昂楷数据库漏洞扫描_数据库安全-云巴巴

昂楷数据库漏洞扫描

数据库漏洞扫描是对数据库系统进行自动化安全评估的数据库安全产品，能够充分扫描出数据库系统的安全漏洞和威胁并提供智能的修复建议。

全球数据库泄露事件呈现逐渐增加的趋势

Verizon公司2015年发布的《数据泄露调查报告》中，“数据库遭受威胁”占到90%的比例。
• 2018年3月，5000万Facebook用户信息泄露；
• 2017年10月，微软储存内部漏洞秘密数据库被黑客偷走；
• 2015年10月，某电信系统爆出重大漏洞，可泄露上亿用户信息，并可以进行任意金额充值、销户、换卡等操作；
• 2014年5月，全球最大的网络交易平台之一eBay发布报告称,称数据库遭黑客攻击，至少1.45亿用户的个人资料及密码外泄；
• 2014年，美国人事管理局网络被黑客入侵，从2012年起，约有2200万人的敏感信息（包括社会保险号码、当前和前联邦雇员的个人信息）被窃取；
• 2013年12月，塔吉特信息系统存在漏洞，引起黑客攻击并导致信用卡/借记卡/联系信息泄露，高达L1亿人受损；
• 2013年10月，Adobe公司透露，黑客窃取了该公司290万客户的信息，包括他们的姓名、用户识别码和加密密码以及支付卡号，另外黑客还获得了Adobe Acrobat以及ColdFusion和ColdFusion Builder的源代码；
• 2013年8月，雅虎存在的安全漏洞造成至少10亿用户的姓名、电邮和密码被盗；
• 2011年4月，索尼7700万PlayStation网络帐户被黑客入侵;估计损失达L71亿美元，同时被迫关闭网络近一个月。

优缺点对比

端口扫描

端口扫描通过对网络发送系列扫描信息（ICMP、TCP半连接等），可以帮助探测者了解网络中主机存活情况，并通过主机开放的相应端口号推断出主机所提供的服务类型，为下一步更具有针对性的漏洞扫描提供基础信息。

主机漏洞扫描

主机漏洞扫描工具,是基于漏洞数据库对指定的远程或本机脆弱性检查的自动化安全评测功能，对操作系统、中间件进行漏洞检查。但其检查能力仅限于已公布的系统级漏洞，而WEB站点、数据库系统往往存在的更多是程序或数据库设计、配置等缺陷。

WEB漏洞扫描

W E B漏扫工具是基于 WEB应用程序安全的自动化测试工具，对SQL注入、 XSS等漏洞具有较强的检测能力,能有效帮助程序员开发安全的WEB站点,对于操作系统、中间件、数据库等缺乏有效检测能力。

数据库漏洞扫描

数据库漏洞扫描工具是针对各类数据库系统脆弱性检查的专业自动化评测工具，不仅能依据完善的漏洞库有效检测DBMS漏洞，同样能对数据库中各种数据库配置的脆弱性、弱口令等进行全方位的检测工作，保障数据库安全健康运行。

政策标准、法律法规的要求

《信息安全技术网络安全等级保护基本要求第1部分安全通用要求》中明确规定

•应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞；
•应釆取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补/评估可能的影响后进行修补。

《支付卡行业数据安全标准（PCI-DSS）》

中明确规定

• 11.2至少每个季度运行一次内部和外部网络漏洞扫描，并且在网络有重大变化时也运行漏洞扫描（内部季度漏洞扫描由合格人员执行，外部季度扫描必须由授权扫描服务商进行）；
• 11.2.1每季度一次的内部漏洞扫描直至所有高风险漏洞均得以解决；
• 11.2.3在发生重要变更时，视情况需要执行扫描；
• 12.2 实施风险评估:至少每年一次，或在环境发生重大变更时也执行评估,确定重要资产、威胁和漏洞，形成正式风险评估（识别可能产生不利的威胁和相关漏洞，可以有效分配资源，实施控制措施）

昂楷数据库漏洞扫描简介

数据库漏洞扫描是对数据库系统进行自动化安全评估的数据库安全产品，能够充分扫描出数据库系统的安全漏洞和威胁并提供智能的修复建议，对数据库进行全自动化的扫描,从而帮助用户保持数据库的安全健康状态，实现“防患于未然”。

