标签： 数据库审计

　　这篇文章给出了一个国外厂商调查分析出来的十大数据库安全漏洞：
　　1.默认、空白及弱用户名/密码
　　2.SQL注入
　　3.广泛的用户和组权限
　　4.启用不必要的数据库功能
　　5.失效的配置管理
　　6.缓冲区溢出
　　7.特权升级
　　8.拒绝服务攻击
　　9.数据库未打补丁
　　10.敏感数据未加密
　　
　　此前，另一个公司也给出过数据库安全十大威胁，两者基本一致。
　　威胁 1 - 滥用过高权限
　　威胁 2 - 滥用合法权
　　威胁 3 - 权限提升
　　威胁 4 - 平台漏洞
...

　　引言

　　随着信息技术的不断发展，数字信息逐渐成为一种重要资产，尤其是在过去的20多年里，作为信息的主要载体——数据库，其相关应用在数量和重要性方面都取得了巨大的增长。包括政府机构、企事业单位、制造业、商业等在内的几乎每一种组织都使用它来存储、操纵和检索数据。随着人们对数据的依赖性越来越高，各种数据信息，尤其是一些财务数据、客户数据等成为了关系企业生存的重要资产。网络化时代的到来、互联网技术的普及更加深了数据保护的矛盾，网络技术使得数字信息的泄漏和篡改变得更加容易，而防范则更加困难。

　　更为严重的是，所有信息泄漏事件中，源自内部人员所为的占了绝大部分。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示：超过85%的安全威胁来自公司内部，在损失金额上，由于内部人员泄密导致了6056.5万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起。
...

　　今天发现，在Google搜索“数据库审计”，www.youxia.org 重新回到了第一的位置：

　　当然，搜“数据库安全审计”、“数据库审计系统”、“数据库审计产品”等关键词，游侠安全网也全部在Google首页靠前位置。
　　时钟指向 00:21 ，睡了……

　　随着信息泄漏和信息篡改事件的愈发频繁，用户急需针对存储核心数据的数据库系统进行全面的网络行为审计，阻止非法入侵和违规操作，保障核心数据资产的安全。
　　
　　随着信息技术的不断发展，数字信息逐渐成为一种重要资产，尤其是在过去的20多年里，作为信息的主要载体——数据库，其相关应用在数量和重要性方面都取得了巨大的增长。包括政府机构、企事业单位、制造业、商业等在内的几乎每一种组织都使用它来存储、操纵和检索数据。随着人们对数据的依赖性越来越高，各种数据信息，尤其是一些财务数据、客户数据等成为了关系企业生存的重要资产。网络化时代的到来、互联网技术的普及更加深了数据保护的矛盾，网络技术使得数字信息的泄漏和篡改变得更加容易，而防范则更加困难。
...

　　安全困扰

　　历经20多年的发展，我国医疗信息化建设已初具规模，并取得了长足的进步。然而，信息安全保密依然是医疗信息化建设的短板，严重影响或制约了信息化进程。

　　当前对医疗行业提供的网络安全技术解决方案中，仍以防火墙、防病毒为主流选择，但是这些传统的安全技术手段只能阻挡部分从外部到内部的攻击，并且对来自内部的信息窃取完全无能为力，这就导致了“泄密门”事件一次次发生，引发重要数据的丢失、破坏，不仅严重影响到医院网络的正常运行，还直接威胁到患者的隐私和生命安全。

　　审计系统显威力

　　如何从安全角度杜绝此类事件的发生呢？网御神州高级产品经理叶蓬向记者介绍，如果把医院的内部网络比喻成一间屋子，那么防火墙、防病毒软件等就是防止外部入侵的门和窗，存有各类信息的数据库就像屋子中一个带锁的书柜，但由于业务的需要，在这个屋子里的人（医务人员）很多都要到书柜里存存取取一些资料，因此他们都有书柜的钥匙，所以即便多加两把锁或把书柜换成保险柜都是起不了作用的。那么怎么才能加强书柜的安全性呢？
...

