论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 15 篇帖子 ] 
作者 内容
 文章标题 : 网路游侠:数据库安全方向简析 2009-05-30
帖子发表于 : 2009-05-30 23:31 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2017-06-11 20:54
拥有: 9,375.60 安全币

奖励: 1067 安全币
在线: 5485 点
帖子: 1296
地址: www.youxia.org
发文章,无需积分就可以看,这样够大度吧 呵呵 :)

  =======================================
  数据库安全安全方向简析
  网路游侠 www.youxia.org 更新:2009年05月30日
  =======================================
图片
  ---------------------------------------
  1 数据库加固
  ---------------------------------------
  1.1 人工利用checklist加固
  1.2 脆弱性评估工具辅助
  ---------------------------------------
  2 补丁管理
  ---------------------------------------
  2.1 建议关注TechNet
  2.2 利用MBSA检查
  ---------------------------------------
  3 脆弱性评估
  ---------------------------------------
  3.1 MBSA,免费的,不错!
  3.2 安信通
  3.2.1 数据库安全检查
  3.2.2 数据库渗透测试
  3.3 安恒
  3.3.1 风险管理
  3.3.2 弱点检测与分析
  3.3.3 木马扫描
  3.4 谐润
  3.4.1 数据库检查
  3.4.2 数据库审计
  3.5 绿盟,极光
  3.6 启明星辰,天镜
  3.7 榕基,安拓
  ---------------------------------------
  4 数据库审计
  网路游侠:关于国内数据库审计系统市场的一点分析
  http://www.youxia.org/2008/10/数据库审计系统市场分析。html
  ---------------------------------------
  4.1 产品比较多,请自行选择,或在www.youxia.org搜“数据库审计”
  4.2 不同厂家的产品价格差距较大,请自行询价
  4.3 不同厂家的产品功能差距较大,多数在“网路游侠”博客有介绍
  ---------------------------------------
  5 数据库防火墙 or 数据库墙
  网路游侠2008年就提出了这个概念,实现留给厂家了……
  ---------------------------------------
  6 数据库审计和应用的结合
  6.1 数据库审计和OA帐号的绑定
  6.2 数据库审计和电子病历帐号的绑定
  6.3 其它……
  ---------------------------------------
  7 数据库与PKI/CA的结合
  ---------------------------------------
  8 国外产品不说了,代表厂商Imperva,也可以在我博客搜


--------本帖迄今已累计获得30安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-01 10:21 
离线
版主

注册: 2008-05-20 10:40
最近: 2015-07-20 17:49
拥有: 77.50 安全币

奖励: 198 安全币
在线: 2135 点
帖子: 117
从实际接触到的若干数据库系统来看,大部分连最基本的帐户和权限管理都还没有做好.

同时很多数据库安全扫描产品,其实是针对数据库所支撑的应用的,也就是发掘应用输入过滤没有做好等问题.

数据库有关的安全服务,很多人甚至都不了解数据库基本管理知识,就拿着CHECKLIST给人家进行检查.

部分DBA忙于日常检查\变更\报错解决\调优等工作,部分安全人员本身不太了解数据库管理系统,导致实际的工作效果相当一般.

根据以上情况,个人以为数据库安全在我国还处在一个非常初级的阶段.好不容易出现了不错的技术,结果干了几年过了30,可能就转管理了.尴尬.


--------本帖迄今已累计获得46安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-01 12:51 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2017-06-11 20:54
拥有: 9,375.60 安全币

奖励: 1067 安全币
在线: 5485 点
帖子: 1296
地址: www.youxia.org
是的

在很多地方遇到的是密码问题

有的是用户用sa、sa,有的是sa和空密码

有的是密码111、123、123456、111111这样的

业务系统、财务系统……都存在这一的情况

至于说账户权限,在很多用户这里是扯淡。


--------本帖迄今已累计获得31安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-03 18:48 
离线
高级用户

注册: 2008-11-24 19:39
最近: 2017-09-07 15:08
拥有: 15.00 安全币

奖励: 515 安全币
在线: 841 点
帖子: 164
弱口令确实是一大问题 ,我自己现在依然使用弱口令 - -!


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-05 00:15 
离线
版主

注册: 2008-05-20 10:40
最近: 2015-07-20 17:49
拥有: 77.50 安全币

奖励: 198 安全币
在线: 2135 点
帖子: 117
rchcln 写道:
弱口令确实是一大问题 ,我自己现在依然使用弱口令 - -!


