數(shù)據(jù)庫(kù)安全技術(shù)中的數(shù)據(jù)庫(kù)漏洞掃描技術(shù)是專門對(duì)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行自動(dòng)化安全評(píng)估的專業(yè)技術(shù)，通過(guò)數(shù)據(jù)庫(kù)漏洞掃描能夠有效的評(píng)估數(shù)據(jù)庫(kù)系統(tǒng)的安全漏洞和威脅并提供修復(fù)建議。其主要價(jià)值有：

發(fā)現(xiàn)外部黑客攻擊漏洞，防止外部攻擊：實(shí)現(xiàn)非授權(quán)的從外到內(nèi)的檢測(cè)；模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)，在沒(méi)有授權(quán)的情況下，對(duì)目標(biāo)數(shù)據(jù)庫(kù)的安全性作深入的探測(cè)分析；收集外部人員可以利用的數(shù)據(jù)庫(kù)漏洞的詳細(xì)信息。

分析內(nèi)部不安全配置，防止越權(quán)訪問(wèn)：通過(guò)只讀賬戶，實(shí)現(xiàn)由內(nèi)到外的檢測(cè)；提供現(xiàn)有數(shù)據(jù)的漏洞透視圖和數(shù)據(jù)庫(kù)配置安全評(píng)估；避免內(nèi)外部的非授權(quán)訪問(wèn)。

監(jiān)控?cái)?shù)據(jù)庫(kù)安全狀況，防止數(shù)據(jù)庫(kù)安全狀況惡化：對(duì)數(shù)據(jù)庫(kù)進(jìn)行定期掃描，對(duì)所有安全狀況發(fā)生的變化進(jìn)行報(bào)告和分析。

目前發(fā)現(xiàn)數(shù)據(jù)庫(kù)漏洞的主要技術(shù)路線有黑盒、白盒、滲透測(cè)試三種實(shí)現(xiàn)方式。

黑盒檢測(cè)方法的原理是在不知道數(shù)據(jù)庫(kù)登錄賬戶的情況下，根據(jù)權(quán)威的漏洞披露平臺(tái)和數(shù)據(jù)庫(kù)的版本號(hào)進(jìn)行網(wǎng)絡(luò)掃描，并生成數(shù)據(jù)庫(kù)漏洞檢測(cè)報(bào)告。這種方法的好處就是不用知道數(shù)據(jù)庫(kù)的賬號(hào)和密碼可以直接對(duì)數(shù)據(jù)庫(kù)安全狀況進(jìn)行掃描，但也存在以下幾種主要缺陷：

1）無(wú)法掃描出數(shù)據(jù)庫(kù)的低安全配置和所有的弱口令

2） 如果這個(gè)版本的數(shù)據(jù)庫(kù)沒(méi)有安裝含漏洞的組件，會(huì)導(dǎo)致誤報(bào)

3）相同的數(shù)據(jù)庫(kù)版本號(hào)掃描出的數(shù)據(jù)庫(kù)漏洞是一樣的

白盒檢測(cè)方法的原理是使用數(shù)據(jù)庫(kù)賬號(hào)和口令登錄，基于漏洞知識(shí)庫(kù)構(gòu)建漏洞描述和修復(fù)建議模型，采用檢測(cè)規(guī)則庫(kù)形成漏洞對(duì)應(yīng)檢測(cè)方法，使用國(guó)際主流安全檢測(cè)腳本語(yǔ)言NASL腳本語(yǔ)言實(shí)現(xiàn)檢測(cè)。目前，領(lǐng)先的數(shù)據(jù)庫(kù)漏洞掃描技術(shù)一般都是采用這種方法，這種檢測(cè)方法的優(yōu)勢(shì)如下：

1）缺省知識(shí)庫(kù)將覆蓋CVE、CNNVD中絕大多數(shù)重要的數(shù)據(jù)庫(kù)安全威脅

2）對(duì)于知識(shí)庫(kù)的擴(kuò)充或升級(jí)，只需在知識(shí)庫(kù)中添加漏洞的描述和修復(fù)建議，同時(shí)補(bǔ)充NASL腳本檢查程序，系統(tǒng)即可自動(dòng)完成漏洞庫(kù)的擴(kuò)充或升級(jí)

3）可以掃描出安全配置和弱口令等問(wèn)題，對(duì)DBMS漏洞可以檢測(cè)得更準(zhǔn)

滲透測(cè)試是模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，通過(guò)對(duì)目標(biāo)數(shù)據(jù)庫(kù)的安全性作深入的探測(cè)分析（有可能導(dǎo)致停機(jī)或?qū)?shù)據(jù)庫(kù)造成損害），取得系統(tǒng)安全威脅的真實(shí)證據(jù)。如：獲得系統(tǒng)權(quán)限、執(zhí)行系統(tǒng)命令，篡改數(shù)據(jù)等，這類檢測(cè)方法一般用于驗(yàn)證數(shù)據(jù)漏洞存在的情況。

數(shù)據(jù)庫(kù)漏洞掃描技術(shù)能夠充分暴露并證明數(shù)據(jù)庫(kù)系統(tǒng)的安全漏洞和威脅并提供智能化的修復(fù)建議，將企業(yè)的數(shù)據(jù)庫(kù)安全建設(shè)工作由被動(dòng)的事后追查轉(zhuǎn)變?yōu)槭虑爸鲃?dòng)預(yù)防，將數(shù)據(jù)庫(kù)的安全自查由低效的人工方式提升到高效準(zhǔn)確的自動(dòng)檢查方式，并以報(bào)表的方式呈現(xiàn)給用戶，適時(shí)提出修補(bǔ)方法和安全實(shí)施策略，對(duì)數(shù)據(jù)庫(kù)的安全狀況進(jìn)行持續(xù)化監(jiān)控，從而幫助用戶保持?jǐn)?shù)據(jù)庫(kù)的安全健康狀態(tài)，實(shí)現(xiàn)“防患于未然”，對(duì)數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)進(jìn)行綜合評(píng)估。 

【編輯推薦】

1. 2019年1月數(shù)據(jù)庫(kù)流行度排行: PostgreSQL蟬聯(lián)2018年度冠軍
2. DBA的大救星：數(shù)據(jù)庫(kù)智能運(yùn)維探索與實(shí)踐
3. 阿里數(shù)據(jù)庫(kù)運(yùn)維10年演進(jìn)之路
4. FoundationDB Record Layer 宣布開(kāi)源，提供關(guān)系數(shù)據(jù)庫(kù)功能
5. 數(shù)據(jù)庫(kù)分庫(kù)分表，何時(shí)分？怎樣分？