[发明专利]数据库安全评估方法

说明书

本发明涉及一种数据库安全评估方法，属于数据库安全技术领域。该方法中包括以下几个模块：（1）信息收集模块；（2）审计模块；（3）渗透测试模块；（4）痕迹处理模块；（5）评估模块；（6）系统控制模块。该模块采用可编程控制器实现，与其余模块相连接，控制各个模块的运作和数据传输。本发明针对一些商用漏洞扫描工具在实际应用中存在隐藏测试结果的问题，可以提供具有可靠性和安全性的数据库安全评估报告，并强调数据库当前存在的漏洞风险等级，直观地让数据库管理员了解数据库当前面临的安全问题，完善了安全策略，降低了安全风险。

技术领域

本发明涉及一种数据库安全评估方法，利用扫描到的数据库漏洞对其进行模拟攻击，提供具有安全性和可靠性的评估报告，属于数据库安全技术领域。

背景技术

随着数据库应用的逐渐广泛，数据库安全问题备受关注。现如今，数据库通常存在的漏洞有口令复杂度低、低安全设置级别、启动不必要的数据库功能、数据泄露、缓冲区溢出等。这些安全漏洞和不恰当配置通常会带来严重的后果。

由于现阶段缺乏数据库安全评估工具，漏洞风险等级不断提升，数据库管理员无法及时发现数据库面临的安全问题。渗透测试完全模拟黑客的入侵和攻击手段，利用数据库存在的安全漏洞，在可控制和非破坏性的范围之内，对数据库进行模拟攻击，能够让管理员直观地知道数据库存在的安全漏洞。

一般常用的数据库渗透测试工具有DSQLTools(SQL注入工具)、nbsi3.0(MSS-QL注入工具)、mysqlweak(Mysql数据库弱口令扫描器)、pangolin(数据库注入工具)、db2utils(DB2漏洞利用工具)、oscanner(Oracle扫描工具)、oracle_chec-kpwd_big(Oracle弱口令猜解工具)等，但这些商用的漏洞扫描工具在实际应用中存在隐藏测试结果的问题，若无法对某种漏洞进行测试，无法了解存在漏洞的风险等级，数据库管理员会误以为数据库是安全的，可实际上却存在安全隐患。所以，提供具有可靠性和安全性的评估报告和漏洞风险等级是保证数据库管理员及时了解数据库是否安全的必要基础。

发明内容

本发明的目的在于利用扫描到的数据库漏洞对其进行非破坏性质的渗透测试，提供最具有安全性和可靠性的评估报告，强调数据库当前存在的漏洞风险等级，及时提醒数据库管理员完善安全策略，降低安全风险。

为了实现上述目的，本发明的技术方案如下。

一种数据库安全评估方法，包括以下几个模块：

（1）信息收集模块：主要对目标任务软硬件环境、用户设置、拓扑情况、应用情况有一个基本的了解，为更深入地进行渗透测试提供资料，可以有针对性地制定出渗透测试方案；

利用信息收集模块收集数据库端口扫描，账号扫描，口令、权限结构、版本信息、配置选项等基本信息。通过信息收集，可以基本确定一个数据库的基本信息和它可能存在以及被利用的安全弱点或易被猜解的口令，为进行深层次的渗透提供依据。

（2）审计模块：对数据库进行审计工作，精确地监控所有访问及操作请求；数据库审计模块实时监控数据库活动，将网络与网关相连，监听网络上的数据包，读取包体信息，将包体信息连同捕获的接收时间、发送端IP和接收端IP、库、表、函数等重要信息字段连同SQL操作命令保存至对应的数据库表中，同时记录这些SQL操作是否成功。

（3）渗透测试模块：模拟黑客使用的攻击技术，针对分析出的数据库漏洞进行深入的探测，让管理员知道数据库最脆弱的环节；进行渗透测试的数据库应用系统为MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等。

其中，渗透测试模块包括以下步骤：