[发明专利]数据库安全的评估方法以及装置

说明书

本发明公开了一种数据库安全的评估方法以及装置，该评估方法包括：获取所述数据库的弱点；将所述数据库的所述弱点与渗透测试脚本库进行关联生成渗透测试任务；执行所述渗透测试任务得到渗透测试结果以评估所述数据库的安全情况。通过本发明的上述技术方案，至少能够减少数据安全评估的误报率。

技术领域

本发明涉及网络安全技术领域，具体来说，涉及一种数据库安全的评估方法以及装置。

背景技术

随着信息化技术的不断发展，数据的价值越来越大。作为数据存储的主要技术手段，关系型数据库系统在整个IT架构中的地位不言而喻，然而随着互联网技术的快速发展，数据库被暴露在了更开放，更复杂的网络环境中，在这样的环境中，信息安全问题受到越来越多的重视。随着黑客攻击技术的发展，信息系统的网络安全问题不断出现，攻击者的手段也日益先进，信息安全防御技术也需要不断更新。常见的黑客攻击有通过扫描数据库的各种弱点，利用数据库的弱点，进行非权限操作和访问，进而修改数据、盗取数据或破坏数据，给各组织机构造成巨大损失。传统数据库扫描器，都是基于弱点规则生成弱点规则库，进行匹配扫描，使用这种扫描方式会产生往往会产生较高的误报率，或是扫描出的弱点很多，但是有价值的弱点无法从中分离出来，使数据库管理员无从下手修复数据库弱点。

例如，现在一般的数据库扫描系统都会采用CVE(Common Vulnerabilities&Exposures，公共漏洞和暴露，CVE为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称)公布的数据库漏洞及一些数据库配置安全基线、弱口令字典等产生弱点规则库，使用这些弱点规则进行安全扫描。这种采用弱点规则匹配法产生的扫描结果会产生以下缺点：1)、产生很高的误报率；2)、扫描出的数据库弱点虽然很多，但是往往被黑客可以利用并对数据库造成威胁的弱点并不多。

发明内容

针对相关技术中的上述问题，本发明提出一种数据库安全的评估方法以及装置，至少能够减少数据安全评估的误报率。

本发明的技术方案是这样实现的：

根据本发明的一个方面，提供了一种数据库安全的评估方法，包括：

获取数据库的弱点；

将数据库的弱点与渗透测试脚本库进行关联生成渗透测试任务；

执行渗透测试任务得到渗透测试结果以评估数据库的安全情况。

根据本发明的实施例，在得到渗透测试结果之后还包括：将渗透测试结果与解决方案库进行关联，生成安全评估报告。

根据本发明的实施例，获取数据库的弱点包括：根据预先配置的弱点规则扫描数据库来获取数据库的弱点，其中，弱点规则包括默认规则和自定义规则。

根据本发明的实施例，将数据库的弱点与渗透测试脚本库进行关联包括：对获取的弱点进行分析以与渗透测试脚本库进行关联，其中，渗透测试脚本库包括默认渗透测试脚本库和自定义渗透测试脚本库。

根据本发明的实施例，执行渗透测试任务包括：根据渗透测试任务模拟黑客攻击行为。

根据本发明的实施例，根据渗透测试任务模拟黑客攻击行为包括：提供人机接口；测试人员通过人机接口模拟黑客攻击行为。

根据本发明的另一方面，提供了一种数据库安全的评估装置，包括：

弱点获取模块，用于获取数据库的弱点；

任务生成模块，用于将数据库的弱点与渗透测试脚本库进行关联生成渗透测试任务；

任务执行模块，用于执行渗透测试任务得到渗透测试结果以评估数据库的安全情况。

根据本发明的实施例，数据库安全的评估装置还包括：报告生成模块，用于将渗透测试结果与解决方案库进行关联，生成安全评估报告。