标签： 数据库安全

【51CTO.com 独家特稿】Microsoft SQLServer是一个c/s模式的强大的关系型数据库管理系统，应用领域十分广泛，从网站后台数据库到一些MIS(管理信息系统)到处都可以看到它的身影。我们都知道，在网络中Microsoft SQLServer的入侵最常见的就是利用SA弱口令入侵了，而核心内容就是利用Microsoft SQLServer中的存储过程获得系统管理员权限，那到底什么是

　　=======================================
　　数据库安全安全方向简析
　　网路游侠 www.youxia.org 更新：2009年05月30日
　　=======================================

　　----------

　　随着信息系统业务不断发展，数据库系统应用范围越来越广。企业的账务数据、贸易记录、工程数据等均需要利用大量的数据库资源。

　　已成燃眉之急

　　由于数据库的作用和影响越来越大，企业数据库信息安全面临的安全威胁日渐明显。近年来不断发生的重要敏感数据被窃取、篡改问题，已经引起各方面的高度重视，成为迫切需要解决的问题。

　　威胁与风险并存

　　由于企业数据库系统用户众多，涉及数据库管理员、内部员工及合作方人员等，网络管理非常复杂。我们认为，企业数据库面临的主要安全威胁与风险如下：

...

饭后上网搜“数据库审计”，发现无论是在Google还是在百度，第一个都是安恒。当然还有厂家在百度做推广，比如国都兴业和比蒙科技。

最近和一些朋友聊天，包括一些厂家的朋友
最近对WEB安全、应用安全、数据库安全的需求明显增加了
版权声明：网路游侠 https://www.youxia.org

WEB安全始终应该是最明显的，但是却被传统安全厂商所遗忘：
在他们吹嘘防火墙、入侵检测的时候
“地下黑客”们却在流传如何绕过IDS等的议题
同时由于防火墙和入侵检测系统联动的问题特别多
所以应用的并不算好，实际的用途也并不

这是游侠安全网站长2008年画的一个图，以及当时市场上一些数据库审计产品的数据分析。主要是针对主流数据库的审计，包括：MS SQL、Oracle、DB2、MySQL、Informix、Sybase。

　　数据库是电子商务、金融以及ERP系统的基础，通常都保存着重要的商业伙伴和客户的信息。大多数企业、组织以及政府部门的电子数据都保存在各种数据库中。数据库服务器还掌握着敏感的金融数据。包括交易记录、商业事务和账号数据，战略上的或者专业的信息，比如专利和工程数据，甚至市场计划等等应该保护起来防止竞争者和其他非法者获取的资料。数据完整性和合法存取受到很多方面的安全威胁，包括密码策略、系统后门、数据库操作以及本身的安全方案。但是数据库通常没有象操作系统和网络这样在安全性上受到重视。
　　
　　微软的SQL Server是一种广泛使用的数据库，很多电子商务网站、企业内部信息化平台等都是基于SQL Server上的，多数管理员认为只要把网络和操作系统的安全搞好了，那么所有的应用程序也就安全了。大多数系统管理员对数据库不熟悉，而数据库管理员又对安全问题关心太少，而且一些安全公司也忽略数据库安全，这就使数据库的安全问题更加严峻了。数据库系统中存在的安全漏洞和不当的配置通常会造成严重的后果，而且都比较难以发现。数据库应用程序通常同操作系统的最高管理员密切相关。广泛SQL Server数据库属于“端口”型的数据库，这就表示任何人都能够用分析工具试图连接到数据库上，从而绕过操作系统的安全机制，进而闯入系统、破坏和窃取数据资料，甚至破坏整个系统。
...

