(shù)據(jù)庫漏洞掃描系統(tǒng)..................................................................................................................1技術(shù)白皮書..................................................................................................................................................1一.產(chǎn)品簡介...............................................................................................................................................31.1應(yīng)用背景...........................................................................................................................................31.2核心價值...........................................................................................................................................41.3工作環(huán)境要求...................................................................................................................................61.4基本功能...........................................................................................................................................61.4.1任務(wù)管理...................................................................................................................................61.4.2策略管理...................................................................................................................................61.4.3數(shù)據(jù)庫服務(wù)器自動發(fā)現(xiàn)（端口掃描）....................................................................................61.4.4數(shù)據(jù)庫漏洞掃描.......................................................................................................................71.4.5數(shù)據(jù)庫漏洞掃描評估報告.......................................................................................................71.4.6安全監(jiān)控...................................................................................................................................71.4.7滲透攻擊...................................................................................................................................71.4.8數(shù)據(jù)庫安全加固建議...............................................................................................................81.4.9審計管理...................................................................................................................................81.5產(chǎn)品特性...........................................................................................................................................81.5.1支持的數(shù)據(jù)庫類型...................................................................................................................81.5.2支持的檢測內(nèi)容.......................................................................................................................8二.產(chǎn)品優(yōu)勢...............................................................................................................................................92.1國內(nèi)外主流產(chǎn)品對比分析...............................................................................................................92.2DBSCAN的競爭優(yōu)勢.........................................................................................................................10三.產(chǎn)品架構(gòu).............................................................................................................................................133.1掃描控制模塊.................................................................................................................................133.2管理模塊.........................................................................................................................................143.3掃描模塊.........................................................................................................................................153.4報表生成模塊.................................................................................................................................163.5存儲管理模塊.................................................................................................................................173.6自身安全模塊.................................................................................................................................17四.新手上路.............................................................................................................................................184.1用戶角色.........................................................................................................................................184.2使用流程.........................................................................................................................................194.3簡單場景舉例.................................................................................................................................20五.聯(lián)系我們.............................................................................................................................................22腹有詩書氣自華精品文檔 你我共享腹有詩書氣自華精品文檔 你我共享一. 產(chǎn)品簡介安華金和數(shù)據(jù)庫漏洞掃描系統(tǒng) （簡稱DBScan）是一款對數(shù)據(jù)庫系統(tǒng)進(jìn)行自動化安全評估的專業(yè)軟件，能夠充分暴露并證明數(shù)據(jù)庫系統(tǒng)的安全漏洞和威脅并提供智能化的修復(fù)建議，將企業(yè)的數(shù)據(jù)庫安全建設(shè)工作由被動的事后追查轉(zhuǎn)變?yōu)槭虑爸鲃宇A(yù)防，將數(shù)據(jù)庫的安全自查由低效的人工方式提升到高效準(zhǔn)確的自動檢查方式，并以報表的方式呈現(xiàn)給用戶，適時提出修補(bǔ)方法和安全實(shí)施策略，對數(shù)據(jù)庫的安全狀況進(jìn)行持續(xù)化監(jiān)控，從而幫助用戶保持?jǐn)?shù)據(jù)庫的安全健康狀態(tài)，實(shí)現(xiàn)“防患于未然”，對數(shù)據(jù)庫安全風(fēng)險進(jìn)行綜合評估。