首页 » 安全产品 » 数据库应用安全评估系统
  • 数据库应用安全评估系统


    产品概述


    数据库系统是一个复杂的系统,根据已经公布的资料,数据库存在许多风险,其中不少是致命的缺陷和漏洞。举例来说,全球公认安全性出众的数据库产品在2006年1月发布了其季度安全补丁包中就修补了多个产品中的80 多个漏洞。其中不少漏洞可以非常容易地被黑客利用。一旦遭到攻击,攻击者可能以DBA的身份进入数据库系统,也可能进入操作系统,下载整个数据库文件。

    为了保护数据库的安全,检测出数据库的漏洞,从而保证数据库系统资料的机密性和完整性,有必要有一套工具来实现对数据库进行检测和安全性评估。数据库安全扫描系统的目标就是:针对主流数据库(Oracle、MSSQLServer)系统进行自动化的检测,以发现数据库中存在的安全风险,并提供可能的修复指导。


    核心技术


    1、弱口令检查。系统内置权威弱口令库,在用户设置口令的时候会提示用户口令的强弱,保证口令的复杂度和强度。
    2、软件漏洞补丁。主动扫描数据库系统漏洞,及时发现未修复的软件漏洞,通知管理员进行更正。
    3、权限分配风险。根据客户的需求或者客户提供的相应权限规定,按照最小权限分配准则检查权限分配情况,出现异常权限会即时报警,通知管理员。
    4、数据库配置风险。定期扫描数据库配置信息,发现不合理的数据库软件配置实时报警,通知管理员。
    5、操作系统相关风险。定期扫描宿主操作系统与数据库相关的配置,发现危险配置实时报警,通知管理员。

    产品特点


    1、权威的弱点规则库。权威数据库安全专家提供最全面、最准确和最新的弱点知识库。

    2、深度的弱点检测。提供对数据库“弱点、不安全配置、弱口令、补丁”深层次安全检测及准确评估。

    3、完备的类型支持。支持业界主流的数据库类型,包括Oracle、MSsql、DB2、Informix、Mysql等。

    4、优异的扫描引擎。扫描引擎确保系统工作时对数据库及服务器性能影响最小化。

    5、灵活的策略管理。策略即数据库检测的依据和标准,策略管理可以灵活制定不同的检测标准,根据用户的实际测试目的,定制不同的策略,并可以自行添加策略项扩充策略库检测数据库的安全漏洞。

    6、IPv6支持。业界首款支持IPv6的专业数据库弱点扫描产品。

    7、定时扫描。定时扫描可以根据计划进行按日定时扫描,按周定时扫描,按月定时扫描。通过定时扫描即使关闭程序UI也可以使得在无人值守的情况下仍然可以进行数据库检测。

    8、漏洞渗透。能模拟黑客对数据库进行渗透攻击,用户可通过一键进行漏洞渗透,清楚认识数据库弱点所带来的安全隐患。

    9、用户管理。产品默认用户分为三类:管理员,审计员和操作员。管理员可以对审计员和操作员进行角色权限分配。审计员可以审计程序运行日志。操作员可以根据自己权限情况进行相应的操作,使用相应的功能。也可以由管理员创建新的角色给予相应的权限。

    10、日志管理。记录该产品运行中的所有操作。提供对这些操作信息的检索、查看等功能。也可将日志信息导出保存为多种格式的文档。

    11、丰富的扫描报告。扫描结果通过灵活的报表呈现给用户,支持各类格式输出,并提供弱点分级、相应加固建议方案以及自定义报表内容。

    12、方便的操作管理。充分考虑国内用户的使用习惯,提供全中文的操作界面,提供向导模式帮助使用者轻松完成扫描项目的配置。

    典型应用


    shujukupinggu