FortiDB 系列产品提供集中管理、企业级、数据库自动坚固等功能,它具有快速实施、支持行业和政府的各种法规的特点,可以评估企业数据库的安全弱点,提高企业数据库的安全性。DBA可以快速掌握这些工具,安装容易,界面直观,满足各种法规(PCI-DSS, SOX, GLBA, HIPAA)的要求,可以直接生成报告。为FortiDB专门设计的硬件设备可以方便快速的部署在网络中,自动数据库发现功能可以跨过子网和广域网边界快速发现网络上的所有数据库,通过脚本的定时执行来发现数据库的漏洞和与法规相违背的部分。设备预先内置了几百条策略,这些策略涵盖了企业和政府的规范、数据库安全的最优方法、已知的数据库漏洞、与数据库安全相关的操作系统问题和数据库访问权限等。一套全面的基于标准的图形报告功能内置于系统中,可以迅速产生报告。
张百川(网路游侠)的博客
张百川(网路游侠,www.youxia.org)专注:网络安全、系统安全、应用安全、数据库安全、运维安全。
2010年2月1日
Forti Database Security 飞塔数据库安全
Tags: 飞塔数据库安全 FortiDB Forti 飞塔数据库审计 Forti数据库审计 数据库审计 数据库安全 数据库防火墙 数据库墙 Oracle审计 MySQL审计 Oracle数据库审计 MySQL数据库审计 数据库扫描 数据库评估 飞塔数据库产品 Forti数据库扫描
发布:网路游侠 | 分类:信息安全 | 评论:0 | 引用:0 | 浏览:
2009年11月12日
谐润科技数据库扫描系统(DBScan)
DBScan是一个深度Web应用安全评估工具,能对各种复杂的Web应用进行弱点检测和评估;主要由深度扫描、配置审计和渗透测试三部分组成。
深度扫描
DBScan的扫描功能能够自动遍历整个Web架构,自动分析应用系统的代码,当发现了存在弱点的代码之后,会根据不同数据库的特点尝试进行数据获取,用事实证明漏洞的存在。扫描结果准确,误报和漏报率极低;具有准确性、普适性、灵活性、支持SSL扫描、高效可靠和扩展性的优点。
配置审计
DBScan的配置审计功能能够透过检测出的弱点对数据库进行配置审计,可以获取的配置信息包括:获取数据库用户账号;获取数据库用户密码HASH,对于特定的数据库类型还可以进行密码强度测试;获取数据库权限结构;获取数据版本详细信息;获取数据库存储过程;获取数据库安全相关的配置选项。
深度扫描
DBScan的扫描功能能够自动遍历整个Web架构,自动分析应用系统的代码,当发现了存在弱点的代码之后,会根据不同数据库的特点尝试进行数据获取,用事实证明漏洞的存在。扫描结果准确,误报和漏报率极低;具有准确性、普适性、灵活性、支持SSL扫描、高效可靠和扩展性的优点。
配置审计
DBScan的配置审计功能能够透过检测出的弱点对数据库进行配置审计,可以获取的配置信息包括:获取数据库用户账号;获取数据库用户密码HASH,对于特定的数据库类型还可以进行密码强度测试;获取数据库权限结构;获取数据版本详细信息;获取数据库存储过程;获取数据库安全相关的配置选项。
Tags: DBScan 数据库扫描 数据库扫描系统 数据库漏洞扫描 谐润科技
发布:网路游侠 | 分类:信息安全 | 评论:0 | 引用:0 | 浏览:
2009年9月2日
网路游侠:使用数据库扫描系统评估数据库的安全性
本文使用的是从某数据库安全厂家获取的数据库扫描系统,版本不是最新的,不过应该可以代表产品的设计思路和其在相关领域的技术实力。
数据库扫描的初期,一般都是确认评估范围,本产品也不例外。添加任务有两种方法:一是直接输入数据库的详细信息,二是对网络进行扫描,确认网内数据库的总量。
相对于网上Nessus、NMAP等评估工具,本款数据库扫描产品更像是一款安全测试工具,因为在对数据库进行安全评估的时候,不但要输入通用的IP、端口,更要输入数据库系统的账号,甚至操作系统的账号(这样就可以审核用系统账号登录数据库系统情况下的安全性)。
扫描速度理所当然的相当快,因为就技术而言,数据库的漏洞并不像主机那么多,检测项目也没有那么多,因此速度较快。下面是评估报告,当然这仅仅是主要描述部分,并不是细节描写。
下图是数据库扫描系统的一些检测项,应该说基本覆盖了数据库安全检查项的绝大多数。
下面是一个细节的描述,描述名称为“审计级别设置”:
当然,相对于某些数据库扫描系统不支持MySQL(为什么不支持MySQL?因为多数人用的是免费版?),本软件支持Microsoft SQL Server、Oracle、MySQL、Sybase数据库,我手头的这版本没有DB/2和Infomix的支持,不知道新版本是否支持?