國產(chǎn)數(shù)據(jù)庫弱口令掃描和安全配置核查旨在通過對國產(chǎn)數(shù)據(jù)庫弱口令和安全配置的檢查，規(guī)范國產(chǎn)數(shù)據(jù)庫使用者口令和安全選項(xiàng)設(shè)置，保障數(shù)據(jù)庫及數(shù)據(jù)庫中數(shù)據(jù)的安全。工具當(dāng)前支持達(dá)夢、南通 GBase、人大金倉等主流國產(chǎn)數(shù)據(jù)庫，同時針對每一款數(shù)據(jù)庫本身的特性，提供定制化的弱口令掃描方案，以最小的代價提供最具效率的掃描體驗(yàn)。1.1 應(yīng)用背景數(shù)據(jù)庫自身漏洞增長迅速、風(fēng)險不斷加劇主流數(shù)據(jù)庫系統(tǒng)大多功能龐大且結(jié)構(gòu)復(fù)雜，在提供強(qiáng)大的數(shù)據(jù)管理服務(wù)能力的同時，也暴露出眾多的安全漏洞。根據(jù)cnnvd的最新統(tǒng)計分析結(jié)果表明，在累計報告的 45917條漏洞信息中與主流數(shù)據(jù)庫相關(guān)漏洞已達(dá)到 4900 多條，在包括網(wǎng)絡(luò)、主機(jī)、系統(tǒng)、軟件漏洞在內(nèi)的所有安全漏洞中占10%以上，而這一比例在 2年前還不足 5%；其中，數(shù)據(jù)庫 Oracle累計報告的漏洞高達(dá) 1214條，另一廣泛應(yīng)用的 SQLServer 數(shù)據(jù)庫漏洞也多達(dá) 272條，且處于中、高風(fēng)險的漏洞比例較大并呈現(xiàn)逐年增加，日趨復(fù)雜化發(fā)展態(tài)勢。數(shù)據(jù)庫成為黑客主要攻擊目標(biāo)泄漏源頭根據(jù)美國 verizon 2009年對2億8500萬次累計攻擊行為調(diào)查報告表明，數(shù)據(jù)庫成為入侵者最主要的攻擊目標(biāo)， 高達(dá)76%的數(shù)據(jù)攻擊嘗試是針對數(shù)據(jù)庫的； 而對常規(guī)的網(wǎng)絡(luò)服務(wù)器、應(yīng)用服務(wù)器的攻擊僅占到 1%和18%。而據(jù)另一份 verizon就“核心數(shù)據(jù)是如何丟失的”全面的市場調(diào)查， 92%以上的數(shù)據(jù)丟失腹有詩書氣自華精品文檔 你我共享情況是由于數(shù)據(jù)庫漏洞造成的，數(shù)據(jù)庫安全問題已經(jīng)到了必須引起高度重視的程度。數(shù)據(jù)庫的不規(guī)范使用引發(fā)眾多安全隱患主流數(shù)據(jù)庫應(yīng)用相當(dāng)復(fù)雜，要進(jìn)行安全的配置和維護(hù)需要具備豐富的經(jīng)驗(yàn)，隨著主流數(shù)據(jù)庫的功能不斷擴(kuò)充，出現(xiàn)的漏洞更加復(fù)雜、種類更加繁多，而DBA更多的精力是投入到復(fù)雜的日常維護(hù)工作中，往往忽略了安全隱患和不正確的安全配置檢查，從而導(dǎo)致數(shù)據(jù)庫的安全狀況的無法得到改善。數(shù)據(jù)庫安全成為信息安全建設(shè)短板數(shù)據(jù)庫系統(tǒng)是企業(yè)最重要的“數(shù)字資產(chǎn)”載體，然而我國在過去的 10年在網(wǎng)絡(luò)安全、主機(jī)安全、終端安全等層面投入巨大，但忽視了數(shù)據(jù)庫的安全建設(shè)。傳統(tǒng)的安全產(chǎn)品已經(jīng)日趨完善和成熟，通過傳統(tǒng)的攻擊方式已無法對信息系統(tǒng)進(jìn)行有效攻擊。當(dāng)前，入侵者往往采取合法手段繞過外層防護(hù)的安全壁壘，轉(zhuǎn)而直接攻擊薄弱的數(shù)據(jù)庫內(nèi)部防護(hù)環(huán)節(jié)，對數(shù)據(jù)庫造成極大威脅。在去年爆發(fā)的若干重大數(shù)據(jù)泄密事件，如：索尼的7000萬用戶數(shù)據(jù)泄露、陜西移動1400萬用戶數(shù)據(jù)泄露、福建黑客入侵盜走多家三甲醫(yī)院處方信息、年底CSDN開始的諸多大型網(wǎng)站數(shù)據(jù)泄密等事件，均與數(shù)據(jù)庫的安全漏洞存在重要關(guān)系。1.2 核心價值分析內(nèi)部不安全配置，防止越權(quán)訪問通過只讀賬戶，實(shí)現(xiàn)由內(nèi)到外的檢測；提供現(xiàn)有數(shù)據(jù)的漏洞透視圖和數(shù)據(jù)庫配置安全評估；初步診斷內(nèi)外部的非授權(quán)訪問。監(jiān)控數(shù)據(jù)庫安全狀況，防止數(shù)據(jù)庫安全狀況惡化對于數(shù)據(jù)庫建立安全基線，對數(shù)據(jù)庫進(jìn)行定期掃描，對所有安全狀況發(fā)生的變化進(jìn)行及時報告和分析。用戶和授權(quán)狀況掃描，便于找到寬泛權(quán)限賬戶對于大型業(yè)務(wù)系統(tǒng)中用戶，以及用戶的授權(quán)狀況，特別是管理員權(quán)限的授予狀況，是系統(tǒng)安全的關(guān)鍵；從安全合規(guī)性的角度，用戶和授權(quán)狀況總是審查的要點(diǎn)。DBScan 提供自動化的收集工具，提供獨(dú)立于 DBA 的授權(quán)報告。腹有詩書氣自華精品文檔 你我共享豐富的弱口令字典庫比對，即時展現(xiàn)不安全的口令設(shè)置基于各種主流數(shù)據(jù)庫口令生成規(guī)則實(shí)現(xiàn)口令匹配掃描，規(guī)避基于數(shù)據(jù)庫登錄的用戶鎖定問題和效率問題。提供基于字典庫， 基于規(guī)則，基于窮舉的多種模式實(shí)現(xiàn)弱口令檢測； 提供2000 萬弱口令字典庫，兼容 CSDN口令庫。