近年来与数据库相关的信息安全事件频发,政府组织、商业和金融机构在数据库中存储重要的人事信息、交易记录、市场决策信息、商业合同等大量的敏感数据,数据安全成为社会的关注焦点,数据库安全问题不容忽视。
安全测评机构、安服团队、集团安全部门在信息安全等级保护要求的指导下,使用专业的仪器设备与人工检测相结合的方式,检测数据库的安全问题,并向被测单位提出有针对性的整改措施,用来扭转数据库安全问题频发的严峻局面,保护和促进信息化的健康发展。
目前数据库安全检测的主要类型有Oracle、MySQL、SQL Server、DB2、达梦、人大金仓等,每个类型数据库还可能由于版本不同,数据库缺省账户、安全配置参数等也不同,如:Oracle各版本的缺省账户共有700多个,达梦6和达梦7从连接的端口号到安全配置项都有不同。单纯靠人工很难在短时间内全面、有效、准确的发现数据库的安全问题,借助数据库漏扫工具可以提高安全检查效率。
检测重点及常见问题
做数据库安全检测,一般需要在应用系统不繁忙的时候使用数据库漏扫工具进行自动化的数据库弱点评估,按等保要求主要检测如下几点:
1) 检查用户口令复杂度,找出弱口令和配置安全策略;
2) 数据库账户权限设置不当;
3) 数据库中多余的运维账户或过期账户未被及时清除;
4) 数据库安全审计功能处于关闭状态;
5) 数据库补丁未升级和高、中等级漏洞,如:SQL注入和缓冲区溢出漏洞,带有攻击性,要引起重视。
安华金和经与多家单位安服人员合作与沟通,总结在做数据库安全检测时,经常会遇到的以下几类问题:
1) 数据库漏扫工具根本不支持国产数据库的检测,无法快速实现国产数据库安全评估;
2) 被测单位不允许检测设备接入到运行的网络环境中,或者必须通过堡垒机(linux操作系统)才能检测数据库;
3) 被测单位往往以数据库管理员不在或者不清楚数据库账户为由,不提供检测工具授权扫描需要的管理员账户和密码;
4) 通常检测工作需要在应用系统不繁忙的时间进行,如凌晨12点以后;
5) 通过数据库漏扫工具检测出来的结果过多,无法从检测报表中找出等保对应的检测项或高中漏洞项;
6) 检测报表格式无法达到客户或检测单位的要求,实现定制化报表,满足个性化需求。
问题分析及解决对策
对应上述检测重点来看:
一、 检查用户口令复杂度,找出弱口令和配置安全策略;
首先要求对数据库弱口令的检测要有充足的弱口令字典和口令算法破解程序,通过能够通过授权和非授权的弱口令扫描方式,实现弱口令的自动化发现,同时提供与口令和缺省账户相关的安全配置项检查和修复建议,如:连续登录的失败次数、登录失败后锁定时间、密码账户的有效期等。
二、数据库账户权限设置不当;数据库中多余的运维账户或过期账户未被及时清除;
上述这两点要通过检测工具和人工确认共同完成,首先要通过数据库漏扫工具快速发现当前数据库类型都有哪些账户和他们的权限,但是,这些账户只有通过与系统管理员核实,才有可能确定是否属于废弃的运维账户忘记回收了,账户的权限过大,过期账户是否锁定或删除,正确处理这些账户才能防止被黑客恶意提权,利用这些账户篡改和查询敏感信息。
三、数据库安全审计功能处于关闭状态;
这点和某数据库厂商核实过,从数据库运行性能考虑不推荐开启审计功能,但是数据库的操作必须要有独立的审计日志,在出现非法篡改和数据泄漏的时候,能够追责和定责,而且这些审计数据要符合数据的独立性、完整性和安全性,因此,安华金和建议采用成熟的数据库审计设备来实现数据库操作记录。
四、数据库补丁未升级和高、中等级漏洞,如:SQL注入和缓冲区溢出漏洞,带有攻击性,要引起重视。
数据库补丁未升级和安全漏洞问题,如果检测出来单纯靠升级数据库补丁的方式来解决,有可能在升级补丁后影响前台应用,建议采用数据库防火墙的虚拟补丁实现网络层的数据库漏洞防护。
对于安服人员在实际检测过程中遇到的问题,安华金和数据库安全专家提供如下解决对策:
1) 在选择数据库漏扫工具的时候,优先考虑能支持国产数据库类型检测的检查工具;
2) 可以采用检测工具自带的离线扫描工具来实现,将离线扫描工具发给被测单位,被测单位在自己网络内的可信计算机运行,采集到检测结果文件后,发回给检测单位生成相应的报告;
3) 在没有数据库账户的情况下,就要求数据库漏扫工具通过非授权扫描的功能实现数据库安全检查,非授权扫描通过对数据库版本和缺省数据库账户的探测,同时结合CVE、CNNVD报的数据库高危漏洞,实现非授权扫描报表;
4) 在数据库漏扫工具中,加入定时扫描的功能,可以在正常工作时间设定需要扫描的时间,到时就可以自动实现扫描,这样,安服人员就不用常加班了,安服的小伙伴们肯定非常喜欢这个功能;
5) 数据库漏扫工具支持等保、分保和行业检查策略定制功能,可以按检测要求事先指定好检查策略集合,然后进行扫描,就可以实现按需要的策略实现检测的功能;
6) 数据库漏扫工具能输出xml格式的检查结果,这样的数据就可以按客户方提供的xml样式表显示定制的结果报表,如果客户能采用编程的方式提取xml数据,那将来显示的xml报表就更“贴心”了。
数据库安全检测是一项复杂、科学严谨的工作,检测人员首先要选择检测结果准确、检测过程方便、适应各种安服条件的自动化数据库漏扫工具,还需要结合测评工作经验和等、分保、行业信息安全政策要求,充分与被测方进行沟通后,才能得出数据库安全测评结果,并提出有效的整改意见。安华金和结合自身数据库安服和数据库漏扫工具研发经验,对安服过程中的问题提出对策,也希望更多的安服小伙伴将自己在工作中的困惑和需求反馈给我们,这片文章希望起到“抛砖引玉”的效果对数据库安全测评工作有实际帮助。
关于安华金和
安华金和是我国专业数据库安全产品和服务提供商,由长期致力于数据库内核研发和信息安全领域的专业资深人员共同创造,是国内唯一提供全面的数据库安全产品、服务和解决方案服务商,覆盖数据库安全防护的事前检查、事中控制和事后审核,帮助用户全面实现数据库安全防护和安全合规。
安华金和数据库安全产品已经广泛地应用于政府、军队、军工、运营商、金融、企业信息防护等领域,建立了一定的声誉,成为众多企业在该领域寻求安全产品和服务的首选。
