昂楷数据库漏洞扫描_数据库安全-云巴巴

昂楷数据库漏洞扫描

数据库漏洞扫描是对数据库系统进行自动化安全评估的数据库安全产品，能够充分扫描出数据库系统的安全漏洞和威胁并提供智能的修复建议。

全球数据库泄露事件呈现逐渐增加的趋势

Verizon公司2015年发布的《数据泄露调查报告》中，“数据库遭受威胁”占到90%的比例。
• 2018年3月，5000万Facebook用户信息泄露；
• 2017年10月，微软储存内部漏洞秘密数据库被黑客偷走；
• 2015年10月，某电信系统爆出重大漏洞，可泄露上亿用户信息，并可以进行任意金额充值、销户、换卡等操作；
• 2014年5月，全球最大的网络交易平台之一eBay发布报告称,称数据库遭黑客攻击，至少1.45亿用户的个人资料及密码外泄；
• 2014年，美国人事管理局网络被黑客入侵，从2012年起，约有2200万人的敏感信息（包括社会保险号码、当前和前联邦雇员的个人信息）被窃取；
• 2013年12月，塔吉特信息系统存在漏洞，引起黑客攻击并导致信用卡/借记卡/联系信息泄露，高达L1亿人受损；
• 2013年10月，Adobe公司透露，黑客窃取了该公司290万客户的信息，包括他们的姓名、用户识别码和加密密码以及支付卡号，另外黑客还获得了Adobe Acrobat以及ColdFusion和ColdFusion Builder的源代码；
• 2013年8月，雅虎存在的安全漏洞造成至少10亿用户的姓名、电邮和密码被盗；
• 2011年4月，索尼7700万PlayStation网络帐户被黑客入侵;估计损失达L71亿美元，同时被迫关闭网络近一个月。

优缺点对比

端口扫描

端口扫描通过对网络发送系列扫描信息（ICMP、TCP半连接等），可以帮助探测者了解网络中主机存活情况，并通过主机开放的相应端口号推断出主机所提供的服务类型，为下一步更具有针对性的漏洞扫描提供基础信息。

主机漏洞扫描

主机漏洞扫描工具,是基于漏洞数据库对指定的远程或本机脆弱性检查的自动化安全评测功能，对操作系统、中间件进行漏洞检查。但其检查能力仅限于已公布的系统级漏洞，而WEB站点、数据库系统往往存在的更多是程序或数据库设计、配置等缺陷。

WEB漏洞扫描

W E B漏扫工具是基于 WEB应用程序安全的自动化测试工具，对SQL注入、 XSS等漏洞具有较强的检测能力,能有效帮助程序员开发安全的WEB站点,对于操作系统、中间件、数据库等缺乏有效检测能力。

数据库漏洞扫描

数据库漏洞扫描工具是针对各类数据库系统脆弱性检查的专业自动化评测工具，不仅能依据完善的漏洞库有效检测DBMS漏洞，同样能对数据库中各种数据库配置的脆弱性、弱口令等进行全方位的检测工作，保障数据库安全健康运行。

政策标准、法律法规的要求

《信息安全技术网络安全等级保护基本要求第1部分安全通用要求》中明确规定

•应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞；
•应釆取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补/评估可能的影响后进行修补。

《支付卡行业数据安全标准（PCI-DSS）》

中明确规定

• 11.2至少每个季度运行一次内部和外部网络漏洞扫描，并且在网络有重大变化时也运行漏洞扫描（内部季度漏洞扫描由合格人员执行，外部季度扫描必须由授权扫描服务商进行）；
• 11.2.1每季度一次的内部漏洞扫描直至所有高风险漏洞均得以解决；
• 11.2.3在发生重要变更时，视情况需要执行扫描；
• 12.2 实施风险评估:至少每年一次，或在环境发生重大变更时也执行评估,确定重要资产、威胁和漏洞，形成正式风险评估（识别可能产生不利的威胁和相关漏洞，可以有效分配资源，实施控制措施）

昂楷数据库漏洞扫描简介

数据库漏洞扫描是对数据库系统进行自动化安全评估的数据库安全产品，能够充分扫描出数据库系统的安全漏洞和威胁并提供智能的修复建议，对数据库进行全自动化的扫描,从而帮助用户保持数据库的安全健康状态，实现“防患于未然”。