發(fā)現(xiàn)外部黑客攻擊漏洞，防止外部攻擊實(shí)現(xiàn)非授權(quán)的從外到內(nèi)的檢測；模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)，在沒有授權(quán)的情況下，對目標(biāo)數(shù)據(jù)庫的安全性作深入的探測分析；收集外部人員可以利用的數(shù)據(jù)庫漏洞的詳細(xì)信息。發(fā)現(xiàn)敏感數(shù)據(jù)，保護(hù)核心數(shù)據(jù)資產(chǎn)一般應(yīng)用的后臺數(shù)據(jù)庫都有上百個表和上千個列，要保護(hù)您的核心數(shù)據(jù)資產(chǎn)，首先要了解核心數(shù)據(jù)資產(chǎn)在什么地方，通過敏感數(shù)據(jù)發(fā)現(xiàn)功能對存儲密碼、個人標(biāo)識信息、信用卡賬戶等的表和列進(jìn)行掃描，也支持用戶自定義敏感對象搜索關(guān)鍵字功能。按不同安全檢測要求，進(jìn)行靈活的策略管理提供策略的管理功能，將策略分類管理，可滿足不同安全等級檢查的需要，如等級保護(hù)、行業(yè)等保以及軍隊(duì)等級保護(hù)等。提供國產(chǎn)數(shù)據(jù)庫兩種弱口令掃描方式授權(quán)弱口令掃描：提供數(shù)據(jù)庫用戶、密碼，全新掃描方式急速、安全。非授權(quán)弱口令掃描：無數(shù)據(jù)庫權(quán)限，依舊能夠掃描。綜合多種掃描策略萬海量弱口令字典自定義弱口令字典用戶名相關(guān)弱口令按長度、字符暴力破解定制化掃描引擎達(dá)夢：8位內(nèi)密碼完全破解Gbase：4位內(nèi)急速掃描，每個用戶掃描平均耗時低于2秒Kingbase：4位密碼掃描多核心協(xié)同工作腹有詩書氣自華精品文檔 你我共享1.3 工作環(huán)境要求硬件環(huán)境安華金和數(shù)據(jù)庫漏洞掃描系統(tǒng)安裝所需的硬件環(huán)境見下表所示：名稱 參數(shù)CPU 不低于2.8G的Pentium處理器或其它兼容 X86處理器內(nèi)存 最小1GB(推薦2GB)硬盤 最小50G(推薦100GB)網(wǎng)絡(luò) 不低于百 M1.4 基本功能 任務(wù)管理本系統(tǒng)提供任務(wù)管理功能，每個任務(wù)中包含一個或多個目標(biāo)數(shù)據(jù)庫，用戶可以選擇發(fā)現(xiàn)數(shù)據(jù)庫的方式：掃描活動的數(shù)據(jù)庫、手動輸入數(shù)據(jù)庫連接信息。自定義掃描的各項(xiàng)參數(shù)，包括掃描IP段、選擇掃描數(shù)據(jù)庫的類型、端口范圍、任務(wù)名稱、創(chuàng)建者和描述，便于隨時啟動對目標(biāo)數(shù)據(jù)庫的漏洞掃描。 策略管理本系統(tǒng)提供策略的管理功能，用戶可以定制掃描項(xiàng)目和屬性，根據(jù)漏洞類型分成：弱口令、缺省口令、配置缺陷、數(shù)據(jù)發(fā)現(xiàn)、脆弱點(diǎn)、易受攻擊代碼、操作系統(tǒng)相關(guān)漏洞、程序后門、審計漏洞、補(bǔ)丁等；根據(jù)風(fēng)險級別，分為嚴(yán)重、中等、普通、警告、參考信息；將策略分類管理，可滿足不同安全等級檢查的需要，如等級保護(hù)、行業(yè)等保以及軍隊(duì)等級保護(hù)等。 數(shù)據(jù)庫服務(wù)器自動發(fā)現(xiàn)（端口掃描）系統(tǒng)提供自動搜索網(wǎng)內(nèi)數(shù)據(jù)庫的功能，也可以指定 IP段和端口的范圍進(jìn)行搜索。能夠自動發(fā)現(xiàn)數(shù)據(jù)庫的基本信息包括：端口號、數(shù)據(jù)庫類型、數(shù)據(jù)庫實(shí)例名、數(shù)據(jù)庫服務(wù)器 IP地址等。腹有詩書氣自華精品文檔 你我共享 數(shù)據(jù)庫漏洞掃描本系統(tǒng)提供的漏洞掃描檢測方式為授權(quán)掃描和弱口令掃描，用戶可以根據(jù)不同的需要定制不同的掃描策略，進(jìn)行數(shù)據(jù)庫的漏洞掃描，掃描完成后系統(tǒng)自動生成檢測報告，分為統(tǒng)計報告、詳細(xì)報告、漏洞報告。其中詳細(xì)報告內(nèi)容包含漏洞描述、 產(chǎn)生原因和修復(fù)建議等內(nèi)容。授權(quán)掃描：授權(quán)掃描是指使用數(shù)據(jù)庫用戶和口令連接到遠(yuǎn)程服務(wù)器，執(zhí)行指定掃描策略的數(shù)據(jù)庫漏洞檢測。弱口令掃描：弱口令掃描是指使用數(shù)據(jù)庫用戶和口令連接到遠(yuǎn)程服務(wù)器，執(zhí)行對數(shù)據(jù)庫中弱口令的檢測。 數(shù)據(jù)庫漏洞掃描評估報告系統(tǒng)可以對目標(biāo)數(shù)據(jù)庫中存在的安全隱患并生成安全評估報告，讓用戶對當(dāng)前數(shù)據(jù)庫的安全問題有更加系統(tǒng)、全面的掌握。同時針對評估報告進(jìn)行分析，從而提出合理的修復(fù)解決方案，使數(shù)據(jù)庫系統(tǒng)變得更加安全可靠。系統(tǒng)提供文檔、表格、圖表等多種方式的評估報告：統(tǒng)計報告、詳細(xì)報告、漏洞報告等，詳細(xì)報告提供了漏洞的來源、 漏洞的風(fēng)險級別、 漏洞類型、漏洞描述、修復(fù)方法等多項(xiàng)內(nèi)容，使用戶對其數(shù)據(jù)庫安全狀況一目了然。還可以將報告導(dǎo)出以供打印和存檔。 安全監(jiān)控通過周期性的監(jiān)控數(shù)據(jù)庫的運(yùn)行狀態(tài)，展現(xiàn)數(shù)據(jù)庫的實(shí)時的安全視圖；定期掃描，反映當(dāng)前安全狀況相對基線的變化；可以查看詳細(xì)的變化狀況。 滲透攻擊一種模擬黑客式的檢查手段，通過模擬黑客攻擊的方式，利用數(shù)據(jù)庫本身存在的漏洞，獲取數(shù)據(jù)庫管理員的權(quán)限并登錄到數(shù)據(jù)庫，實(shí)現(xiàn)直接取證。