　　挑战：数据库保护
　　
　　近几年，许多公司为保护自己的IT基础设施所做的大部分努力主要集中在外部，即如何保护公司免遭外部入侵、黑客以及恶意攻击。目前，公司网络已经在安全上获得了一定的改善，获得了更深层次的保护。但是，数据层仍是公司IT基础设施的软肋。
　　
　　数据库中包含很多敏感且宝贵的数据：例如有关客户、事务、财务业绩以及人力资源的信息。尽管如此，数据库仍是公司受保护最少的领域之一。虽然外部和网络安全措施对某些攻击类型起到了防御作用，但是仍有一些攻击类型能够利用数据库特有的漏洞进行攻击。
...

　　FortiDB 系列产品提供集中管理、企业级、数据库自动坚固等功能，它具有快速实施、支持行业和政府的各种法规的特点，可以评估企业数据库的安全弱点，提高企业数据库的安全性。DBA可以快速掌握这些工具，安装容易，界面直观，满足各种法规（PCI-DSS, SOX, GLBA, HIPAA）的要求，可以直接生成报告。为FortiDB专门设计的硬件设备可以方便快速的部署在网络中，自动数据库发现功能可以跨过子网和广域网边界快速发现网络上的所有数据库，通过脚本的定时执行来发现数据库的漏洞和与法规相违背的部分。设备预先内置了几百条策略，这些策略涵盖了企业和政府的规范、数据库安全的最优方法、已知的数据库漏洞、与数据库安全相关的操作系统问题和数据库访问权限等。一套全面的基于标准的图形报告功能内置于系统中，可以迅速产生报告。
...

　　目前数据库市场价值已经超过200亿美元，并且存储的敏感信息的数量也在迅速增长，这也难怪数据库成为当今安全攻击的最大目标。毕竟，数据库包含着客户信用卡信息、金融数据和知识产权等“诱饵”。有些强大而复杂的攻击者能够通过非法途径打开数据库以进行恶意操作，你甚至可以将数据库看作是公司的命脉。

　　在很多企业中，对数据库访问的特权都有管理不当的问题。开发者、移动员工和外部顾问经常能够在没有太多限制的情况下访问敏感信息。另外，人员流动和外包也可以让数据库活动很难锁定。

　　虽然数据库要求符合大多数合规要求，包括信用卡行业数据安全标准（PCI DSS）、Sarbanes-Oxley法案和HIPAA法案以及FISMA等，但是数据库往往很难满足所有合规要求，并且合规并不总是企业的最优先事项。
...

　　对于你们中的尚未有幸被审计遵守Sarbanes-Oxley Act(萨班斯法案，SOX)的人来说，这个经历就像去看牙医一样的令人愉快。但是它不需要那么痛苦。就像看牙医时，一个积极主动的维护和准备可以使这个经历减少许多压力。如果忽视你的牙齿，你将最终付出代价(除非你喜欢钻在骨头里的声音)。

　　这篇文章突出了你现在可以采用的五个步骤来使准备SOX审计的经历变得不那么令人生畏。

　　本文使用的是从某数据库安全厂家获取的数据库扫描系统，版本不是最新的，不过应该可以代表产品的设计思路和其在相关领域的技术实力。
　　数据库扫描的初期，一般都是确认评估范围，本产品也不例外。添加任务有两种方法：一是直接输入数据库的详细信息，二是对网络进行扫描，确认网内数据库的总量。

　　相对于网上Nessus、NMAP等评估工具，本款数据库扫描产品更像是一款安全测试工具，因为在对数据库进行安全评估的时候，不但要输入通用的IP、端口，更要输入数据库系统的账号，甚至操作系统的账号（这样就可以审核用系统账号登录数据库系统情况下的安全性）。
　　扫描速度理所当然的相当快，因为就技术而言，数据库的漏洞并不像主机那么多，检测项目也没有那么多，因此速度较快。下面是评估报告，当然这仅仅是主要描述部分，并不是细节描写。

　　下图是数据库扫描系统的一些检测项，应该说基本覆盖了数据库安全检查项的绝大多数。

　　下面是一个细节的描述，描述名称为“审计级别设置”：

漏洞描述：
    检查审计级别是否符合安全策略。你可以设置Microsoft SQL Server提供登录成功或失败的审计跟踪记录。审计日志提供哪个登录ID尝试登录，成功还是失败，连接是标准的还是信任的，时间和日期等信息。正确设置审计级别可以用来严格检测过期登录，登录攻击，违反登录时间。
漏洞来源：
    审计是数据库管理系统安全性重要的一部分，通过审计，凡是与数据库安全性相关的操作可被记录下来，只要检测审计记录，系统安全员就可以掌握数据库被使用状况。如何设置审计的级别：不审计、成功审计、失败审计、全部审计。
修复建议：
    更改审计级别。 对于SQL Server 6.x（使用企业管理器）： 1.右击服务 2.从弹出菜单中选择设置 3.选择安全选项页 对于SQL Server7.0和2000（使用企业管理器）： 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别 对于SQL Server 2005（使用SQL Server Management Studio）： 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别


