本發明涉及一種數據庫安全評估方法，屬于數據庫安全技術領域。該方法中包括以下幾個模塊：（1）信息收集模塊；（2）審計模塊；（3）滲透測試模塊；（4）痕跡處理模塊；（5）評估模塊；（6）系統控制模塊。該模塊采用可編程控制器實現，與其余模塊相連接，控制各個模塊的運作和數據傳輸。本發明針對一些商用漏洞掃描工具在實際應用中存在隱藏測試結果的問題，可以提供具有可靠性和安全性的數據庫安全評估報告，并強調數據庫當前存在的漏洞風險等級，直觀地讓數據庫管理員了解數據庫當前面臨的安全問題，完善了安全策略，降低了安全風險。

技術領域

本發明涉及一種數據庫安全評估方法，利用掃描到的數據庫漏洞對其進行模擬攻擊，提供具有安全性和可靠性的評估報告，屬于數據庫安全技術領域。

背景技術

隨著數據庫應用的逐漸廣泛，數據庫安全問題備受關注。現如今，數據庫通常存在的漏洞有口令復雜度低、低安全設置級別、啟動不必要的數據庫功能、數據泄露、緩沖區溢出等。這些安全漏洞和不恰當配置通常會帶來嚴重的后果。

由于現階段缺乏數據庫安全評估工具，漏洞風險等級不斷提升，數據庫管理員無法及時發現數據庫面臨的安全問題。滲透測試完全模擬黑客的入侵和攻擊手段，利用數據庫存在的安全漏洞，在可控制和非破壞性的范圍之內，對數據庫進行模擬攻擊，能夠讓管理員直觀地知道數據庫存在的安全漏洞。

一般常用的數據庫滲透測試工具有DSQLTools(SQL注入工具)、nbsi3.0(MSS-QL注入工具)、mysqlweak(Mysql數據庫弱口令掃描器)、pangolin(數據庫注入工具)、db2utils(DB2漏洞利用工具)、oscanner(Oracle掃描工具)、oracle_chec-kpwd_big(Oracle弱口令猜解工具)等，但這些商用的漏洞掃描工具在實際應用中存在隱藏測試結果的問題，若無法對某種漏洞進行測試，無法了解存在漏洞的風險等級，數據庫管理員會誤以為數據庫是安全的，可實際上卻存在安全隱患。所以，提供具有可靠性和安全性的評估報告和漏洞風險等級是保證數據庫管理員及時了解數據庫是否安全的必要基礎。

發明內容

本發明的目的在于利用掃描到的數據庫漏洞對其進行非破壞性質的滲透測試，提供最具有安全性和可靠性的評估報告，強調數據庫當前存在的漏洞風險等級，及時提醒數據庫管理員完善安全策略，降低安全風險。

為了實現上述目的，本發明的技術方案如下。

一種數據庫安全評估方法，包括以下幾個模塊：

（1）信息收集模塊：主要對目標任務軟硬件環境、用戶設置、拓撲情況、應用情況有一個基本的了解，為更深入地進行滲透測試提供資料，可以有針對性地制定出滲透測試方案；

利用信息收集模塊收集數據庫端口掃描，賬號掃描，口令、權限結構、版本信息、配置選項等基本信息。通過信息收集，可以基本確定一個數據庫的基本信息和它可能存在以及被利用的安全弱點或易被猜解的口令，為進行深層次的滲透提供依據。

（2）審計模塊：對數據庫進行審計工作，精確地監控所有訪問及操作請求；數據庫審計模塊實時監控數據庫活動，將網絡與網關相連，監聽網絡上的數據包，讀取包體信息，將包體信息連同捕獲的接收時間、發送端IP和接收端IP、庫、表、函數等重要信息字段連同SQL操作命令保存至對應的數據庫表中，同時記錄這些SQL操作是否成功。

（3）滲透測試模塊：模擬黑客使用的攻擊技術，針對分析出的數據庫漏洞進行深入的探測，讓管理員知道數據庫最脆弱的環節；進行滲透測試的數據庫應用系統為MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等。

其中，滲透測試模塊包括以下步驟：