解决方案

昂楷数据库漏洞扫描系统部署方式灵活，可以部署在网络当中的任意节点，就可以完成对网络内所有数据库的安全扫描。

主要特性

自动发现

能够快速搜索、发现当前网络中幵放的数据库。

授权扫描

拥有DBA权限的账户，登陆后可通过执行安全策略对数据库多项关键信息进行扫描。

配置管理

内置数据库安全配置基线，定期扫描，周期性监控数据库配置偏差,反映当前安全状况相对基线的变化并生成扫描报告。

弱口令检测

基于各种主流数据库口令生成规则实现口令匹配扫描，规避基于数据库登录的用户锁定问题和检查效率问题。提供基于字典库，基于规则，基于穷举等多种模式下的弱口令检测,提供弱口令字典库。

策略管理

内置策略库包含丰富的预定义策略，可直接调用, 同时支持自定义策略。

合规性检测

支持PCI/DSSs网络安全等级保护等安全认证标准合规扫描，协助用户实现PCI/DSS合规性评估，网络安全等级保护测评要求。

日志管理

对用户的一切行为都会生成日志，保存到系统中。提供日志分析功能，比如管理员在哪个时间点创建了哪个账户。

自动化扫描

数据库漏洞扫描处于在线状态时，可根据预定义的策略，定时启动自动化扫描任务，任务完成后自动发送扫描报告给管理员，实现全天候7*24小时的监控。

产品优势

丰富的分析报表

扫描结果通过丰富直观的报表呈现给用户，并提供弱点分级、漏洞类型、漏洞描述、修复方法、加固建议方案等多项类容，支持doc、xls、pdf 等多种格式输出。

全面的扫描能力

具备服务发现、数据库漏洞扫描、风险扫描功能，支持近千个数据库安全漏洞检测，能够帮助企业了解数据库服务器的安全状况以及当前数据库面临的安全风险。

完备的数据库类型支持

支持业界主流数据库类型，包括 Oracle、SqlServer、Mysql^ DB2、S ybase、达梦等。

先进的检测技术

能够满足多行业的数据库安全检测要求，为测试人员提供自动化的数据库安全测评工具，并能够生成专业的测评报告，实现数据库的安全合规。

多样的扫描方式

支持自动化扫描和手动扫描，支持深度扫描和快速扫描，支持多种数据库检查技术，能够对弱口令检测、配置风险、账号风险等进行检测。

简单易用

以用户的使用习惯为基点，提供全中文的操作界面、提供向导模式帮助使用者轻松完成扫描任务的配置。

用户价值

降低黑客攻击风险

能够检测黑客最常利用的典型漏洞，如低安全配置缺省账号密码、弱口令、权限宽泛等。

提升数据库安全系数

可以检测出数据库的缺省配置、缓冲区溢出、DBMS漏洞等自身漏洞，并进行原因分析,有针对性的给出修复建议, 以及修复漏洞所需的命令、脚本、执行步骤等。

满足行业安全检测规范

PCI/DSS安全认证标准合规扫描，为PCI/DSS评估提供有力证据。

提升用户安全检测水平

能够满足多行业的数据库安全检测要求，为测试人员提供自动化的数据库安全测评工具，并能够生成专业的测评报告。

产品推荐查看更多>>

McAfee 应用程序控件

McAfee 应用程序控件能够在服务器、公司台式机和固定功能设备上阻止未经授权的可执行文件。实时行为分析技术和终端自动免疫，可立即阻止持久性威胁，无需进行耗工耗时的列表管理或签名更新。

安全可靠

功能完备

立即咨询查看详情

闪捷信息文档安全管理

闪捷文档安全管理产品是一款对企业内部文档进行安全管理的数据安全产品，基于透明加解密技术，配合权限管控功能（打开、拷贝、打印、截屏、水印等），可有效的对企业内部核心数据进行保护；对外做到核心数据防外泄，对内实现核心数据防扩散；因业务原因需要进行数据交换的核心文件，可提供审批通道，从而保障客户数据、公司信息、知识产权及敏感或关键信息的安全。

灵活审批

广泛支持

一文一密钥

全生命周期保护

立即咨询查看详情

网智天元WDM数据分类分级管理系统

网智天元WDM数据分类分级管理系统，以数据分类分级体系的建设形成数据安全开放和应用的驱动力，为全域数据安全管理、数据安全服务和安全规划提供助力。识别数据、应用数据和管理数据的重要途径，更是数据的资产化，能够让数据走向价值化管理与精细化管控，数据使用、共享和安全管理中做到“有类可遵，有级可循”。

识别数据

安全管理

资产发现

权限管理

立即咨询查看详情

数字化社区查看更多>>