https://cppprod.blob.core.chinacloudapi.cn/prodcontent/D6191_publishers_dbses/dbscan:2Dstd/ff4fc8dc-d185-4728-bc4b-781c4260bc98.png?sv=2014-02-14&sr=b&sig=cCtLviX7XoMt3Ze6%2FRlwP17r41Iqcvx%2BjBGV0ma%2FNaY%3D&se=2021-04-10T06%3A44%3A23Z&sp=r

云数据库漏洞扫描_标准版(DBScan-EnCloud)

安华金和
帮助用户对当前的数据库系统进行自动化安全评估,能有效暴露当前数据库系统的安全问题。
Provider
北京安华金和科技有限公司
Service Contact
王军
Telephone
13702007106

云数据库漏洞扫描_标准版(DBScan-EnCloud)

安华金和

帮助用户对当前的数据库系统进行自动化安全评估,能有效暴露当前数据库系统的安全问题。

1. 安华金和数据库漏洞扫描系统


在您使用微软Azure、带给您方便的触手可及的云计算服务及产品的同时,面对区别于传统IDC的云计算环境,种种新型数据安全问题接踵而至,是否会无所适从?


云数据库信息泄露新闻频频曝光:

担心“上云”安全,久久徘徊于Azure门槛外踌躇不前?

如何评估自己的数据是否安全?

有哪些隐患可能引起数据泄露?

此类问题成为了众多企业用户使用Azure面临的首要挑战,为了解决云端内外企业的疑惑,云数据库漏洞扫描系统应运而生。

图1:为您在Azure的数据库全面体检


安华金和云数据库漏洞扫描系统DBScan-EnCloud是一款对数据库系统进行自动化安全评估的专业软件,能够充分暴露并证明数据库系统的安全漏洞和威胁并提供智能化的修复建议,将企业的数据库安全建设工作由被动的事后追查转变为事前主动预防,将数据库的安全自查由低效的人工方式提升到高效准确的自动检查方式,并以报表的方式呈现给用户,从而帮助用户保持数据库的安全健康状态,实现“防患于未然”,对数据库安全风险进行综合评估。


2. 产品背景


  • 数据库自身漏洞增长迅速、风险不断加剧

主流数据库系统大多功能庞大且结构复杂,在提供强大的数据管理服务能力的同时,也暴露出众多的安全漏洞。

 

图2:主流数据库系统漏洞级别分布图

 

图3:主流数据库系统漏洞总量增长趋势

根据cnnvd的最新统计分析结果表明,在累计报告的45917 条漏洞信息中与主流数据库相关漏洞已达到4900多条,在包括网络、主机、系统、软件漏洞在内的所有安全漏洞中占10%以上,而这一比例在2年前还不足5%;其中, Oracle数据库累计报告的漏洞高达1214条,另一广泛应用的SQL Server数据库漏洞也多达272条,且处于中、高风险的漏洞比例较大并呈现逐年增加,日趋复杂化发展态势。


  • 数据库成为黑客主要攻击目标泄漏源头

根据美国verizon 2009年对2亿8500万次累计攻击行为调查报告表明,数据库成为入侵者最主要的攻击目标,高达76%的数据攻击尝试是针对数据库的;而对常规的网络服务器、应用服务器的攻击仅占到1%和18%。

 

图4:攻击行为分析图

而据另一份verizon就“核心数据是如何丢失的”全面的市场调查,92%以上的数据丢失情况是由于数据库漏洞造成的,数据库安全问题已经到了必须引起高度重视的程度。


  • 数据库的不规范使用引发众多安全隐患

主流数据库应用相当复杂,要进行安全的配置和维护需要具备丰富的经验,随着主流数据库的功能不断扩充,出现的漏洞更加复杂、种类更加繁多,而DBA更多的精力是投入到复杂的日常维护工作中,往往忽略了安全隐患和不正确的安全配置检查,从而导致数据库的安全状况无法得到改善。


  • 数据库安全成为信息安全建设短板

数据库系统是企业最重要的“数字资产”载体,然而我国在过去10年间,在网络安全、主机安全、终端安全等层面投入巨大,但忽视了数据库的安全建设。


传统的安全产品已经日趋完善和成熟,通过传统的攻击方式已无法对信息系统进行有效攻击。当前,入侵者往往采取合法手段绕过外层防护的安全壁垒,转而直接攻击薄弱的数据库内部防护环节,对数据库造成极大威胁。在去年爆发的若干重大数据泄密事件,如:索尼的7000万用户数据泄露、陕西移动1400万用户数据泄露、福建黑客入侵盗走多家三甲医院处方信息、CSDN等诸多大型网站数据泄密等事件,均与数据库的安全漏洞存在重要关系。


3. 产品价值


  • 检测数据库自身存在的漏洞

主流数据库的自身漏洞逐步暴露,数量庞大;仅CVE公布的Oracle漏洞数已达1100多个;DBScan-EnCloud可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。


  • 发现使用过程中造成的安全隐患

据了解,1/2以上的生产业务数据库中都存在默认用户名/默认口令;若干黑客典型攻击手段,仅使用了最常规的数据库安全漏洞。这些攻击都可通过基本的安全配置增强完成防护。DBScan-EnCloud可以检测出在数据库使用过程中,由于疏忽人为造成的诸多安全隐患:低安全配置、弱口令、高危程序代码、权限宽泛等。


  • 提供数据库风险修复建议

对检测出的漏洞,提供漏洞产生的原因分析,针对性地给出修复建议,以及修复漏洞所需的命令、脚本、执行步骤等。