明鉴数据库弱点扫描器产品白皮书.doc

数据库弱点扫描器产品白皮书明鉴 数据库弱点扫描器（DAS-DBScan）产品白皮书杭州安恒信息技术有限公司版权申明本文档包含了来自杭州安恒信息技术有限公司机密的技术和商业信息，提供给杭州安恒信息技术有限公司的客户或合作伙伴使用。接受本文档表示同意对其内容保密并且未经杭州安恒信息技术有限公司书面认可，不得复制、泄露或散布本文档的全部或部分内容。本文档及其描述的产品受有关法律的版权保护，对本文档内容的任何形式的非法复制，泄露或散布，将导致相应的法律责任。杭州安恒信息技术有限公司保留在不另行通知的情况下修改本文档的权利，并保留对本文档内容的解释权。This document contains confidential technical and commercial information from Hangzhou Anheng Info & Tech Co.Ltd. No part of it may be reproduced or transmitted in any form or means without the permission of Hangzhou Anheng Info & Tech Co.Ltd. This document and the product it describes are protected by copyright according to the applicable laws.The information in this document is subject to change without notice and describes only the product defined in the introduction of this documentation. Hangzhou Anheng Info & Tech Co.Ltd will, if necessary, explain issues, which may not be covered by the document.Anheng logo is a registered trademark of Hangzhou Anheng Info & Tech Co.Ltd. The other product names mentioned in this document may be trademarks of their respective companies, and they are mentioned for identification purposes only. Copyright 2007 Hangzhou Anheng Info & Tech Co.Ltd. All rights reserved.目录（CONTENTS）一、数据库弱点扫描器的需求及目标3二、产品概述5三、主要功能63.1基线管理63.2弱点检查73.3补丁检查73.4弱口令检查83.5扫描报告83.6扫描日志管理83.7扫描模式9四、产品特点104.1创新的数据库安全理念104.2全方位的安全剖析104.3世界权威的Oracle弱点库114.4独一无二的数据库木马检测能力124.5高性能的数据库连接及扫描引擎134.6资源优势14五、典型用户15一、 数据库弱点扫描器的需求及目标数据库是电子商务、金融以及ERP系统的基础，通常都保存着重要的商业伙伴和客户信息。大多数企业、组织以及政府部门的电子数据都保存在各种数据库中，这些重要、敏感数据主要包括以下信息： 个人资料：比如员工薪水、个人资料等等； 敏感的金融数据：比如交易记录、商业事务和帐号数据； 战略上的或者专业的信息：比如专利和工程数据； 市场计划：促销策略、客户资料等等所有这些数据都需要被保护起，来防止竞争者和其他非法者获取。目前，针对应用及其后台数据库的应用级入侵已经变得越来越猖獗，如SQL注入、跨站点脚本攻击和未经授权的用户访问等。所有这些入侵都有可能绕过前台安全系统并对数据来源发起攻击。随着计算机的普及以及网络的发展，数据库已经不再仅仅是那些程序员所专有的话题。Oracle数据库更是凭借其性能卓越、操作方便灵活的特点，在数据库的市场中已经占据了一席之地。或许很久以前，大家都觉得Oracle数据库的安全并不存在隐患，但是随着各国安全专家先后提出了一些针对Oracle数据库的安全漏洞后，所有使用Oracle公司产品的人都不由地紧张了原本松弛的大脑对于用户来说，毕竟是关系到了“身家性命”。综上所述，数据完整性和合法存取会受到很多方面的安全威胁，包括密码策略、系统后门、数据库操作以及本身的安全方案。安恒信息技术的数据库弱点扫描器的产品研发主要是基于上述的市场需求下进行的。