对应上述检测重点来看：

　　一、 检查用户口令复杂度，找出弱口令和配置安全策略;

　　首先要求对数据库弱口令的检测要有充足的弱口令字典和口令算法破解程序，通过能够通过授权和非授权的弱口令扫描方式，实现弱口令的自动化发现，同时提供与口令和缺省账户相关的安全配置项检查和修复建议，如：连续登录的失败次数、登录失败后锁定时间、密码账户的有效期等。

　　二、数据库账户权限设置不当;数据库中多余的运维账户或过期账户未被及时清除;

　　上述这两点要通过检测工具和人工确认共同完成，首先要通过数据库漏扫工具快速发现当前数据库类型都有哪些账户和他们的权限，但是，这些账户只有通过与系统管理员核实，才有可能确定是否属于废弃的运维账户忘记回收了，账户的权限过大，过期账户是否锁定或删除，正确处理这些账户才能防止被黑客恶意提权，利用这些账户篡改和查询敏感信息。

　　三、数据库安全审计功能处于关闭状态;

　　这点和某数据库厂商核实过，从数据库运行性能考虑不推荐开启审计功能，但是数据库的操作必须要有独立的审计日志，在出现非法篡改和数据泄漏的时候，能够追责和定责，而且这些审计数据要符合数据的独立性、完整性和安全性，因此，安华金和建议采用成熟的数据库审计设备来实现数据库操作记录。

　　四、数据库补丁未升级和高、中等级漏洞，如：SQL注入和缓冲区溢出漏洞，带有攻击性，要引起重视。

　　数据库补丁未升级和安全漏洞问题，如果检测出来单纯靠升级数据库补丁的方式来解决，有可能在升级补丁后影响前台应用，建议采用数据库防火墙的虚拟补丁实现网络层的数据库漏洞防护。

　　对于安服人员在实际检测过程中遇到的问题，安华金和数据库安全专家提供如下解决对策：

　　1) 在选择数据库漏扫工具的时候，优先考虑能支持国产数据库类型检测的检查工具;

　　2) 可以采用检测工具自带的离线扫描工具来实现，将离线扫描工具发给被测单位，被测单位在自己网络内的可信计算机运行，采集到检测结果文件后，发回给检测单位生成相应的报告;

　　3) 在没有数据库账户的情况下，就要求数据库漏扫工具通过非授权扫描的功能实现数据库安全检查，非授权扫描通过对数据库版本和缺省数据库账户的探测，同时结合CVE、CNNVD报的数据库高危漏洞，实现非授权扫描报表;

　　4) 在数据库漏扫工具中，加入定时扫描的功能，可以在正常工作时间设定需要扫描的时间，到时就可以自动实现扫描，这样，安服人员就不用常加班了，安服的小伙伴们肯定非常喜欢这个功能;

　　5) 数据库漏扫工具支持等保、分保和行业检查策略定制功能，可以按检测要求事先指定好检查策略集合，然后进行扫描，就可以实现按需要的策略实现检测的功能;

　　6) 数据库漏扫工具能输出xml格式的检查结果，这样的数据就可以按客户方提供的xml样式表显示定制的结果报表，如果客户能采用编程的方式提取xml数据，那将来显示的xml报表就更“贴心”了。

　　4、结束语

　　数据库安全检测是一项复杂、科学严谨的工作，检测人员首先要选择检测结果准确、检测过程方便、适应各种安服条件的自动化数据库漏扫工具，还需要结合测评工作经验和等、分保、行业信息安全政策要求，充分与被测方进行沟通后，才能得出数据库安全测评结果，并提出有效的整改意见。安华金和结合自身数据库安服和数据库漏扫工具研发经验，对安服过程中的问题提出对策，也希望更多的安服小伙伴将自己在工作中的困惑和需求反馈给我们，这片文章希望起到“抛砖引玉”的效果对数据库安全测评工作有实际帮助。