攻擊方式：SQL注入滲透：利用 SQL注入漏洞進(jìn)行權(quán)限提升；緩沖區(qū)溢出攻擊：利用緩沖區(qū)溢出的方式，造成數(shù)據(jù)庫服務(wù)崩潰，實(shí)現(xiàn)拒絕服務(wù)攻擊。腹有詩書氣自華精品文檔 你我共享 數(shù)據(jù)庫安全加固建議針對系統(tǒng)檢查出的數(shù)據(jù)庫安全漏洞，系統(tǒng)在數(shù)據(jù)庫漏洞詳細(xì)報告中提供了詳細(xì)的漏洞修復(fù)建議，保證每條建議有效可靠，不會造成用戶修復(fù)后正常功能無法使用、數(shù)據(jù)庫系統(tǒng)無法啟動等故障，從而幫助用戶更加快速、有效地進(jìn)行漏洞修復(fù)。 審計管理對于用戶登錄、策略管理、掃描管理、修改密碼等操作產(chǎn)生審計日志記錄，供審計人員進(jìn)行查看分析。1.5 產(chǎn)品特性 支持的數(shù)據(jù)庫類型數(shù)據(jù)庫類型數(shù)據(jù)庫版本Oracle9i、10g、11gMSSQL2000、2005、2008MySQL5.0、5.1DB29.7sybase15.0.2、15.0.3、15.5.0Postgre9.xinformix9.x、10.x、11.x達(dá)夢6、7金倉7南通8 支持的檢測內(nèi)容DBMS 漏洞：已知數(shù)據(jù)庫系統(tǒng)自身存在的漏洞，這些漏洞會引發(fā)數(shù)據(jù)泄漏、權(quán)限提升或拒絕攻擊問題。配置缺陷：由于數(shù)據(jù)庫或系統(tǒng)的配置造成的安全缺陷或風(fēng)險點(diǎn)。缺省口令：使用數(shù)據(jù)庫系統(tǒng)安裝的缺省口令，由于這樣的口令是被公眾掌握的，安全隱患很大。腹有詩書氣自華精品文檔 你我共享弱口令：口令的安全強(qiáng)度不符合安全性要求， 比如使用了 111111這樣的口令，很容易被猜到。敏感數(shù)據(jù)檢測：檢測表名和列名，避免暴露用戶名、密碼、支付卡、用戶信息等敏感數(shù)據(jù)，以提醒用戶加強(qiáng)安全措施。權(quán)限寬泛：給普通用戶授予了各種高危操作的權(quán)限，如 drop alltable，execute allprocedure,truncatealltable 。程序后門：由于不安全的程序造成在某種條件下會觸發(fā)安全缺陷。審計：由于存在未審計的命令，導(dǎo)致該命令被執(zhí)行的漏洞。補(bǔ)?。簲?shù)據(jù)庫的版本或組件的版本已經(jīng)不再被支持了，需要進(jìn)行升級來實(shí)現(xiàn)更好的安全性。二. 產(chǎn)品優(yōu)勢目前數(shù)據(jù)庫漏洞掃描評估基于的主要方法是 “已知入侵手段檢測” 和“已知漏洞掃描” ，也就是基于知識庫的技術(shù)。因此，決定一個漏洞掃描評估技術(shù)和產(chǎn)品的重要標(biāo)志之一就是能夠檢測的入侵種類和漏洞數(shù)量。為提升系統(tǒng)安全性， Oracle、SQLServer 等主流數(shù)據(jù)庫均開放了數(shù)據(jù)庫漏洞平臺，及時發(fā)布新的漏洞和補(bǔ)丁信息；同時，為幫助用戶最大限度地獲得所有安全信息，通用漏洞披露 CVE和中國國家信息安全漏洞庫 CNNVD等平臺和組織相繼建立。這些漏洞庫可以被用戶和安全廠商直接獲取，成為數(shù)據(jù)庫漏洞評估技術(shù)和產(chǎn)品良好的基礎(chǔ)支撐。國內(nèi)首家支持三種國內(nèi)主流數(shù)據(jù)庫的弱口令掃描和安全配置核查。2.1 國內(nèi)外主流產(chǎn)品對比分析目前，國內(nèi)外的數(shù)據(jù)庫漏洞掃描產(chǎn)品都已經(jīng)實(shí)現(xiàn)了漏洞掃描產(chǎn)品的基本功能，如提供掃描報告和修復(fù)建議，支持策略配置、計劃任務(wù)和漏洞庫升級等， 并實(shí)現(xiàn)了對 Oracle、SQLServer、MySQL等主流數(shù)據(jù)庫的支持。腹有詩書氣自華精品文檔 你我共享在檢查能力、高端特性方面國內(nèi)產(chǎn)品存在明顯的劣勢，無法滿足數(shù)據(jù)庫安全檢查工作需要；而國外產(chǎn)品也面臨著本土支持能力弱，政策上不合規(guī)的問題，不適用于數(shù)據(jù)庫安全檢測工作。）國外產(chǎn)品本土支持能力弱，政策上不合規(guī)不符合安全政策規(guī)定：對于軍隊(duì)系統(tǒng)，在軟件產(chǎn)品特別是安全產(chǎn)品上，政策上明確要求使用國內(nèi)自主產(chǎn)品，國外產(chǎn)品無法使用。不符合等保等安全檢查標(biāo)準(zhǔn)。價格高昂、服務(wù)無保障：國外產(chǎn)品價格偏高、國外產(chǎn)品在價格上比國內(nèi)產(chǎn)品普遍高出一倍以上；同時無法提供7*24小時支持服務(wù)，國外產(chǎn)品一般是提供的5×8小時技術(shù)服務(wù)，每小時服務(wù)費(fèi)用幾百到上千元不等。）國內(nèi)產(chǎn)品檢查能力弱，高端特性缺失漏洞庫規(guī)模不足：國內(nèi)產(chǎn)品支持的數(shù)據(jù)庫漏洞數(shù)不足， 不能覆蓋權(quán)威漏洞庫（cve、cnnvd）和主流數(shù)據(jù)庫廠商發(fā)布的漏洞庫，而國外主流產(chǎn)品支持的漏洞個數(shù)能達(dá)到 3000個以上。漏洞庫可擴(kuò)展性低：產(chǎn)品架構(gòu)設(shè)計不合理，不能夠基于規(guī)則進(jìn)行漏洞檢查，無法有效進(jìn)行漏洞庫的擴(kuò)展，導(dǎo)致漏洞庫升級緩慢。不支持模擬滲透攻擊：對 SQL注入及緩沖區(qū)溢出等漏洞不支持模擬攻擊測試，缺乏漏洞的可驗(yàn)證性，不能有效為安全檢查提供有力證據(jù)。服務(wù)器自動發(fā)現(xiàn)能力較弱：對于修改了默認(rèn)服務(wù)端口的數(shù)據(jù)庫服務(wù)器發(fā)現(xiàn)能力較弱，不夠準(zhǔn)確。不具備分布式部署能力： 無法對分布式網(wǎng)絡(luò)數(shù)據(jù)庫漏洞掃描、 漏洞庫升級進(jìn)行集中管理。