【IT168 技术】本文主要对数据库安全检测的工作重点和常见问题进行分析，安华金和提出高效、正确测评的工作方法和应对措施，为安服人员按等保要求进行数据库安全测评提供帮助。

　　1、背景

　　近年来与数据库相关的信息安全事件频发，政府组织、商业和金融机构在数据库中存储重要的人事信息、交易记录、市场决策信息、商业合同等大量的敏感数据，数据安全成为社会的关注焦点，数据库安全问题不容忽视。

　　安全测评机构、安服团队、集团安全部门在信息安全等级保护要求的指导下，使用专业的仪器设备与人工检测相结合的方式，检测数据库的安全问题，并向被测单位提出有针对性的整改措施，用来扭转数据库安全问题频发的严峻局面，保护和促进信息化的健康发展。

　　目前数据库安全检测的主要类型有Oracle、MySQL、SQL Server、DB2、达梦、人大金仓等，每个类型数据库还可能由于版本不同，数据库缺省账户、安全配置参数等也不同，如：Oracle各版本的缺省账户共有700多个，达梦6和达梦7从连接的端口号到安全配置项都有不同。单纯靠人工很难在短时间内全面、有效、准确的发现数据库的安全问题，借助数据库漏扫工具可以提高安全检查效率。

　　2、检测重点及常见问题

　　做数据库安全检测，一般需要在应用系统不繁忙的时候使用数据库漏扫工具进行自动化的数据库弱点评估，按等保要求主要检测如下几点：

　　1) 检查用户口令复杂度，找出弱口令和配置安全策略;

　　2) 数据库账户权限设置不当;

　　3) 数据库中多余的运维账户或过期账户未被及时清除;

　　4) 数据库安全审计功能处于关闭状态;

　　5) 数据库补丁未升级和高、中等级漏洞，如：SQL注入和缓冲区溢出漏洞，带有攻击性，要引起重视。

　　安华金和经与多家单位安服人员合作与沟通，总结在做数据库安全检测时，经常会遇到的以下几类问题：

　　1) 数据库漏扫工具根本不支持国产数据库的检测，无法快速实现国产数据库安全评估;

　　2) 被测单位不允许检测设备接入到运行的网络环境中，或者必须通过堡垒机(linux操作系统)才能检测数据库;

　　3) 被测单位往往以数据库管理员不在或者不清楚数据库账户为由，不提供检测工具授权扫描需要的管理员账户和密码;

　　4) 通常检测工作需要在应用系统不繁忙的时间进行，如凌晨12点以后;

　　5) 通过数据库漏扫工具检测出来的结果过多，无法从检测报表中找出等保对应的检测项或高中漏洞项;

　　6) 检测报表格式无法达到客户或检测单位的要求，实现定制化报表，满足个性化需求。

　　3、问题分析及解决对策