总的来说,产品是不错的,特别是在市场上数据库漏洞扫描产品很少,等级保护和分级保护又明确了数据库安全的情况下,本产品应该很有市场。
作者:网路游侠 http://www.youxia.org
转载请注明来源!谢谢合作。
数据库扫描的初期,一般都是确认评估范围,本产品也不例外。添加任务有两种方法:一是直接输入数据库的详细信息,二是对网络进行扫描,确认网内数据库的总量。
相对于网上Nessus、NMAP等评估工具,本款数据库扫描产品更像是一款安全测试工具,因为在对数据库进行安全评估的时候,不但要输入通用的IP、端口,更要输入数据库系统的账号,甚至操作系统的账号(这样就可以审核用系统账号登录数据库系统情况下的安全性)。
扫描速度理所当然的相当快,因为就技术而言,数据库的漏洞并不像主机那么多,检测项目也没有那么多,因此速度较快。下面是评估报告,当然这仅仅是主要描述部分,并不是细节描写。
下图是数据库扫描系统的一些检测项,应该说基本覆盖了数据库安全检查项的绝大多数。
下面是一个细节的描述,描述名称为“审计级别设置”:
漏洞描述:
检查审计级别是否符合安全策略。你可以设置Microsoft SQL Server提供登录成功或失败的审计跟踪记录。审计日志提供哪个登录ID尝试登录,成功还是失败,连接是标准的还是信任的,时间和日期等信息。正确设置审计级别可以用来严格检测过期登录,登录攻击,违反登录时间。
漏洞来源:
审计是数据库管理系统安全性重要的一部分,通过审计,凡是与数据库安全性相关的操作可被记录下来,只要检测审计记录,系统安全员就可以掌握数据库被使用状况。如何设置审计的级别:不审计、成功审计、失败审计、全部审计。
修复建议:
更改审计级别。 对于SQL Server 6.x(使用企业管理器): 1.右击服务 2.从弹出菜单中选择设置 3.选择安全选项页 对于SQL Server7.0和2000(使用企业管理器): 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别 对于SQL Server 2005(使用SQL Server Management Studio): 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别
当然,相对于某些数据库扫描系统不支持MySQL(为什么不支持MySQL?因为多数人用的是免费版?),本软件支持Microsoft SQL Server、Oracle、MySQL、Sybase数据库,我手头的这版本没有DB/2和Infomix的支持,不知道新版本是否支持?