檢測性能偏低：對單一數(shù)據(jù)庫實(shí)例的掃描時間往往達(dá)到小時級，且進(jìn)行檢測時對系統(tǒng)資源消耗較大，對業(yè)務(wù)系統(tǒng)的正常運(yùn)行會產(chǎn)生明顯影響。2.2DBScan 的競爭優(yōu)勢（1）DBMS 安全漏洞知識庫提供傳統(tǒng)數(shù)據(jù)庫漏掃產(chǎn)品所覆蓋的 DBMS 漏洞項(xiàng)檢測、弱安全配置檢測、補(bǔ)丁檢測、缺省用戶名/口令檢測。其中基本漏洞項(xiàng)檢測覆蓋緩沖區(qū)溢出漏洞、 提權(quán)漏洞、拒絕服務(wù)漏洞等，總計超過 1500項(xiàng)；國內(nèi)普通安全廠商的漏洞檢測數(shù)在 300個左右；專業(yè)數(shù)據(jù)庫漏洞工具的檢測數(shù)600-700個。（2）全面的數(shù)據(jù)庫安全檢查范圍腹有詩書氣自華精品文檔 你我共享提供傳統(tǒng)數(shù)據(jù)庫漏掃產(chǎn)品所覆蓋的基本檢測項(xiàng)外，同時提供全面的敏感數(shù)據(jù)檢測、和用戶權(quán)限報告。檢測項(xiàng)達(dá)到4541個以上；覆蓋DBMS漏洞、管理員維護(hù)漏洞、程序代碼漏洞和高危敏感數(shù)據(jù)檢測四個方面的數(shù)據(jù)庫安全檢查。（3）方便易用的系統(tǒng)DBScan根據(jù)系統(tǒng)用戶分為三種操作主界面： 管理員，審計員和操作員。 管理員可以制定掃描任務(wù)，實(shí)現(xiàn)掃描主機(jī)自動發(fā)現(xiàn)和手動發(fā)現(xiàn)，掃描數(shù)據(jù)庫端口和實(shí)例名，進(jìn)行掃描策略管理，同時管理已有掃描任務(wù)和任務(wù)組。審計員可以審計程序運(yùn)行日志。操作員可以進(jìn)行相應(yīng)的掃描操作，查看掃描的歷史報告并導(dǎo)出。 操作多數(shù)以向?qū)Ы缑娣绞秸宫F(xiàn)，操作簡單易用。（4）先進(jìn)的數(shù)據(jù)庫安全檢查技術(shù)DBScan支持多種數(shù)據(jù)庫自動化檢查技術(shù)； 先進(jìn)的網(wǎng)絡(luò)數(shù)據(jù)庫發(fā)現(xiàn)技術(shù)， 不僅提供數(shù)據(jù)庫服務(wù)器發(fā)現(xiàn)技術(shù)，還提供數(shù)據(jù)庫端口發(fā)現(xiàn)技術(shù)；實(shí)現(xiàn)多種 DBMS的密碼生成技術(shù)。實(shí)現(xiàn)多種DBMS的密碼生成技術(shù)，提供 1萬多個口令爆破庫，實(shí)現(xiàn)快速的弱口令檢測方法。（5）豐富的預(yù)定義安全策略XSecure-DBScan 包含了系列預(yù)定義的掃描策略，以幫助用戶立即完成常規(guī)性的掃描任務(wù)：全面掃描：對漏洞庫中的所有檢測項(xiàng)進(jìn)行掃描。基本掃描：對數(shù)據(jù)庫使用缺陷、 DBMS 系統(tǒng)缺陷進(jìn)行掃描?？焖賿呙瑁横槍?shù)據(jù)庫使用缺陷和 DBMS 系統(tǒng)缺陷中的風(fēng)險等級為高風(fēng)險及中風(fēng)險的檢測項(xiàng)進(jìn)行掃描。CVE 漏洞掃描：針對 CVE 公布的漏洞進(jìn)行掃描。CNNVD 漏洞掃描：針對 CNNVD 公布的漏洞進(jìn)行掃描。配置缺陷掃描：針對數(shù)據(jù)庫中的配置缺陷、未更改的缺省口令進(jìn)行掃描。系統(tǒng)缺陷掃描：針對數(shù)據(jù)庫自身的缺陷進(jìn)行掃描，這些缺陷可能是版本自身問題或未安裝相關(guān)補(bǔ)丁導(dǎo)致的。腹有詩書氣自華精品文檔 你我共享敏感數(shù)據(jù)掃描：掃描數(shù)據(jù)庫中存在的易于導(dǎo)致敏感數(shù)據(jù)暴露的數(shù)據(jù)庫對象，以供安全管理員進(jìn)行安全加強(qiáng)。危險程序掃描：該策略對數(shù)據(jù)庫中可編程對象和可調(diào)用對象進(jìn)行掃描，確定其中包含的危險代碼及后門對象。（6）符合等保實(shí)用的檢查工具針對我國等級保護(hù)1、2、3、4級對數(shù)據(jù)庫的安全檢測要求，建立數(shù)據(jù)庫等級保護(hù)檢測工具集，實(shí)現(xiàn)等級保護(hù)檢測掃描，生成等級保護(hù)檢測報告。解決等保測評中心在數(shù)據(jù)庫檢測方面人工檢測標(biāo)準(zhǔn)不一，時有漏檢和錯檢發(fā)生。同時在等保測評中心數(shù)據(jù)庫檢測的時候，由于數(shù)據(jù)庫測評人員水平參差不齊，數(shù)據(jù)庫的安全隱患幾乎不能進(jìn)行全面檢測，有的甚至對數(shù)據(jù)庫進(jìn)行誤操作影響正常的應(yīng)用。7）按行業(yè)安全標(biāo)準(zhǔn)自定義安全策略用戶可以根據(jù)自己的行業(yè)特征和關(guān)心的安全點(diǎn)，有針對性地建立檢測項(xiàng)集合。根據(jù)行業(yè)的安全標(biāo)準(zhǔn)，定義密碼的長度、復(fù)雜性檢測標(biāo)準(zhǔn)，登錄失敗次數(shù)的檢測標(biāo)準(zhǔn)，敏感數(shù)據(jù)的關(guān)鍵詞。這些安全策略在新建的安全任務(wù)中可以被選擇和使用。（8）持續(xù)的數(shù)據(jù)庫安全狀況監(jiān)控突破傳統(tǒng)的漏掃產(chǎn)品僅作為數(shù)據(jù)庫漏洞檢查工具的限制，實(shí)現(xiàn)對數(shù)據(jù)庫運(yùn)維安全狀況的監(jiān)控，包括相關(guān)安全配置、連接狀況、用戶變更狀況、權(quán)限變更狀況、代碼變更狀況等全方面的安全狀況評估；建立安全基線，實(shí)現(xiàn)安全變化狀況報告與分析。通過周期性的監(jiān)控數(shù)據(jù)庫的運(yùn)行狀態(tài)和重要操作，展現(xiàn)數(shù)據(jù)庫的實(shí)時的安全視圖，定期掃描，反映當(dāng)前安全狀況相對基線的變化；看以查看詳細(xì)的變化狀況。