立即咨询

电话咨询

微信咨询

立即试用
商务合作

昂楷数据库漏洞扫描

数据库漏洞扫描是对数据库系统进行自动化安全评估的数据库安 全产品,能够充分扫描出数据库系统的安全漏洞和威胁并提供智能的 修复建议。
立即咨询
全球数据库泄露事件呈现逐渐增加的趋势

Verizon公司2015年发布的《数据泄露调查报告》中,“数据库遭受威胁”占到90%的比例。
• 2018年3月,5000万Facebook用户信息泄露;
• 2017年10月,微软储存内部漏洞秘密数据库被黑客偷走;
• 2015年10月,某电信系统爆出重大漏洞,可泄露上亿用户信息,并可以进行任意金额充值、销户、换卡等操作;
• 2014年5月,全球最大的网络交易平台之一eBay发布报告称,称数据库遭黑客攻击,至少1.45亿用户的个人资 料及密码外泄;
• 2014年,美国人事管理局网络被黑客入侵,从2012年起,约有2200万人的敏感信息(包括社会保险号码、当前 和前联邦雇员的个人信息)被窃取;
• 2013年12月,塔吉特信息系统存在漏洞,引起黑客攻击并导致信用卡/借记卡/联系信息泄露,高达L1亿人受 损;
• 2013年10月,Adobe公司透露,黑客窃取了该公司290万客户的信息,包括他们的姓名、用户识别码和加密密 码以及支付卡号,另外黑客还获得了Adobe Acrobat以及ColdFusion和ColdFusion Builder的源代码;
• 2013年8月,雅虎存在的安全漏洞造成至少10亿用户的姓名、电邮和密码被盗;
• 2011年4月,索尼7700万PlayStation网络帐户被黑客入侵;估计损失达L71亿美元,同时被迫关闭网络近一 个月。

优缺点对比
端口扫描
端口扫描通过对网络发送系 列扫描信息(ICMP、TCP半 连接等),可以帮助探测者了 解网络中主机存活情况,并 通过主机开放的相应端口号 推断出主机所提供的服务类 型,为下一步更具有针对性 的漏洞扫描提供基础信息。
主机漏洞扫描
主机漏洞扫描工具,是基于 漏洞数据库对指定的远程或 本机脆弱性检查的自动化安 全评测功能,对操作系统、中 间件进行漏洞检查。但其检 查能力仅限于已公布的系统 级漏洞,而WEB站点、数据库 系统往往存在的更多是程序 或数据库设计、配置等缺陷。
WEB漏洞扫描
W E B漏扫工具是基于 WEB应用程序安全的自动 化测试工具,对SQL注入、 XSS等漏洞具有较强的检测 能力,能有效帮助程序员开 发安全的WEB站点,对于操 作系统、中间件、数据库等缺 乏有效检测能力。
数据库漏洞扫描
数据库漏洞扫描工具是针对 各类数据库系统脆弱性检查 的专业自动化评测工具,不 仅能依据完善的漏洞库有效 检测DBMS漏洞,同样能对 数据库中各种数据库配置的 脆弱性、弱口令等进行全方 位的检测工作,保障数据库 安全健康运行。
政策标准、法律法规的要求
 
《信息安全技术网络安全等级保护基本要求第1部分安全通用要求》中明确规定
•应能发现可能存在的漏洞,并在经过充分测试评估后,及时修补漏洞;
•应釆取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补/评估可能的影响后进行修补。
 
《支付卡行业数据安全标准(PCI-DSS)》
中明确规定
• 11.2至少每个季度运行一次内部和外部网络漏洞扫描,并且在网络有重大变化时也运行漏洞扫描(内部季度 漏洞扫描由合格人员执行,外部季度扫描必须由授权扫描服务商进行);
• 11.2.1每季度一次的内部漏洞扫描直至所有高风险漏洞均得以解决;
• 11.2.3在发生重要变更时,视情况需要执行扫描;
• 12.2 实施风险评估:至少每年一次,或在环境发生重大变更时也执行评估,确定重要资产、威胁和漏洞,形成 正式风险评估(识别可能产生不利的威胁和相关漏洞,可以有效分配资源,实施控制措施)
昂楷数据库漏洞扫描简介
 

数据库漏洞扫描是对数据库系统进行自动化安全评估的数据库安 全产品,能够充分扫描出数据库系统的安全漏洞和威胁并提供智能的 修复建议,对数据库进行全自动化的扫描,从而帮助用户保持数据库的 安全健康状态,实现“防患于未然”。