解决方案

昂楷数据库漏洞扫描系统部署方式灵活，可以部署在网络当中的任意节点，就可以完成对网络内所有数据库的安全扫描。

主要特性

自动发现

能够快速搜索、发现当前网络中幵放的数据库。

授权扫描

拥有DBA权限的账户，登陆后可通过执行安全策略对数据库多项关键信息进行扫描。

配置管理

内置数据库安全配置基线，定期扫描，周期性监控数据库配置偏差,反映当前安全状况相对基线的变化并生成扫描报告。

弱口令检测

基于各种主流数据库口令生成规则实现口令匹配扫描，规避基于数据库登录的用户锁定问题和检查效率问题。提供基于字典库，基于规则，基于穷举等多种模式下的弱口令检测,提供弱口令字典库。

策略管理

内置策略库包含丰富的预定义策略，可直接调用, 同时支持自定义策略。

合规性检测

支持PCI/DSSs网络安全等级保护等安全认证标准合规扫描，协助用户实现PCI/DSS合规性评估，网络安全等级保护测评要求。

日志管理

对用户的一切行为都会生成日志，保存到系统中。提供日志分析功能，比如管理员在哪个时间点创建了哪个账户。

自动化扫描

数据库漏洞扫描处于在线状态时，可根据预定义的策略，定时启动自动化扫描任务，任务完成后自动发送扫描报告给管理员，实现全天候7*24小时的监控。

产品优势

丰富的分析报表

扫描结果通过丰富直观的报表呈现给用户，并提供弱点分级、漏洞类型、漏洞描述、修复方法、加固建议方案等多项类容，支持doc、xls、pdf 等多种格式输出。

全面的扫描能力

具备服务发现、数据库漏洞扫描、风险扫描功能，支持近千个数据库安全漏洞检测，能够帮助企业了解数据库服务器的安全状况以及当前数据库面临的安全风险。

完备的数据库类型支持

支持业界主流数据库类型，包括 Oracle、SqlServer、Mysql^ DB2、S ybase、达梦等。

先进的检测技术

能够满足多行业的数据库安全检测要求，为测试人员提供自动化的数据库安全测评工具，并能够生成专业的测评报告，实现数据库的安全合规。

多样的扫描方式

支持自动化扫描和手动扫描，支持深度扫描和快速扫描，支持多种数据库检查技术，能够对弱口令检测、配置风险、账号风险等进行检测。

简单易用

以用户的使用习惯为基点，提供全中文的操作界面、提供向导模式帮助使用者轻松完成扫描任务的配置。

用户价值

降低黑客攻击风险

能够检测黑客最常利用的典型漏洞，如低安全配置缺省账号密码、弱口令、权限宽泛等。

提升数据库安全系数

可以检测出数据库的缺省配置、缓冲区溢出、DBMS漏洞等自身漏洞，并进行原因分析,有针对性的给出修复建议, 以及修复漏洞所需的命令、脚本、执行步骤等。

满足行业安全检测规范

PCI/DSS安全认证标准合规扫描，为PCI/DSS评估提供有力证据。

提升用户安全检测水平

能够满足多行业的数据库安全检测要求，为测试人员提供自动化的数据库安全测评工具，并能够生成专业的测评报告。

产品推荐查看更多>>

美创科技数据库防火墙系统

美创科技数据库防火墙系统是一款抵御并消除由于应用程序业务逻辑漏洞或缺陷所导致的数据(库)安全问题的专业级数据安全产品，实现事前安全策略配置、事中防护告警、事后审计，有效保护数据库免受来自外部的入侵攻击。

事前安全策略配置

事中防护告警

事后审计

立即咨询查看详情

核心数据中心

具备数据中心建设与运营能力，能提供包含数据中心规划咨询、数据中心工艺设计、数据中心集成总包、数据中心运营服务等全生命周期服务。

高可用

安全可靠

功能完备

立即咨询查看详情

魔方安全外部攻击面管理系统EASM

魔方安全外部攻击面管理系统EASM，识别未知的数字资产（如网站、IP、域名、SSL证书和云服务），并实时维护资产列表；全面识别与监测数字化资产；监测数据泄漏情况，如凭证泄漏或敏感数据通过协作工具和云应用程序或第三方使用的协作工具暴露的敏感数据。

全面识别

多元监测

主动探测

持续监控

立即咨询查看详情

数字化社区查看更多>>