（9）數(shù)據(jù)庫無害模擬滲透攻擊在數(shù)據(jù)庫的漏洞類型中，屬 SQL注入、緩沖區(qū)溢出和拒絕服務(wù)攻擊這幾種類型對數(shù)據(jù)庫系統(tǒng)造成的危害最大， 為了讓用戶更清醒的認(rèn)識到數(shù)據(jù)庫的安全隱患。 DBScan可以模擬黑客對數(shù)據(jù)庫進(jìn)行滲透攻擊，如口令攻擊、SQL注入和緩沖區(qū)溢出等，并確保不會對目標(biāo)數(shù)據(jù)庫造成危害。10）智能修復(fù)建議對于需手工修復(fù)的漏洞能夠給出智能化漏洞修復(fù)建議，同時注明漏洞的風(fēng)險等級、對數(shù)據(jù)庫系統(tǒng)的危害和漏洞來源，便于數(shù)據(jù)庫風(fēng)險評估之后的安全隱患消除。腹有詩書氣自華精品文檔 你我共享三. 產(chǎn)品架構(gòu)本系統(tǒng)由掃描控制模塊、管理模塊、掃描模塊、報表生成模塊、存儲管理模塊和自身安全模塊共 6個模塊組成。掃描控制模塊服務(wù)掃描 插件管理 消息管理 并行管理 分布式管理管理模塊掃描模塊報表生成模塊策參任用升基弱補(bǔ)滲分漏修審略數(shù)務(wù)戶級線點(diǎn)丁透析洞復(fù)計管配計管管掃掃檢攻報報建報理置劃理理描描測擊表表議告掃描控制模塊存儲管理模塊策略庫 漏洞知識庫 滲透腳本 掃描日志 系統(tǒng)日志 漏洞日志 審計日志自身安全模塊身份鑒別 權(quán)限控制 完整性檢查 審計管理系統(tǒng)總體架構(gòu)圖各模塊的詳細(xì)設(shè)計說明如下：3.1 掃描控制模塊掃描控制模塊主要職責(zé)是完成掃描的準(zhǔn)備、各掃描節(jié)點(diǎn)的交互和協(xié)調(diào)的工作。該模塊主要包括服務(wù)掃描功能、插件管理功能、消息管理功能、并行管理功能和分布式管理功能。服務(wù)掃描功能主要完成數(shù)據(jù)庫服務(wù)的自動發(fā)現(xiàn)功能，提供自動化數(shù)據(jù)庫服務(wù)搜索功能，快速發(fā)現(xiàn)網(wǎng)絡(luò)和分支網(wǎng)絡(luò)及廣域網(wǎng) WAN邊界中的所有數(shù)據(jù)庫，完成掃描的準(zhǔn)備工作。腹有詩書氣自華精品文檔 你我共享插件管理功能主要實(shí)現(xiàn)NASL的注冊功能，方便腳本的調(diào)用，完成掃描插件的對接和管理功能，可通過該功能迅速實(shí)現(xiàn)新漏洞掃描的支持與升級。消息管理功能主要實(shí)現(xiàn)，開啟掃描、暫停掃描和中止掃描前的用戶通知功能，通知模式可以是消息也可以是郵件。并行管理功能實(shí)現(xiàn)系統(tǒng)的多線程、多進(jìn)程和服務(wù)器間的并行掃描的調(diào)度和同步。將同一任務(wù)內(nèi)的不同檢測子項(xiàng)劃分為不同的可并行子任務(wù)集合，不同的集合間可以進(jìn)行并行檢測。分布式管理功能完成系統(tǒng)分布式部署模式下的各掃描節(jié)點(diǎn)管理和調(diào)度。統(tǒng)一分配、調(diào)度，定制分工策略。支撐不同節(jié)點(diǎn)中檢測結(jié)果數(shù)據(jù)的同步和匯總，最終將所有信息匯集到集中管控節(jié)點(diǎn)，完成統(tǒng)一的結(jié)果統(tǒng)計、分析處理。3.2 管理模塊掃描控制模塊主要職責(zé)是完成各種參數(shù)配置和任務(wù)、用戶、升級的管理工作。該模塊主要包括策略管理功能、參數(shù)配置功能、任務(wù)計劃功能、用戶管理功能和升級管理功能。策略管理功能主要完成掃描方式的配置，掃描引擎將根據(jù)該配置采取相應(yīng)的掃描方式。參數(shù)配置功能主要實(shí)現(xiàn)掃描參數(shù)配置，可根據(jù)系統(tǒng)的易受攻擊情況而有針對性的進(jìn)行參數(shù)配置。具體可以指定掃描范圍、掃描漏洞的類型、并發(fā)數(shù)、線程數(shù)等，系統(tǒng)將根據(jù)參數(shù)配置，分別啟動不同掃描引擎和掃描功能。任務(wù)計劃功能完成任務(wù)計劃的添加、編輯和刪除，系統(tǒng)將根據(jù)用戶的設(shè)定，定時地進(jìn)行掃描程序的自啟動。用戶管理功能腹有詩書氣自華精品文檔 你我共享完成操作員和審計員的添加和刪除等維護(hù)功能。升級管理功能提供三種升級模式包括手動升級方式、在線自動升級方式和定時升級方式，完成升級后的漏洞知識庫和滲透檢測腳本的完整性和保密性檢查，并檢查插件的兼容性。3.3 掃描模塊掃描控制模塊主要職責(zé)是根據(jù)策略和參數(shù)的配置，通過漏洞知識庫和滲透腳本來完成指定數(shù)據(jù)庫服務(wù)的漏洞檢查工作，并負(fù)責(zé)記錄掃描日志、系統(tǒng)日志、漏洞日志和審計日志。該模塊主要包括基線掃描功能、弱點(diǎn)掃描功能、補(bǔ)丁檢測功能和滲透模擬攻擊功能。基線掃描功能主要完成數(shù)據(jù)庫的基本配置參數(shù)的檢查和比對，發(fā)現(xiàn)數(shù)據(jù)庫結(jié)構(gòu)的變化，從而識別出數(shù)據(jù)庫潛藏木馬。弱點(diǎn)掃描功能通過知識庫和插件技術(shù)，完成各種類型的數(shù)據(jù)庫弱點(diǎn)檢查功能，并負(fù)責(zé)記錄掃描日志、系統(tǒng)日志、漏洞日志和審計日志。這些數(shù)據(jù)庫弱點(diǎn)包括：默認(rèn)用戶、默認(rèn)口令、空白口令、弱口令、無用對象、弱安全策略、SQL注入、緩沖區(qū)溢出、寬泛的權(quán)限。補(bǔ)丁檢測功能根據(jù)補(bǔ)丁信息庫及被掃描數(shù)據(jù)庫的當(dāng)前配置，完成補(bǔ)丁安裝檢測。滲透模擬攻擊功能通過滲透腳本的調(diào)用，模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，在沒有授權(quán)的情況下，對目標(biāo)數(shù)據(jù)庫的安全性進(jìn)行探測分析和實(shí)施無害攻擊，并記錄掃描日志、系統(tǒng)日志、漏洞日志和審計日志。