解决方案

昂楷数据库漏洞扫描系统部署方式灵活,可以部署在网络当中的任意节点,就可以完成对网络内所有数据库的安全 扫描。

主要特性
 
自动发现
能够快速搜索、发现当前网络中幵放的数据库。
 
 
授权扫描
拥有DBA权限的账户,登陆后可 通过执行安全策略对数据库多 项关键信息进行扫描。
 
 
配置管理
内置数据库安全配置基线,定期 扫描,周期性监控数据库配置偏 差,反映当前安全状况相对基线 的变化并生成扫描报告。
 
弱口令检测
基于各种主流数据库口令生成规则实现口令匹配 扫描,规避基于数据库登录的用户锁定问题和检查 效率问题。提供基于字典库,基于规则,基于穷举等 多种模式下的弱口令检测,提供弱口令字典库。
 
策略管理
内置策略库包含丰富的预定义策略,可直接调用, 同时支持自定义策略。
 
合规性检测
支持PCI/DSSs网络安全等级保 护等安全认证标准合规扫描,协 助用户实现PCI/DSS合规性评 估,网络安全等级保护测评要求。
 
日志管理
对用户的一切行为都会生成日 志,保存到系统中。提供日志分 析功能,比如管理员在哪个时间 点创建了哪个账户。
 
自动化扫描
数据库漏洞扫描处于在线状态时,可根据预定义的 策略,定时启动自动化扫描任务,任务完成后自动 发送扫描报告给管理员,实现全天候7*24小时的监 控。
产品优势
 
丰富的分析报表
扫描结果通过丰富直观的报表呈现 给用户,并提供弱点分级、漏洞类 型、漏洞描述、修复方法、加固建议 方案等多项类容,支持doc、xls、pdf 等多种格式输出。
 
全面的扫描能力
具备服务发现、数据库漏洞扫描、风 险扫描功能,支持近千个数据库安 全漏洞检测,能够帮助企业了解数 据库服务器的安全状况以及当前数 据库面临的安全风险。
 
完备的数据库类型支持
支持业界主流数据库类型,包括 Oracle、SqlServer、Mysql^ DB2、S ybase、达梦等。
 
先进的检测技术
能够满足多行业的数据库安全检测 要求,为测试人员提供自动化的数 据库安全测评工具,并能够生成专 业的测评报告,实现数据库的安全 合规。
 
多样的扫描方式
支持自动化扫描和手动扫描,支持 深度扫描和快速扫描,支持多种数 据库检查技术,能够对弱口令检测、 配置风险、账号风险等进行检测。
 
简单易用
以用户的使用习惯为基点,提供全 中文的操作界面、提供向导模式帮 助使用者轻松完成扫描任务的配 置。
用户价值
 
降低黑客攻击风险
能够检测黑客最常利用的典型漏洞,如低安全配置缺省 账号密码、弱口令、权限宽泛等。
 
提升数据库安全系数
可以检测出数据库的缺省配置、缓冲区溢出、DBMS漏洞 等自身漏洞,并进行原因分析,有针对性的给出修复建议, 以及修复漏洞所需的命令、脚本、执行步骤等。
 
满足行业安全检测规范
PCI/DSS安全认证标准合规扫描,为PCI/DSS评估提供有 力证据。
 
提升用户安全检测水平
能够满足多行业的数据库安全检测要求,为测试人员提 供自动化的数据库安全测评工具,并能够生成专业的测 评报告。

产品推荐

医百科技网红医生IP打造方案
医百科技网红医生IP打造方案,医百专业拍摄团队全程提供技术支持和指导,配以特效、音乐等,提升观看效果、点赞量、完播率等数据。提前进行文案、 “神评论”筹备,可帮助提升各项数据,进一步增加视频曝光量。从基础搭建到精细化运营、私域运营三阶段,形成完整运营链路,
免费试用
查看详情
未来智安 EDR终端威胁检测与响应
未来智安EDR安全体系围绕攻击告警检测发现、告警治理,利用att&ck、关联分析等技术进行告警研判和回溯完整攻击事件。基于Att&ck模型,围绕入口类、操作类、属性类设计数据采集对象包括如操作系统、软件、硬件、进程、进程行为等细粒度的数据采集和入侵监控。
免费试用
查看详情
敏感数据分析检测
通过模拟黑客行为借助各种破解分析工具,对移动应用的敏感数据、核心业务逻辑进行攻击篡改,对敏感数据进行跟踪、检测、分析,查找移动应用中敏感数据存在的风险和漏洞以及业务脆弱性风险,并给出专业性安全修复建议,为保护移动应用敏感数据的全数据周期安全提供依据。
免费试用
查看详情
思必驰平板音频解决方案
思必驰平板音频解决方案核心算法基于传统信号处理+深度学习技术,结合麦克风阵列进行前端降噪,不受限于噪声类 型,覆盖低信噪比全场景,大幅提升通话清晰度,改善噪声环境下的通话质量.
免费试用
查看详情