天津华胜天成数据库安全检查服务一、为什么需要数据库安全检查数据库系统被攻击破坏的原因是多方面的,在数据库使用方面,或者数据库本身的设计缺陷,存在诸多的安全风险或安全隐患,主要表现在以下几个方面:1.1、不正确地管理数据库数据库服务器的应用相当复杂,掌握起来比较困难,需要具备较高的专业知识。许多数据库管理员(DBA)都忙于管理复杂的系统,很可能没有检查出严重的安全隐患和不当的配置,甚至根本没有进行检测。正是由于传统的安全体系在很大程度上忽略了数据库安全这一主题,使数据库专业人员也通常没有把安全问题当作他们的首要任务。1.2、重视网络和主机安全,忽视数据库自身安全许多信息安全人员中存在着一个错误概念,认为:一旦修补了关键的网络服务和主机操作系统的漏洞,数据库就得到了安全保障。错误的观念导致了数据库安全事故的发生。一个简单的事实:所有现代关系型数据库系统都是“可从端口寻址的”,这意味着任何人只要有合适的查询工具,就能躲开操作系统的安全机制,与数据库直接相连,直接对数据库造成威胁。1.3、数据库内部权限管理不严格数据库中的数据访问权限定义不够严格,使得内部普通员工很容易通过网络获取数据库中的机密数据。同时,数据库系统本身的缺省用户和口令、数据库自身的安全漏洞或者管理员后门等均可能被普通用户利用,获取较高权限,窃取机密数据。1.4、应用系统对数据库的影响大部分的应用系统在设计的时候为了节省license的数量,数据库的实际用户只有若干个(或者1个),而用户之间的身份区别是通过数据库中内部建立用户名/口令表的方式来实现的。这种系统实际登录到数据库的“用户”是同一个数据库用户,所有用户相对数据库平台的权限是相同的,因此很容易相互冒用。如果一个用户可以冒用他人身份进入,那么在案发或者故障时很难查证。1.5、数据库自身安全漏洞数据库系统因为其功能强大、结构复杂、各种应用客户端众多,因此系统自身的漏洞也十分的繁多。其中很多漏洞不仅威胁到数据库自身的安全,还会威胁到其所在操作系统的安全性。SQLServer、Oracle等数据库都有很多广为人知的漏洞。恶意的用户很可能利用这些漏洞攻击数据库进而入侵操作系统,获取重要数据,对系统造成破坏。在一般安全领域中,类似网页被修改、电脑中病毒、木马、流氓软件、弹出窗口等所造成的经济损失微乎其微,而一旦数据库出现安全风险并被恶意利用所造成的后果几乎是灾难性的和不可挽回的。二、数据库安全检查内容2.1检查内容概述:2.2检查内容列表:管理相关角色类口令类权限类设置类文件权限类系统类用户相关设置类用户类软件相关SQL注入类缓冲区溢出类系统类信息查看备份类角色类权限类设置类文件权限类用户类三、数据库类型支持:数据库类型Oracle数据库版本:Oracle8i、9i、10g、11g、12cMSSQLServer数据库版本:MSSQLServer7.x、2000、2005、2008、2012Sybase数据库版本:Sybase12.5、15.0MySQL数据库版本:MySQL3.0、4.0、5.0IBMDB2数据库版本:IBMDB28、9四、检测方法4.1授权检测:使用具有DBA权限的数据库用户,执行选定的安全策略实现对目标数据库的检测。4.2非授权检测:用户在没有授权的情况下(即:不需要数据库的用户名和密码),依据数据库版本号并根据选定的安全策略对目标数据库进行的检测。五、报告产出5.1报告内容提供漏洞的产生来源、漏洞的风险级别,使用的检测方式、修复方法5.2报告类型简明报告、详细报告、评估报告、统计报告、对比报告、趋势分析报告