杭州安恒信息技术有限公司在对国内外安全产品现状、数据库安全形势、目前流行的攻击技术深入分析的基础上，研发了明鉴数据库弱点扫描器（DAS-DBScan），其主要目标是： 实现定期的数据库系统安全自我检测与评估：通过数据库弱点扫描器，数据库管理人员可以定期的进行数据库安全检测服务，安全检测可帮助客户最大可能的消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效的利用已有系统，优化资源，提高数据库的运行效率。 提供数据库的安全系统建设方案和建设成效评估：在数据库建设或改造过程中，必须建立整体的安全规划，在可以容忍的风险级别和可以接受的成本之间，取得恰当的平衡，在多种多样的安全产品和技术之间做出取舍，DAS-DBScan可以让用户方便地进行安全规划评估和成效检验。 完成数据库承担重要任务前的安全性测试：随着企业安全意识的提升，无论是技术上、管理上都会加强对数据库安全的重视，因此，数据库在承担重要任务前需要采取主动防止措施，防患于未然。利用DAS-DBScan 可以方便地进行安全性测试，最终把出现事故的概率降到最低。 协助数据库安全事故后的分析调查与追踪：数据库安全事件发生后，通过DAS-DBScan可以对数据库进入分析，确定数据库被攻击的漏洞所在，帮助弥补漏洞，尽可能地提供资料方便调查攻击的来源。二、 产品概述明鉴数据库弱点扫描器是杭州安恒信息技术有限公司在深入分析研究数据库典型安全漏洞以及流行的攻击技术基础上，研制开发的一款数据库安全评估工具。是安恒自主知识产权的、专门用于扫描数据库风险的软件产品，能够扫描几百种不当的数据库不安全配置或者潜在弱点，并且具有强大的发现弱口令功能。同时也是目前全球唯一一款有效发现数据库潜在木马的扫描器产品。选择DAS-DBScan的五大理由： 灵活性n 支持本地扫描、远程扫描两种工作模式；n 提供“图形界面手工输入、图形界面文件导入、命令行”三种配置方式； 高可靠和扩展性n 采用了框架设计结构，所有的配置文件均采用XML描述语言进行描述和配置，可以在不用改动程序代码的前提下，进行无限扩展；n 基于国际CVE标准建立安全漏洞库，丰富的漏洞检查列表，并将及时发现最新的漏洞加入到安全漏洞库中；n 扫描结果报告格式可以根据需要灵活自定义； 技术前瞻性n 目前世界上唯一一款能够有效发现数据库潜在木马的扫描工具；n 权威性的、完整的、中/英双语弱点库； 平台无关性n 可同时运行于Linux、Windows及主流的UNIX操作系统环境；n 支持ORACLE、Sql Server等主流数据库； 易用性n 提供Role-Based快速扫描模式，操作者可以灵活选择；n 国际化支持：整体架构上支持操作界面、提示信息的多语言展现，目前主要支持英文、中文，未来可以扩展支持德文、日文等等；n 弱点库自动更新机制；三、 主要功能DAS-DBScan的研发，其主要目标是： 发现不安全的数据库安装和配置； 发现数据库弱口令； 发现数据库的变化或潜藏木马； 发现数据库弱点和补丁的层次；从而在此基础上形成一个综合的分析报告及修复建议。DAS-DBScan的功能模块划分如下图： 安全扫描模块：是DAS-DBScan的核心，主要是根据事先定义的弱点库、补丁信息库，完成对数据库的配置信息、口令强弱、补丁安装、表结构变化等进行检查； 评估报告管理模块：负责扫描结果的入库、导入/导出、报表格式的自定义及灵活的报表展现； 基础管理模块：主要是负责数据库连接的配置、弱点库的自动升级、明鉴应用弱点扫描器软件版本的自动升级； 自身安全模块：负责对使用DAS-DBScan的操作员身份、允许使用的功能点、相关扫描策略及配置文件的完整性、软件使用的合法性实施有效的控制；3.1 基线管理基线是通常是指项目中每个软件版本在特定时期的一个“快照”。它提供一个正式标准，随后的工作基于此标准，并且只有经过授权后才能变更这个标准。建立一个初始基线后，以后每次对其进行的变更都将记录为一个差值，直到建成下一个基线。DAS-DBScan在第一次使用时，即可为目标数据库建立一个基线，记录数据库的结构和对象；当再次使用DAS-DBScan对目标数据库进行漏洞扫描时，DAS-DBScan将根据本次扫描所产生的快照与此前所创建的基线相对比，展现数据库结构和对象的变更情况，便于数据库管理员发现数据库木马等潜在风险。 基本创建：基线是数据库扫描的一个基准，在初次使用DAS-DBScan时，务必先生成一个数据库的基线。数据库基线创建的结果是生成一个数据库结构的指纹文件。 基线扫描：根据当前数据库结构生成新的指纹文件，与事先设置的基线文件进行比较，从而得出数据库结构的变化。3.2 弱点检查弱点检查的前提是必须有一个有效、全面的弱点库。DAS-DBScan的弱点库是安恒信息数据库专家团队，积累数年对数据库安全研究的基础上创建的，主要包括数据库自身程序存在的安全漏洞和不安全的配置两个方面。DAS-DBScan的弱点检查分为以下两个层面： 弱点检测：根据当前配置的弱点库，对扫描数据库进行扫描，判断是否存在相应的弱点，比如：存在非缺省的DBA用户，Connect角色有Create View的权限等； 弱点分析：对于已经发现的弱点进行深入分析，获取相应弱点的实体对象名称。