总的来说,产品是不错的,特别是在市场上数据库漏洞扫描产品很少,等级保护和分级保护又明确了数据库安全的情况下,本产品应该很有市场。
作者:网路游侠 http://www.youxia.org
转载请注明来源!谢谢合作。
Tags: 数据库扫描 数据库扫描系统 数据库漏洞扫描 数据库安全 数据库审核 数据库审计 数据库加固
发布:网路游侠 | 分类:信息安全 | 评论:0 | 引用:0 | 浏览:
2009年5月30日
网路游侠:数据库安全方向简析 2009-05-30
=======================================
数据库安全安全方向简析
网路游侠 www.youxia.org 更新:2009年05月30日
=======================================
----------
数据库安全安全方向简析
网路游侠 www.youxia.org 更新:2009年05月30日
=======================================
----------
Tags: 数据库审计 数据库墙 数据库防火墙 数据库扫描 数据库评估 数据库安全
发布:网路游侠 | 分类:程序数据 | 评论:0 | 引用:0 | 浏览:
2009年2月11日
Scuba——Free, Cross-platform Database Assessment(by Imperva)
The Scuba by Imperva Database Vulnerability Scanner finds hundreds of flaws like unpatched software, unsafe processes, and weak passwords: the high risk security vulnerabilities that expose your databases to attack. Find out what vulnerabilities lurk inside your database – register to download Scuba by Imperva today!
Scuba by Imperva is a free, lightweight Java utility that scans Oracle, DB2, MS-SQL, and Sybase databases for known vulnerabilities and configuration flaws. Based on its data security assessment results, Scuba creates clear, informative reports with detailed test descriptions. Summary reports, available in Java and HTML format, illustrate overall risk levels. With Scuba by Imperva, you are quickly on your way to meeting industry-leading best practices for database configuration and management.
Scuba by Imperva is a free, lightweight Java utility that scans Oracle, DB2, MS-SQL, and Sybase databases for known vulnerabilities and configuration flaws. Based on its data security assessment results, Scuba creates clear, informative reports with detailed test descriptions. Summary reports, available in Java and HTML format, illustrate overall risk levels. With Scuba by Imperva, you are quickly on your way to meeting industry-leading best practices for database configuration and management.
Tags: Scuba Imperva 数据库扫描 数据库安全扫描 数据库评估 数据库安全评估 免费数据库评估 免费数据库安全评估 数据库风险评估软件 数据库风险评估
发布:网路游侠 | 分类:业界资讯 | 评论:0 | 引用:0 | 浏览:
2008年12月15日
保护数据库安全 飞塔推出数据库漏洞评估
统一威胁管理(UTM)解决方案的先锋和领先提供商Fortinet公司宣布推出第一款专门用于数据漏洞评估(VA)的安全系列产品。FortiDB-1000B设备是一款适合中型企业的产品,它可以通过监测密码漏洞、存储权限和配置设置来保护数据库的安全。由于数据库存放了大量敏感有价值的信息,其正迅速成为网络罪犯的下一个重大目标,因此越来越需要一款功能强大的工具可以检测并协助保护数据免遭破坏。这对一些行业企业尤其重要,如零售业就要求遵守支付卡行业数据安全标准(PCI-DSS)来保护客户的个人和信用卡资料。
Tags: FortiNet FortiDB FortiDB-1000B 数据库扫描 数据库漏洞评估 数据库扫描器 数据库评估 数据库安全评估 飞塔数据库安全评估 飞塔数据库漏洞扫描
发布:网路游侠 | 分类:业界资讯 | 评论:0 | 引用:0 | 浏览:
2008年9月3日
关于数据库审计监控系统 or 数据库防火墙的一点思考
目前市面上的数据库审计也不少了
但是一般多为旁路设备
要么就要在数据库主机的操作系统上安装Agent
当然,从数据库审计的方面考虑,现在都不是大的问题
但是:如何能直接禁止远程用户操作数据库呢?
比如直接禁止远程对admin表的update或select
想了下,可能最好的方式还是串接到网络上
1、开启正常的数据库审计功能
2、开启“数据库防火墙”功能
在这个数据库防火墙上,只允许设置黑名单
如在黑名单可进行如下设置:
a、禁止远程某个网段的select操作
b、禁止远程对admin表进行任何操作
c、禁止远程sa用户对数据库的操作
大体上这样子,几分钟时间写出来的,可能很不全……
就现在的技术来说:
对于绿盟、启明星辰这样的厂商来说
本身有网络审计、IPS,有数据库审计功能
似乎在产品中加上这样的功能或直接做个新产品不是太大的难度
现有的产品几乎全部是旁路监听,只有审计
如果做个“数据库防火墙”似乎市场前景不错……
Idea by : 网路游侠
Blog:http://www.youxia.org
QQ:175589438
但是一般多为旁路设备
要么就要在数据库主机的操作系统上安装Agent
当然,从数据库审计的方面考虑,现在都不是大的问题
但是:如何能直接禁止远程用户操作数据库呢?