目前市面上的数据库审计也不少了
但是一般多为旁路设备
要么就要在数据库主机的操作系统上安装Agent
当然，从数据库审计的方面考虑，现在都不是大的问题

但是：如何能直接禁止远程用户操作数据库呢？
比如直接禁止远程对admin表的update或select

想了下，可能最好的方式还是串接到网络上
1、开启正常的数据库审计功能
2、开启“数据库防火墙”功能

在这个数据库防火墙上，只允许设置黑名单
如在黑名单可进行如下设置：
a、禁止远程某个网段的select操作
b、禁止远程对admin表进行任何操作
c、禁止远程sa用户对数据库的操作

大体上这样子，几分钟时间写出来的，可能很不全……

就现在的技术来说：
对于绿盟、启明星辰这样的厂商来说
本身有网络审计、IPS，有数据库审计功能
似乎在产品中加上这样的功能或直接做个新产品不是太大的难度

现有的产品几乎全部是旁路监听，只有审计
如果做个“数据库防火墙”似乎市场前景不错……

Idea by ： 网路游侠
Blog：https://www.youxia.org
QQ：55984512

DAS-DBSCAN是杭州安恒（DBAPPSecurity）在深入分析研究ORACLE数据库典型安全漏洞以及流行的攻击技术基础上，研制开发的一款数据库安全评估工具。

DAS-DBAuditor主要的功能模块包括“自动化风险评估、动态建模、实时监控与防御、全方位审计分析、配置管理及综合查询、SOX审计”几个部分。

在看公司的数据库审计产品的时候，突然想到：
实际上Microsoft SQL Server自己也是有审核功能的
就是说：
可以利用Microsoft SQL Server自身的功能实现数据库审计
我笔记本电脑上装了SQL Server 2000，我们来看下：
·启用SQL服务就不说了，有智商就知道的
·打开SQL 事件探查器并Ctrl+N新建一个跟踪，哪种身份验证无所谓
·在弹出的对话框中直接点“运行”，因为这里是做测试，默认的已经可以了

　这里默认在安全审核选择了Audit Login和Audit Logout
　当然，左侧是“安全审核”子项可以审核到的语句，挺全的……
·登录查询分析器，我分别用Windows身份验证和SQL Server身份验证登录了一次

看到了没？我登录的事件被记录了……
记录：谁、在什么时候、做了什么事情。功能蛮好的
出差天黑才回到西安，累了，回头详细分析……
笔记本电脑内存不足，否则在虚拟机下搭建实验环境效果更好
包括：
数据库审计、Active Directory、组策略、DHCP、DNS、IPSec等
MCSE、CCNA、Linux以前培训的东西忘的差不多了
最近想做下这些，别彻底忘干净了就好。只是事情太多了……

　　为什么数据库审计软件对保护你的公司资产至关重要……

　　【IT专家网独家】现代的信息工作者听到一些通知之后会切身体会到他们祖先的颤抖，“审计人员来了!审计人员来了!”幸运的是，一些公司制作了一些数据库审计或者数据库活动监控软件，它们会将对“审计”这个词的反感情绪从四个字母的脏话转变为舒心的安慰。

　　上个月，Oracle和Lumigent分别为新的、改进了的产品揭幕，这些产品将让企

　　Oracle 数据库在其标准版和企业版数据库中均提供了强健的审计支持。审计记录包括有关已审计的操作、执行操作的用户以及操作的时间和日期的信息。审计记录可以存储在数据库审计线索中或操作系统上的文件上。标准审计包括有关权限、模式、对象和语句的操作。

　　Oracle 建议将审计线索写入到操作系统文件中，这是因为这种配置在源数据库系统上造成的开销最小。要启用数据库审计，应将初始化参数 AUDIT_TRAIL 设置为以下任一值

　　如何保护你的数据库安全？下面是你在保护企业中的结构化的数据时应该考虑的8个技巧。

　　1.直接监视你的财务数据

　　不要监视你的网络，而要监视你的财务数据，因为网络上的假冒用户能够不留痕迹地访问你的数据。确保你的工具能够实时识别异常活动和报警，帮助你对异常活动做出反应。

　　2.评估和修复漏洞

　　许多数据库存在非授权访问的漏洞，主要原因是由于使用补丁的措施不充分或者使....

　　DBScan数据库远程安全评估系统
　　一、系统要求：Windows XP/2000/2003
　　二、技术背景：
　　◇、从互联网兴起至今，利用漏洞攻击的网络安全事件不断，并且呈日趋严重的态势。每年全球因漏洞导致的经济损失巨大并且在逐年增加，漏洞已经成为危害互联网的罪魁祸首之一，也成了万众瞩目的焦点。其中以恶意利用数据库安全漏洞所造成的经济损失尤为严重，在信息安全领域中，类似网页....