比如：test1、systest1是非缺省的DBA用户；3.3 补丁检查通过对数据库所有的Patch进行全面的归纳、整理，从而形成PATCH.XML文件，通过该文件对当前数据库的补丁加载情况进行检测，判断当前数据库是否需要进行补丁升级。DAS-DBScan的补丁检查与其他同类产品的主要区别在于： DAS-DBScan：是根据PATCH.XML扫描数据库当前的软件本版及扫描对象的实际安装包信息，来判断是否存在需要安装、而未及时安装的补丁软件。 其他同类产品：仅根据扫描数据库的当前软件版本来判断是否需要安装相应的补丁软件；3.4 弱口令检查DAS-DBScan通过对数据库的口令的存在形式（明文/MD5加密/HASH）、可能的存储地址（数据库表、历史文件、环境变量、配置文件、客户端）、口令的算法（允许的长度、HASH生成规则）等进行深入的分析，生成其特有的口令字典。根据已经存在的口令字典完成： 数据库默认账号的识别； 数据库登陆账号长度较短、强度不高的弱口令的识别；DAS-DBScan内置的口令字典支持用户自定义设置，用户可按需增加、删除或修改口令字典。3.5 扫描报告对于某个数据库进行弱点扫描后，DAS-DBScan生成的扫描报告如下图所示：3.6 扫描日志管理DAS-DBScan提供扫描日志查看、日志导入、日志备份、日志清空等功能。3.7 扫描模式DAS-DBScan同时支持“定时扫描、自动扫描”两种工作模式。四、 产品特点4.1 创新的数据库安全理念数据库的安全，不仅仅发生在数据库本身，因此，要确保数据库的安全，必须从数据库运行的整体环境去考虑。涉及数据库安全的环境包括： 操作系统 数据库 客户端应用 应用服务器 应用 DBA/开发人员的工作终端 其他相关人员的工作终端通常以下场景会成为数据库遭受攻击的突破口： TNS Listener external tables security vulnerability exists in Apache Webserver (OHS) Default passwordsn sqlplus dbsnmp/dbsnmp Works in many Oracle databasesn sqlplus scott/tigerWorks in many test Oracle databases and allows to become DBAn sqlplus system/manager Different Oracle Clients：SQL*PLUS、TOAD、SQLNavigator、 . Sort Area Size Oracle Lite Access to sensitive data via HLDB The Import-utility杭州安恒信息技术有限公司 第 15 页 共 16 页 0571-288609994.2 全方位的安全剖析通过应用服务器访问数据库的典型结构如下图：（以Oracle数据库为例） 多层次SQL注入剖析： 多种Oracle Listener的安全检测：参照上述基本结构，安恒的DAS-DBScan产品全面分析了每种Listener的组成、工作模式、存在的安全隐患（比如：暴露SID、LOG文件中数据库信息的泄密、缓冲区溢出等）、Listener本身的安全漏洞等，在基础上形成了特有的Listener安全配置建议及检测规则。4.3 世界权威的Oracle弱点库DAS-DBScan最大的优势就是他的弱点库，概括起来有以下特色： 弱点库的来源：凝聚了安恒首席科学家、世界顶级数据库安全专家多年来的经验积累； 弱点库的全面性：在综合分析了数据库的结构、安装目录、文件系统、用户/角色、缺省配置、客户端工具、数据库连接方式、日志形成、不同时期软件版本的feature等等基础上，形成了覆盖从View、Log、Listener、Password、PLSQL-Programming、PLSQL Souce Code、Patches等全方位的弱点检查规则。 弱点库的标准性：所有的漏洞命名均采用CVE的标准，及时与CVE关联，有利于未来的扩展； 弱点库的可用性：针对每个弱点提供相应的解决方案及修复建议，同时提供弱点库的自动更新机制；4.4 独一无二的数据库木马检测能力数据库与操作系统在结构是十分相似，他们都包含： Users Processes Jobs Executable Symbolic Links 我们可以简单地认为：数据库是一种特殊的操作系统，因此，操作系统所存在的病毒、RootKit都可以被移植到数据库中，如下图所示：病毒的危害性众所周知，而黑客安装RootKit的目的是隐藏其在被攻击的主机上的踪迹，因此RootKit往往更难于被发现，致使RootKit 的“杀伤力”更强。数据库RootKit演进历程如下图所示： 由此可见，随着攻击技术的不断发展，病毒或木马的检测难度随之剧增。DAS-DBScan的研发者凭借其丰富的数据库安全经验、深厚的技术底蕴，通过对数据库对象、二进制文件等等的比较，使得DAS-DBScan成为目前世界