比如直接禁止远程对admin表的update或select
想了下,可能最好的方式还是串接到网络上
1、开启正常的数据库审计功能
2、开启“数据库防火墙”功能
在这个数据库防火墙上,只允许设置黑名单
如在黑名单可进行如下设置:
a、禁止远程某个网段的select操作
b、禁止远程对admin表进行任何操作
c、禁止远程sa用户对数据库的操作
大体上这样子,几分钟时间写出来的,可能很不全……
就现在的技术来说:
对于绿盟、启明星辰这样的厂商来说
本身有网络审计、IPS,有数据库审计功能
似乎在产品中加上这样的功能或直接做个新产品不是太大的难度
现有的产品几乎全部是旁路监听,只有审计
如果做个“数据库防火墙”似乎市场前景不错……
Idea by : 网路游侠
Blog:http://www.youxia.org
QQ:175589438
Tags: 数据库审计 数据库监控 数据库审计监控 数据库审计系统 数据库防火墙 数据库防护 数据库安全 数据库扫描 数据安全评估
发布:网路游侠 | 分类:程序数据 | 评论:2 | 引用:0 | 浏览:
2008年8月30日
安信通数据库渗透检测系统
北京安信通网络技术有限公司与清华大学在合作成功开发出“数据库安全扫描系统”后,在此基础上,又开发了具有国际水平的涉密数据库安全检查系统,其主要功能是:利用数据库服务器存在的漏洞,能够在没有授权的情况下,以高级的权限(一般是管理员)进入到数据库系统或操作系统中,并可以获取对方数据库的重要资料,此系统专为各重要部门监督、检查其下级单位的数据库系统使用,为他们提供了一套行之有效的检查工具和风险评估工具。
产品概述
数据库安全扫描系统,通过数据库存在的各种漏洞对数据库进行渗透式测试,分为两种方式:检查默认口令、运行渗透检测程序。用户可以明确得知数据库的存在安全隐患,以便及时修复,防患于未然。
产品概述
数据库安全扫描系统,通过数据库存在的各种漏洞对数据库进行渗透式测试,分为两种方式:检查默认口令、运行渗透检测程序。用户可以明确得知数据库的存在安全隐患,以便及时修复,防患于未然。
Tags: 数据库渗透检测系统 数据库渗透检测 数据库渗透 数据库检测 数据库扫描 数据库安全检查 数据库评估 安信通 数据库检查系统 数据库安全评估系统 数据库扫描系统
发布:网路游侠 | 分类:程序数据 | 评论:0 | 引用:0 | 浏览:
2008年8月30日
亚龙(安恒)信息数据库弱点扫描器DAS-DBSCAN
DAS-DBSCAN是DBAPPSecurity公司在深入分析研究ORACLE数据库典型安全漏洞以及流行的攻击技术基础上,研制开发的一款数据库安全评估工具。是亚龙(安恒)信息科技自主知识产权的、专门用于扫描Oracle数据库弱点的软件产品,能够扫描几百种不安全的数据库配置及潜在弱点,并且具有强大的发现弱口令功能。同时也是目前全球唯一一款有效发现数据库潜在木马的扫描器产品。
选择亚龙(安恒)D
选择亚龙(安恒)D
Tags: DAS-DBSCAN 数据库扫描 数据库弱点扫描 数据库评估 数据库安全 亚龙信息 安恒信息
发布:网路游侠 | 分类:程序数据 | 评论:0 | 引用:0 | 浏览:
2008年8月30日
亚龙(安恒)信息数据库防御与审计系统DAS-DBAuditor
DAS-DBAuditor主要的功能模块包括“自动化风险评估、动态建模、实时监控与防御、全方位审计分析、配置管理及综合查询、SOX审计”几个部分。
自动化风险评估:DAS-DBAuditor依托其权威性的数据库风险规则库,自动完成对几百种不当的数据库不安全配置、潜在弱点、数据库用户弱口令、数
自动化风险评估:DAS-DBAuditor依托其权威性的数据库风险规则库,自动完成对几百种不当的数据库不安全配置、潜在弱点、数据库用户弱口令、数
Tags: 数据库安全 数据库扫描 数据库安全评估 数据库评估 DAS-DBAuditor DBAuditor 数据库审计 数据库防护 数据库监控 亚龙信息 安恒信息
