[发明专利]数据库安全风险评估系统

说明书

本发明公开了一种数据库安全风险评估系统，包括：风险评估引擎、服务器端SQL异常风险评估模块、内网节点SQL异常风险评估模块、基本风险评估模块、漏洞库和历史评估记录模块，风险评估引擎用于调度服务器端SQL异常风险评估模块、内网节点SQL异常风险评估模块和基本风险评估模块，分别执行首轮的服务器端SQL异常风险评估、次轮的内网节点SQL异常风险评估和末轮的基本风险评估，漏洞库，用于存储已知数据库漏洞，以及web服务器漏洞，历史评估记录模块，用于存储评估历史记录数据；本发明对数据库安全风险的评估更全面和客观。

技术领域

本发明涉及网络空间安全技术领域，特别是一种数据库安全风险评估系统。

背景技术

数据库是当前各类网络应用系统的核心组成部分，记录着系统内的关键业务数据。然而，针对数据库的各类已知和未知攻击层出不穷，严重威胁网络数据库信息系统安全。当前，数据库通常存在的脆弱点有：数据库系统未知漏洞，或尚未修复的已知漏洞，用户和系统管理员弱口令、SQL注入攻击、服务器主机安全漏洞、内网安全威胁、不恰当的数据库配置等。这些安全脆弱点通常会带来严重的安全风险。

当前，广泛采用的数据库安全检查工具，如OScanner、Scuba、BSQL Hacker、DAS-DBAuditor等能够对各种数据库进行脆弱性分析，检测数据库中的安全漏洞和配置缺陷，构建攻击流量对数据库安全进行渗透测试，为数据库安全分析提供了帮助。

然而，现阶段的数据库安全评估工具，通常基于数据库系统当前存在的已知漏洞，SQL注入语句检查，系统配置选项分析，日志告警分析等进行指标打分、融合形成评估结果。对数据库系统的操作异常和来自内网的安全威胁缺乏分析，仅依据各项已知威胁指标进行数据库风险评估，通过给定的评分指标体系或算法对数据库安全风险给出量化评估结果。

因此传统数据库评估具有片面性，难以对网络数据库系统面临的内、外部各类安全威胁进行全面分析和风险评估，具体体现在：

1）传统的数据库安全风险评估系统依赖于已知的安全漏洞，SQL注入特征，错误配置选项等先验知识对目标数据库系统的安全风险进行评估，在先验知识缺乏的情况下，难以对数据库系统潜在的未知安全风险进行评估；

2）传统的风险评估过程仅针对待评估的目标系统当前自身存在的脆弱性漏洞，日志警报分析，口令测试结果等指标依据预定的打分标准进行打分并融合出最终的分值，忽略了来自网络数据库系统内部网络的安全威胁对当前数据库安全风险的影响，导致评估结果存在片面性；

3）传统的数据库安全风险评估模型缺乏自学习、自适应能力，采用统一、固定的检测模型对所有目标系统进行风险评估，难以根据数据库系统自身的应用环境变化情况进行动态调节。

发明内容

为解决现有技术中存在的问题，本发明的目的是提供一种数据库安全风险评估系统，本发明对数据库安全风险的评估更全面和客观。

为实现上述目的，本发明采用的技术方案是：一种数据库安全风险评估系统，包括：

风险评估引擎，用于调度服务器端SQL异常风险评估模块、内网节点SQL异常风险评估模块和基本风险评估模块，分别执行首轮的服务器端SQL异常风险评估、次轮的内网节点SQL异常风险评估和末轮的基本风险评估；

服务器端SQL异常风险评估模块，用于对本轮检测周期内，日志记录保存的数据库服务器执行的SQL命令进行异常检测，完成服务器端SQL异常风险评估；

内网节点SQL异常风险评估模块，用于对本轮检测周期内，收集到的客户端数据库SQL操作行为进行异常检测，完成内网节点SQL异常风险评估；

基本风险评估模块，利用漏洞扫描、日志分析、SQL注入检查、弱口令测试、数据库配置的标准测评结果，完成基本风险评估；

漏洞库，用于存储已知数据库漏洞，以及web服务器漏洞；