论坛里不光是你,在某次并无恶意的恶作剧中发现论坛还有大公司的专家在用。

如果资产价值非常小的话,安全事件发生的后果比较小,安全风险也不会太大。

所以,很多人明知某些行为会增加资产对应的脆弱性,也还是选择了弱口令,图个方便。

这也许不过是在 安全性和易用性之间自己找的一个平衡点。


==========
偶的八股文说的越来越熟练了


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-05 09:09 
离线
新手

注册: 2009-06-02 15:24
最近: 2009-06-05 16:39
拥有: 0.00 安全币

奖励: 0 安全币
在线: 111 点
帖子: 6
数据库安全评估的标准是什么?
很多数据库本身有审计功能,为什么要用专门的审计产品呢?


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-05 09:18 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2017-06-11 20:54
拥有: 9,375.60 安全币

奖励: 1067 安全币
在线: 5485 点
帖子: 1296
地址: www.youxia.org
tsh_hyl 写道:
数据库安全评估的标准是什么?
很多数据库本身有审计功能,为什么要用专门的审计产品呢?

1、配置难易程度,相信绝大多数用户不好配置
2、环境的复杂程度,如上百台数据库服务器,包括Oracle、MS SQL、DB/2……监控复杂
3、功能上,有的产品可以和应用结合,数据库自身的做不到


--------本帖迄今已累计获得27安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-05 10:00 
离线
版主

注册: 2008-05-20 10:40
最近: 2015-07-20 17:49
拥有: 77.50 安全币

奖励: 198 安全币
在线: 2135 点
帖子: 117
tsh_hyl 写道:
数据库安全评估的标准是什么?
很多数据库本身有审计功能,为什么要用专门的审计产品呢?

在某次SOX审计的时候,要求对DBA本身的操作进行审计.如果没有第三方的审计产品,这个很难实现.

同时,对ORACLE来说,开启自身的审计,可能会影响性能,所以很多DBA,除非为了解决异常,一般开启少部分或不开启审计功能.

但对有些在数据库所在主机以外的,通过交换机镜象监控网络通讯数据库审计产品,就不会出现影响数据库所在主机性能的问题.

同时很多数据库审计产品的功能,容易管理的程度,日志内容的表现形式,的确比数据库本身的要好得多.


--------本帖迄今已累计获得37安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-05 11:33 
离线
超级用户

关注按钮

注册: 2007-12-24 16:24
最近: 2013-11-19 11:05
拥有: 3,163.50 安全币

奖励: 2201 安全币
在线: 2538 点
帖子: 511
地址: 北京
学习了一下。
请教个问题,对于数据库的审计来说,目前在实际项目中,使用堡垒方式的审计和访问控制的应用场景有多少呢,相对采用旁路镜像方式来说,占比例有多少?
两种方式各有优缺点,不太清楚实际项目的应用情况


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-05 12:23 
离线
版主

注册: 2008-05-20 10:40
最近: 2015-07-20 17:49
拥有: 77.50 安全币

奖励: 198 安全币
在线: 2135 点
帖子: 117
yanbinjia 写道:
学习了一下。
请教个问题,对于数据库的审计来说,目前在实际项目中,使用堡垒方式的审计和访问控制的应用场景有多少呢,相对采用旁路镜像方式来说,占比例有多少?
两种方式各有优缺点,不太清楚实际项目的应用情况


我个人所接触过的数据库系统,开启审计的不多,购买第三方产品的更少.

很多人员对审计日志的分析能力有限.这些信息和我接触的范围有关,不能说明整体的情况,也不能确定相关的比例.

当然很多企业或组织数据库管理工作,做得非常出色,如:alibaba.而且有很多大师级的人物.

上面已经描述,目前很多对数据库的安全管理,还停留在初级阶段.


--------本帖迄今已累计获得37安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-05 13:02 
离线
中级用户

注册: 2008-10-28 11:45
最近: 2012-06-25 17:45
拥有: 1,895.60 安全币

奖励: 471 安全币
在线: 1150 点
帖子: 121
yanbinjia 写道:
学习了一下。
请教个问题,对于数据库的审计来说,目前在实际项目中,使用堡垒方式的审计和访问控制的应用场景有多少呢,相对采用旁路镜像方式来说,占比例有多少?
两种方式各有优缺点,不太清楚实际项目的应用情况