发布:网路游侠 | 分类:程序数据 | 评论:0 | 引用:0 | 浏览:
Tags
- 数据库审计 (42)
- WEB应用防火墙 (32)
- WAF (32)
- 数据库安全 (27)
- 网路游侠 (25)
- 风险评估 (22)
- 信息安全 (21)
- 网络安全 (20)
- 等级保护 (19)
- 保密检查工具 (19)
- 介质管理 (18)
- 网页防篡改 (18)
- 移动存储介质管理系统 (17)
- 上网行为管理 (17)
- 移动存储介质管理 (16)
- WEB防火墙 (16)
- 张百川 (16)
- SEO (15)
- WEB安全 (15)
- 应用防火墙 (15)
- 内网安全 (14)
- 启明星辰 (14)
- 汉邦软科集团 (14)
- 网站安全 (14)
- 北京汉邦 (13)
- 上海汉邦 (13)
- 数据库审计系统 (13)
- 网站防篡改 (13)
- 安全猎头 (13)
- 数据库扫描 (12)
- 计算机保密检查工具 (12)
- 漏洞扫描 (11)
- 网络审计 (11)
- UTM (11)
- McAfee (11)
- 信息安全博客 (11)
- 网络安全博客 (11)
- SOC (10)
- 游侠博客 (10)
- 安全审计 (10)
- 文档加密 (10)
- 介质管理系统 (9)
- 保密检查 (9)
- MSSP (9)
- 服务器审计 (8)
- 磁碟机 (8)
- 计算机保密检查 (8)
- SSR (8)
- 上网行为管理系统 (8)
- 数据库评估 (8)
- 中航嘉信 (8)
- 云安全 (8)
- WEB安全网关 (8)
- U盘病毒 (7)
- IDS (7)
- 安全服务 (7)
- 绿盟科技 (7)
- 内网安全管理 (7)
- 移动介质管理 (7)
- 数据库监控 (7)
- 磁碟机病毒 (7)
- 服务器加固系统 (7)
- 服务器安全加固系统 (7)
- 网路游侠博客 (7)
- IPS (7)
- 终端安全 (7)
- 保密检查软件 (7)
- 数字证书 (7)
- XSS (7)
- 分级保护 (6)
- 信息安全风险评估 (6)
- 防火墙 (6)
- U盘管理系统 (6)
- U盘管理 (6)
- 搜索引擎优化 (6)
- VMWare (6)
- 智恒联盟 (6)
- 英语九百句 (6)
- 英语900句 (6)
- 山东中孚 (6)
站内搜索-Search
- 找不到需要的?搜下试试!
网站分类
文章归档
- 2010 September (6)
- 2010 August (29)
- 2010 July (36)
- 2010 June (40)
- 2010 May (30)
- 2010 April (33)
- 2010 March (40)
- 2010 February (19)
- 2010 January (42)
- 2009 December (31)
- 2009 November (21)
- 2009 October (14)
- 2009 September (17)
- 2009 August (25)
- 2009 July (56)
- 2009 June (78)
- 2009 May (21)
- 2009 April (30)
- 2009 March (26)
- 2009 February (31)
- 2009 January (17)
- 2008 December (23)
- 2008 November (33)
- 2008 October (53)
- 2008 September (27)
- 2008 August (42)
- 2008 July (32)
- 2008 June (44)
- 2008 May (71)
- 2008 April (168)
- 2008 March (227)
- 2008 February (119)
- 2008 January (24)