近年來與數據庫相關的信息安全事件頻發，政府組織、商業和金融機構在數據庫中存儲重要的人事信息、交易記錄、市場決策信息、商業合同等大量的敏感數據，數據安全成為社會的關注焦點，數據庫安全問題不容忽視。

安全測評機構、安服團隊、集團安全部門在信息安全等級保護要求的指導下，使用專業的儀器設備與人工檢測相結合的方式，檢測數據庫的安全問題，并向被測單位提出有針對性的整改措施，用來扭轉數據庫安全問題頻發的嚴峻局面，保護和促進信息化的健康發展。

目前數據庫安全檢測的主要類型有Oracle、MySQL、SQL Server、DB2、達夢、人大金倉等，每個類型數據庫還可能由于版本不同，數據庫缺省賬戶、安全配置參數等也不同，如：Oracle各版本的缺省賬戶共有700多個，達夢6和達夢7從連接的端口號到安全配置項都有不同。單純靠人工很難在短時間內全面、有效、準確的發現數據庫的安全問題，借助數據庫漏掃工具可以提高安全檢查效率。

檢測重點及常見問題

做數據庫安全檢測，一般需要在應用系統不繁忙的時候使用數據庫漏掃工具進行自動化的數據庫弱點評估，按等保要求主要檢測如下幾點：

1） 檢查用戶口令復雜度，找出弱口令和配置安全策略；

2） 數據庫賬戶權限設置不當；

3） 數據庫中多余的運維賬戶或過期賬戶未被及時清除；

4） 數據庫安全審計功能處于關閉狀態；

5） 數據庫補丁未升級和高、中等級漏洞，如：SQL注入和緩沖區溢出漏洞，帶有攻擊性，要引起重視。

安華金和經與多家單位安服人員合作與溝通，總結在做數據庫安全檢測時，經常會遇到的以下幾類問題：

1） 數據庫漏掃工具根本不支持國產數據庫的檢測，無法快速實現國產數據庫安全評估；

2） 被測單位不允許檢測設備接入到運行的網絡環境中，或者必須通過堡壘機（linux操作系統）才能檢測數據庫；

3） 被測單位往往以數據庫管理員不在或者不清楚數據庫賬戶為由，不提供檢測工具授權掃描需要的管理員賬戶和密碼；

4） 通常檢測工作需要在應用系統不繁忙的時間進行，如凌晨12點以后；

5） 通過數據庫漏掃工具檢測出來的結果過多，無法從檢測報表中找出等保對應的檢測項或高中漏洞項；

6） 檢測報表格式無法達到客戶或檢測單位的要求，實現定制化報表，滿足個性化需求。

問題分析及解決對策

對應上述檢測重點來看：

一、 檢查用戶口令復雜度，找出弱口令和配置安全策略；

首先要求對數據庫弱口令的檢測要有充足的弱口令字典和口令算法破解程序，通過能夠通過授權和非授權的弱口令掃描方式，實現弱口令的自動化發現，同時提供與口令和缺省賬戶相關的安全配置項檢查和修復建議，如：連續登錄的失敗次數、登錄失敗后鎖定時間、密碼賬戶的有效期等。

二、數據庫賬戶權限設置不當；數據庫中多余的運維賬戶或過期賬戶未被及時清除；

上述這兩點要通過檢測工具和人工確認共同完成，首先要通過數據庫漏掃工具快速發現當前數據庫類型都有哪些賬戶和他們的權限，但是，這些賬戶只有通過與系統管理員核實，才有可能確定是否屬于廢棄的運維賬戶忘記回收了，賬戶的權限過大，過期賬戶是否鎖定或刪除，正確處理這些賬戶才能防止被黑客惡意提權，利用這些賬戶篡改和查詢敏感信息。

    三、數據庫安全審計功能處于關閉狀態；

這點和某數據庫廠商核實過，從數據庫運行性能考慮不推薦開啟審計功能，但是數據庫的操作必須要有獨立的審計日志，在出現非法篡改和數據泄漏的時候，能夠追責和定責，而且這些審計數據要符合數據的獨立性、完整性和安全性，因此，安華金和建議采用成熟的數據庫審計設備來實現數據庫操作記錄。

四、數據庫補丁未升級和高、中等級漏洞，如：SQL注入和緩沖區溢出漏洞，帶有攻擊性，要引起重視。

數據庫補丁未升級和安全漏洞問題，如果檢測出來單純靠升級數據庫補丁的方式來解決，有可能在升級補丁后影響前臺應用，建議采用數據庫防火墻的虛擬補丁實現網絡層的數據庫漏洞防護。

對于安服人員在實際檢測過程中遇到的問題，安華金和數據庫安全專家提供如下解決對策：

1） 在選擇數據庫漏掃工具的時候，優先考慮能支持國產數據庫類型檢測的檢查工具；

2） 可以采用檢測工具自帶的離線掃描工具來實現，將離線掃描工具發給被測單位，被測單位在自己網絡內的可信計算機運行，采集到檢測結果文件后，發回給檢測單位生成相應的報告；

3） 在沒有數據庫賬戶的情況下，就要求數據庫漏掃工具通過非授權掃描的功能實現數據庫安全檢查，非授權掃描通過對數據庫版本和缺省數據庫賬戶的探測，同時結合CVE、CNNVD報的數據庫高危漏洞，實現非授權掃描報表；

4） 在數據庫漏掃工具中，加入定時掃描的功能，可以在正常工作時間設定需要掃描的時間，到時就可以自動實現掃描，這樣，安服人員就不用常加班了，安服的小伙伴們肯定非常喜歡這個功能；

5） 數據庫漏掃工具支持等保、分保和行業檢查策略定制功能，可以按檢測要求事先指定好檢查策略集合，然后進行掃描，就可以實現按需要的策略實現檢測的功能；

6） 數據庫漏掃工具能輸出xml格式的檢查結果，這樣的數據就可以按客戶方提供的xml樣式表顯示定制的結果報表，如果客戶能采用編程的方式提取xml數據，那將來顯示的xml報表就更“貼心”了。

數據庫安全檢測是一項復雜、科學嚴謹的工作，檢測人員首先要選擇檢測結果準確、檢測過程方便、適應各種安服條件的自動化數據庫漏掃工具，還需要結合測評工作經驗和等、分保、行業信息安全政策要求，充分與被測方進行溝通后，才能得出數據庫安全測評結果，并提出有效的整改意見。安華金和結合自身數據庫安服和數據庫漏掃工具研發經驗，對安服過程中的問題提出對策，也希望更多的安服小伙伴將自己在工作中的困惑和需求反饋給我們，這片文章希望起到“拋磚引玉”的效果對數據庫安全測評工作有實際幫助。

關于安華金和 

安華金和是我國專業數據庫安全產品和服務提供商，由長期致力于數據庫內核研發和信息安全領域的專業資深人員共同創造，是國內唯一提供全面的數據庫安全產品、服務和解決方案服務商，覆蓋數據庫安全防護的事前檢查、事中控制和事后審核，幫助用戶全面實現數據庫安全防護和安全合規。 

安華金和數據庫安全產品已經廣泛地應用于政府、軍隊、軍工、運營商、金融、企業信息防護等領域，建立了一定的聲譽，成為眾多企業在該領域尋求安全產品和服務的首選。