从目前市场上审计产品来看,有三种部署方式:
第一种是旁路镜像:这种部署模式由于不影响应用,也不改变网络结构,因此是目前最主流的部署方式。绝大部分产品都采用此方式。
第二种是串接部署:即透明串接在数据库服务器之前,当然,由于串接部署,一是改变了网络结构,二是会存在单点故障的可能性。所以核心业务系统的数据库是不会采用这种方式的。
第三种是堡垒主机:这种方式主要是为了解决诸如SSH、RDP等加密或私有协议的;而且应用环境比较单一,主要是针对运维环境进行审计控制。

就本人使用过的产品来看,只有Imperva的DXG既支持透明桥接方式,也支持旁路镜像方式。当然,在透明桥接的不是方式中,除了审计功能外,还具备了数据库防护的功能,即楼主所说的数据库防火墙。

而诸如帕拉丁等公司的堡垒主机审计产品,则主要针对命令行的审计,对数据库是不支持的。


--------本帖迄今已累计获得46安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-05 15:09 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2017-06-11 20:54
拥有: 9,375.60 安全币

奖励: 1067 安全币
在线: 5485 点
帖子: 1296
地址: www.youxia.org
sixthinking 写道:
yanbinjia 写道:
学习了一下。
请教个问题,对于数据库的审计来说,目前在实际项目中,使用堡垒方式的审计和访问控制的应用场景有多少呢,相对采用旁路镜像方式来说,占比例有多少?
两种方式各有优缺点,不太清楚实际项目的应用情况


从目前市场上审计产品来看,有三种部署方式:
第一种是旁路镜像:这种部署模式由于不影响应用,也不改变网络结构,因此是目前最主流的部署方式。绝大部分产品都采用此方式。
第二种是串接部署:即透明串接在数据库服务器之前,当然,由于串接部署,一是改变了网络结构,二是会存在单点故障的可能性。所以核心业务系统的数据库是不会采用这种方式的。
第三种是堡垒主机:这种方式主要是为了解决诸如SSH、RDP等加密或私有协议的;而且应用环境比较单一,主要是针对运维环境进行审计控制。

就本人使用过的产品来看,只有Imperva的DXG既支持透明桥接方式,也支持旁路镜像方式。当然,在透明桥接的不是方式中,除了审计功能外,还具备了数据库防护的功能,即楼主所说的数据库防火墙。

而诸如帕拉丁等公司的堡垒主机审计产品,则主要针对命令行的审计,对数据库是不支持的。


是的,现在的数据库一般都是旁路的
透明桥的方式实际上是不错的,但是产品很少
数据库防火墙现在国内貌似还没有
堡垒主机类的,只能实现数据库审计的一小部分功能
全面具体的还得依靠数据包的全面、深入分析。


--------本帖迄今已累计获得24安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-23 09:25 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2017-06-11 20:54
拥有: 9,375.60 安全币

奖励: 1067 安全币
在线: 5485 点
帖子: 1296
地址: www.youxia.org
昨天确认,帕拉迪的数据库审计有单独的一款针对网络抓包的,而不是堡垒主机,旁路的这一款是支持所有的数据库流量审计的。
回头仔细看看…… 呵呵


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-03 17:53 
离线
新手

注册: 2009-04-11 19:02
最近: 2012-11-21 13:30
拥有: 54.00 安全币

奖励: 1 安全币
在线: 308 点
帖子: 12
地址: Guangzhou
rchcln 写道:
弱口令确实是一大问题 ,我自己现在依然使用弱口令 - -!

深同感受啊,现在我们自己的公司有好久个数据库,除了总部的ERP的口令是符合安全要求的外,其他的数据库都是弱口令。感觉企业内部的IT人员普遍对数据库了解不多,算上我自己。 :D


--------本帖迄今已累计获得25安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 网路游侠:数据库安全方向简析 2009-05-30
帖子发表于 : 2010-12-08 22:10 
离线
高级用户

注册: 2005-08-05 09:13
最近: 2016-01-19 10:14
拥有: 3,026.00 安全币

奖励: 1456 安全币
在线: 3288 点
帖子: 216
地址: blog.sina.com.cn/anthonis
透明模式是好,但要避免单点故障!Imperva独特的“故障释放”技术使得在只有单台Imperva设备时,即使设备发生故障也不会造成所服务的业务系统的中断。这也是许多大型企业的关键数据库应用系统选用Imperva的重要原因吧。

数据库防火墙的思路来自WEB应用防火墙吧?也许将来还真有可能有这类产品!


回到顶部
  用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 15 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012