數(shù)據(jù)庫漏洞掃描服務簡介_第1頁
數(shù)據(jù)庫漏洞掃描服務簡介_第2頁
數(shù)據(jù)庫漏洞掃描服務簡介_第3頁
數(shù)據(jù)庫漏洞掃描服務簡介_第4頁
免費預覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、天津華勝天成數(shù)據(jù)庫安全檢查服務一、為什么需要數(shù)據(jù)庫安全檢查數(shù)據(jù)庫系統(tǒng)被攻擊破壞的原因是多方面的,在數(shù)據(jù)庫使用方面,或者數(shù)據(jù)庫本身的設(shè)計缺陷,存在諸多的安全風險或安全隱患,主要表現(xiàn)在以下幾個方面:1.1、 不正確地管理數(shù)據(jù)庫數(shù)據(jù)庫服務器的應用相當復雜,掌握起來比較困難,需要具備較高的專業(yè)知識。許多數(shù)據(jù)庫管理員(DBA都忙于管理復雜的系統(tǒng),很可能沒有檢查出嚴重的安全隱患和不當?shù)呐渲?,甚至根本沒有進行檢測。正是由于傳統(tǒng)的安全體系在很大程度上忽略了數(shù)據(jù)庫安全這一主題,使數(shù)據(jù)庫專業(yè)人員也通常沒有把安全問題當作他們的首要任務。1.2、 重視網(wǎng)絡和主機安全,忽視數(shù)據(jù)庫自身安全許多信息安全人員中存在著一個錯誤

2、概念,認為:一旦修補了關(guān)鍵的網(wǎng)絡服務和主機操作系統(tǒng)的漏洞,數(shù)據(jù)庫就得到了安全保障。錯誤的觀念導致了數(shù)據(jù)庫安全事故的發(fā)生。一個簡單的事實:所有現(xiàn)代關(guān)系型數(shù)據(jù)庫系統(tǒng)都是“可從端口尋址的",這意味著任何人只要有合適的查詢工具,就能躲開操作系統(tǒng)的安全機制,與數(shù)據(jù)庫直接相連,直接對數(shù)據(jù)庫造成威脅。1.3、 數(shù)據(jù)庫內(nèi)部權(quán)限管理不嚴格數(shù)據(jù)庫中的數(shù)據(jù)訪問權(quán)限定義不夠嚴格,使得內(nèi)部普通員工很容易通過網(wǎng)絡獲取數(shù)據(jù)庫中的機密數(shù)據(jù)。同時,數(shù)據(jù)庫系統(tǒng)本身的缺省用戶和口令、數(shù)據(jù)庫自身的安全漏洞或者管理員后門等均可能被普通用戶利用,獲取較高權(quán)限,竊取機密數(shù)據(jù)。1.4、 應用系統(tǒng)對數(shù)據(jù)庫的影響大部分的應用系統(tǒng)在設(shè)計

3、的時候為了節(jié)省license的數(shù)量,數(shù)據(jù)庫的實際用戶只有若干個(或者1個),而用戶之間的身份區(qū)別是通過數(shù)據(jù)庫中內(nèi)部建立用戶名/口令表的方式來實現(xiàn)的。這種系統(tǒng)實際登錄到數(shù)據(jù)庫的“用戶”是同一個數(shù)據(jù)庫用戶,所有用戶相對數(shù)據(jù)庫平臺的權(quán)限是相同的,因此很容易相互冒用。如果一個用戶可以冒用他人身份進入,那么在案發(fā)或者故障時很難查證。1.5、 數(shù)據(jù)庫自身安全漏洞數(shù)據(jù)庫系統(tǒng)因為其功能強大、結(jié)構(gòu)復雜、各種應用客戶端眾多,因此系統(tǒng)自身的漏洞也十分的繁多。其中很多漏洞不僅威脅到數(shù)據(jù)庫自身的安全,還會威脅到其所在操作系統(tǒng)的安全性。SQLServer>Oracle等數(shù)據(jù)庫都有很多廣為人知的漏洞。惡意的用戶很可能

4、利用這些漏洞攻擊數(shù)據(jù)庫進而入侵操作系統(tǒng),獲取重要數(shù)據(jù),對系統(tǒng)造成破壞。在一般安全領(lǐng)域中,類似網(wǎng)頁被修改、電腦中病毒、木馬、流氓軟件、彈出窗口等所造成的經(jīng)濟損失微乎其微,而一旦數(shù)據(jù)庫出現(xiàn)安全風險并被惡意利用所造成的后果幾乎是災難性的和不可挽回的。、數(shù)據(jù)庫安全檢查內(nèi)容2.1 檢查內(nèi)容概述:2.2 檢查內(nèi)容列表:管理相關(guān)角色類口令類權(quán)限類設(shè)置類文件權(quán)限類系統(tǒng)類用戶相關(guān)設(shè)置類用戶類軟件相關(guān)SQL注入類緩沖區(qū)溢出類系統(tǒng)類信息查看備份類角色類權(quán)限類設(shè)置類文件權(quán)限類用戶類三、數(shù)據(jù)庫類型支持:數(shù)據(jù)庫類型Oracle數(shù)據(jù)庫版本:Oracle8i、9i、10g、11g、12cMSSQServer數(shù)據(jù)庫版本:MSSQServer7.x、2000、2005、2008、2012Sybas瞰據(jù)庫版本:Sybase12.5、15.0MySQL據(jù)庫版本:MySQL3.04.0、5.0IBMDB縱據(jù)庫版本:EMDB28、9四、檢測方法4.1 授權(quán)檢測:使用具有DBAZ限的數(shù)據(jù)庫用戶,執(zhí)行選定的安全策略實現(xiàn)對目標數(shù)據(jù)庫的檢測。4.2 非授權(quán)檢測:用戶在沒有授權(quán)的情況下(即:不需要數(shù)據(jù)庫的用戶名和密碼),依據(jù)數(shù)據(jù)庫版本號并根據(jù)選定的安全策略對目標數(shù)據(jù)庫進行的檢測。五、報告產(chǎn)出5.

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論