　　漏洞描述、漏洞来源、修复建议，都比较的详细，可以指导数据库管理员对数据库进行有效的检查、审核数据库系统的安全性。
　　当然，相对于某些数据库扫描系统不支持MySQL（为什么不支持MySQL？因为多数人用的是免费版？），本软件支持Microsoft SQL Server、Oracle、MySQL、Sybase数据库，我手头的这版本没有DB/2和Infomix的支持，不知道新版本是否支持？
　　总的来说，产品是不错的，特别是在市场上数据库漏洞扫描产品很少，等级保护和分级保护又明确了数据库安全的情况下，本产品应该很有市场。

作者：网路游侠 https://www.youxia.org
　　　转载请注明来源！谢谢合作。

　　GUARDIUM数据库安全审计解决方案的突出特点和优势：
　　1.可以同时支持监控管理多种数据库（ORACLE/SYBASE/INFORMIX/DB2/SQL SERVER/TERADATA/MYSQL ）的各种版本；
　　2.同时支持多种企业级应用（ORACLE E-BUSINESS SUITE/PEOPLESOFT/SIEBEL/JD EDWARDS/SAP/BUSINESS OBJECTS）、应用服务器/中间件服务器（WEBSPHERE/WEBLOGIC/TUXEDO/ORACLE APPLICATION SERVER/JBOSS/.NET/APACHE/TOMCAT/MQ & etc）；
...

由于数据库的作用和影响越来越大，企业数据库信息安全面临的安全威胁日渐明显。近年来不断发生的重要敏感数据被窃取、篡改问题，已经引起各方面的高度重视，成为迫切需要解决的问题。

最近从一些数据库审计的说明来看
和网络审计、业务审计的融合越来越明显了

启明星辰的一直走的就是和业务审计融合的路
绿盟的则一直和网络审计靠拢
汉邦的也是，网络审计+数据库审计

今天拿到帕拉迪数据库审计的一个测试账号
发现也是网络+数据库审计融合了
并且数据库的会话还原的很不错

前几天群里面有朋友问：
是否能让登录数据库系统的账号和业务系统的账号关联？
实际上，绝大多数的数据库审计还做不到这一点
因为业务系统多种多样的复杂性注定无法做固定产品
也许，定制开发也是数据库下一步的一个方向吧

by 网路游侠 https://www.youxia.org

　　===========================================
　　WEB安全
　　www.youxia.org
　　===========================================

　　1 抗DoS/DDoS产品
　　2 整体漏洞扫描产品
　　3 网站脆弱性评估产品
　　4 服务器加固
　　　　4.1 操作系统加固
　　　　4.2 数据库加固
　　5 数据库脆弱性评估
　　6 数据库审计
　　7 SOC平台实时监控
　　8 网站木马检测
　　9 网站防篡改系统
　　10 代码审计
　　　　10.1 asp
　　　　10.2 php
　　　　10.3 jsp
　　11 IPS入侵防御
　　12 IDS入侵检测
　　13 WEB应用防火墙
　　14 防火墙
　　===========================================
　　网路游侠 QQ：55984512 提供网站安全整体解决方案。
　　===========================================
2009年06月21日 网友“无心喃呢”建议，增加“以人为本”

　　产品背景
　　数据是企业业务的根本，数据库是企业数据的载体，数据库系统是企业信息系统的心脏。从信息安全角度看，数据库系统的安全是IT系统安全的核心，引起了信息系统建设者的高度重视，在数据库的物理安全和网络安全方面做了完善的安全防护，例如采取了严格访问控制和容灾备份等安全措施。但是，从近年来发生的安全事件来看，数据库安全问题远远不止是物理层面安全和网络层面的安全，数据库系统面临这从安全管理到安全技术等各方面的安全隐患，这些风险将会给企业业务带来严重的影响，可能会造成巨大的经济损失，或引起法律的纠纷。而且这些事件难以追查和弥补。
...