腹有詩書氣自華精品文檔 你我共享3.4 報表生成模塊報表生成模塊主要職責(zé)是根據(jù)漏洞掃描結(jié)果、審計日志和漏洞知識庫，生成各種漏洞分析報表、智能修復(fù)建議以及審計報告，供系統(tǒng)操作員和審計員使用。該模塊主要包括報表分析功能、漏洞報表功能、修復(fù)建議功能和審計報告功能。報表分析功能提供強(qiáng)大的、靈活的報表分析功能，能夠按照漏洞來源、漏洞類型、風(fēng)險級別等各因素進(jìn)行對比、趨勢等分析。其中風(fēng)險級別的定義規(guī)則如下：漏洞風(fēng)險程度的分類規(guī)則風(fēng)險級別描述攻擊者可以遠(yuǎn)程執(zhí)行任意命令或者代碼，可以遠(yuǎn)程獲取應(yīng)用數(shù)高據(jù)庫系統(tǒng)的管理權(quán)限，也可以遠(yuǎn)程拒絕服務(wù)攻擊。攻擊者可以遠(yuǎn)程創(chuàng)建、修改、刪除文件，可以獲取系統(tǒng)敏感信息，例如用戶名、口令信息，也可以讀取任意文件、目錄。攻擊者可以讀取特定文件、目錄內(nèi)容，潛在可能導(dǎo)致中等風(fēng)險中漏洞的問題，攻擊者可以獲取如操作系統(tǒng)類型、物理路徑、服務(wù)版本信息等。低沒有己知安全問題、但可能是不必要的服務(wù)。漏洞報表功能掃描報表分析模塊分為“統(tǒng)計報告”和“詳細(xì)報告”兩個部分?！敖y(tǒng)計報告”為用戶提供總體脆弱性情況說明，“詳細(xì)報告”可顯示具體的漏洞來源、漏洞描述、漏洞危害等信息。修復(fù)建議功能通過與知識庫的匹配，并根據(jù)漏洞的種類，能夠自動化完成部分漏洞修復(fù)；同時具備安全評估專家模塊，對于需手工修復(fù)的漏洞可以對安全風(fēng)險有效地進(jìn)行評級，能夠給出智能化漏洞修復(fù)建議。審計報告功能通過審計日志生成審計報告，可以對漏洞修復(fù)操作進(jìn)行事后的追查和監(jiān)督。腹有詩書氣自華精品文檔 你我共享3.5 存儲管理模塊存儲管理模塊主要職責(zé)是系統(tǒng)資源庫、文件和生產(chǎn)庫的維護(hù)與管理，這些庫和文件包括：策略庫、漏洞知識庫、滲透腳本、掃描日志、系統(tǒng)日志、漏洞日志和審計日志。策略庫包含掃描策略、掃描參數(shù)。具體包括掃描范圍、掃描方式、掃描漏洞的類型、掃描進(jìn)程并行數(shù)、線程數(shù)并發(fā)數(shù)等。漏洞知識庫包含漏洞名稱、漏洞來源、漏洞危害描述、危害級別、檢測方法、修復(fù)建議等。滲透腳本腳本結(jié)構(gòu)為，腳本名稱、腳本功能詳細(xì)描述、腳本危害程度、漏洞攻擊代碼程序等部分。掃描日志檢測日志由一系列的日志文件構(gòu)成，單個文件寫滿將遞歸生成下一個文件，文件中記錄所有已完成的檢查任務(wù)標(biāo)號以及未完成任務(wù)的進(jìn)度信息。系統(tǒng)日志記錄掃描引擎的停止、錯誤信息、提示信息、警告信息等。漏洞日志記錄漏洞掃描結(jié)果信息。審計日志記錄漏洞修復(fù)信息，包括漏洞的名稱、掃描時間、掃描操作員、修復(fù)操作員、漏洞級別等。3.6 自身安全模塊自身安全模塊主要職責(zé)是保證自身的安全，以防止產(chǎn)生新的安全漏洞。包括管理員身份雙因子鑒別、權(quán)限控制、完整性檢查以及審計功能。腹有詩書氣自華精品文檔 你我共享雙因子身份鑒別使用本系統(tǒng)的管理員、操作員和審計員均需要通過雙因子的登錄認(rèn)證。本系統(tǒng)采用的雙因子認(rèn)證解決方案是通過硬件令牌生成一次性密碼，再結(jié)合用戶的PIN碼來確保安全性。用戶只需要按一下令牌上的按鈕，就可以生成一次性密碼（通過獨(dú)特的密鑰和本文中介紹的先進(jìn)加密算法）。用戶先輸入密碼，接著輸入唯一的PIN碼，便可以進(jìn)行訪問。使用一次后，密碼便對該系統(tǒng)無效。如果有人嘗試再次使用密碼，認(rèn)證服務(wù)器會拒絕訪問。權(quán)限控制對于操作員和審計員的操作需要通過系統(tǒng)的權(quán)限校驗(yàn)，受系統(tǒng)本身的權(quán)限控制約束。完整性檢查漏洞知識庫與掃描日志存儲在系統(tǒng)后臺數(shù)據(jù)庫中，為保障漏洞這兩部分的核心數(shù)據(jù)的保密性和完整性，本系統(tǒng)通過數(shù)據(jù)庫的擴(kuò)展接口實(shí)現(xiàn)一種獨(dú)特數(shù)據(jù)庫透明加密技術(shù)，完成系統(tǒng)核心數(shù)據(jù)在存儲層、傳輸層和應(yīng)用層三個層面的立體式防護(hù)。審計功能管理員的登錄、掃描操作、掃描結(jié)果均會進(jìn)行審計，該日志可用于系統(tǒng)的歷史操作審查。四. 新手上路4.1 用戶角色本系統(tǒng)涉及三個角色：管理員、操作員、審計員。三個角色分別具有不同的模塊權(quán)限，詳細(xì)見下表：角色 模塊名稱管理員 任務(wù)管理、策略管理操作員 掃描管理、策略瀏覽、報告管理、安全監(jiān)控審計員 日志管理說明：腹有詩書氣自華精品文檔 你我共享管理員、操作員、審計員共同具有設(shè)置、幫助這兩個模塊的權(quán)限。其中設(shè)置模塊的功能是供三個角色登錄后設(shè)置新密碼；幫助模塊為用戶提供了幫助手冊和關(guān)于DBScan的信息。管理員、操作員登錄后默認(rèn)進(jìn)入漏洞掃描系統(tǒng)首頁。4.2 使用流程管理員安華操作金員和數(shù)據(jù)庫漏洞掃描系統(tǒng)使用流程見下圖：預(yù)定義策略策略管理審計員自定義策略手動 新建分組新建任務(wù) 自動發(fā)現(xiàn)手動錄入掃描管理 安全監(jiān)控授弱非滲會用權(quán)參權(quán)口授透話戶限數(shù)掃令權(quán)攻監(jiān)監(jiān)監(jiān)監(jiān)描掃掃擊控控控控描描查看詳情報告管理生成報告圖日志管理

過濾存檔腹