解决方案
 
当前位置:解决方案 > 解决方案详情

解决方案详情

返回上一级
ADpro数据库安全扫描
点击数:125093 推荐等级:★★★  发布时间:2011-3-30

     作为IT 审计和安全评估工具,数据库安全扫描工具AppDetectivePro(简称“ADpro”)已经在全球的商业机构以及政府部门中用于对数据库进行扫描及安全控制审查。在任何IT 审计和安全评估中,检查存储和处理关键业务信息的数据库是非常重要的任务之一,而ADpro能使您能高效、快速、 可靠地完成任务。ADpro目前已经在全球130多个国家部署,完成了数以十万计的数据库评估任。也正因为如此,ADpro也逐渐成为IT 审计和安全评估和数据库安全控件审查的事实标准。

数据库安全与风险评估从扫描开始

    通过人工操作来评估数据库的安全状况和内部控制是一项复杂的任务,往往需要的专业知识并占用大量的资源。而且,通过人工操作来测试并证明当前系统与行业和政府法规之间的合规性并提出经营风险则更加困难。但如果使用ADpro,你将立即发现这些任务的复杂性会显著降低,并且对IT审计师和安全评估员能力的依赖程度明显降低,无论他们的技术水平如何,他们都能够很容易地执行数据库安全控制审查,捕获所有基于过程控制检查的结果并生成合规性和风险评估报告,且该过程是可重复的、结果是可复现的。ADpro 完整的收集了数据库控制、脆弱性和配置错误检查等信息以确保全面评估数据库成为可能

数据库发现

在任何IT审计或评估过程中,最关键的一步是确定测试的目标及范围。ADpro 的数据库发现模块提供了网络上所有数据库的完整的可视化视图。只需将一台笔记本电脑连接到网络上,并运行 ADpro,无需代理、无需数据库登录也无需其它的知识,即可扫描出数据库并识别其提供商及版本等信息

数据库安全控制审查和脆弱性评估

    自从2002 年推出以来,ADpro 已成为脆弱性评估的标准。通过一个智能化的策略驱动扫描引擎,ADpro能够识别各种数据库控制方面的问题,包括默认帐户、弱口令、未安装补丁程序、弱访问控制以及主机的一些状况。提供灵活的评估框架,在这个框架下,你可以选择一个由外到内的无需任何授权的“黑客视角”模式进行扫描,也可以选择通过一个只读数据库账号进行一次彻底的由内向外的扫描。ADpro 通过内置模板来满足安全性最佳实践以及各种法规遵从性计划的要求,它涵盖的法规遵从性标准包括:DISA STIG NIST 800-53 (FISMA) CIS Security Benchmark PCI DSS HIPAA GLBA萨班斯-奥克斯利法案 ISO 27001 CoBIT和加拿大的 MITS

渗透性测试

ADpro 的渗透性测试扫描从由外到内的视角提供了数据库安全状态视图且不影响系统的生产运行。该功能并不执行侵入式测试或危险的攻击模拟。ADpro 的渗透性测试将收集那些能被外部人员利用以进入数据库系统的漏洞的详细信息,并在这些漏洞被攻击者发现前向管理人员提出警告。无需安排停机时间来执行渗透性测试且该测试在维护计划中就可以执行,且无需数据库的登录信息或口令。对于任何数据库,只需执行该测试,数秒内,就能看到结果。

安全审核

利用ADpro 提供的审计扫描,可提供一个更为详细的由内到外的漏洞透视图和全面的数据库配置评估。在对数据库控制进行审核的过程中,Audit scans作为最基础的测试过程,仅需最小的数据库访问权限来对数据库进行扫描;在执行一个全面的分析时只需要一个不能访问敏感用户数据的、有只读权限的账户即可。审计可以延伸到渗透性测试的范围,它能够识别那些会被外部访问者利用的安全漏洞。此外,审核还能针对内部特权滥用的隐蔽手段提供详细的信息。业内人员有可能会滥用他们的特权来获得对数据和功能的不当访问。审计允许你灵活地添加你自己定义的数据集合进行检查,而这些数据可以用作风险分析证据的一部分。根据。ADproAudit scans模块允许组织保护他们驻留在数据库应用中的敏感信息,并保护它们免受外部和内部未授权的访问,并证明与法规遵从性有关的要求。

 

数据库访问控制检查

    对如何保护数据进行定位是一个复杂全面的分析过程,这个过程需要考虑每个系统都哪些用户可以访问、这些用户又可以访问哪些数据和功能,并且,赋予用户的这些访问权限是基于用户的业务需求的。一般情况下,IT审核员必须强制执行Preventative Control模块来对数据库进行检查,且对每个数据库不应少于每2周一次,这样将极大地节省数据库系统审查中时间和资源的预算并有效地降低不正确或不完整的信息。

    通过对用户权限的扫描及检查,自动地确定每个用户的有效权限。对用户权限进行自动化检查大大减少了用于决策的时间和资源,这些决策包括确定对哪些人员赋予权限,以及确定他们能够访问什么样的数据,并指定他们访问权限的类型(读、写、删除)。这种高效的、实用的数据收集过程使用户能够在测试过程中合理的分离控制权限,更重要的是,它能独立地进行数据收集和验证,显然,这种独立收集信息的方式优于依靠数据库管理员提供信息的方式。

工作计划和政策的调查问卷

一次彻底的数据库评估不仅仅包括扫描,它还应包括在数据库配置和参数设置测试之外的一些测试。在执行完整的数据库评估时,从业人员还必须了解业务流程、 应用程序与数据库的交互的方式、 业务策略及进程 (如备份和审计日志的检查政策) 、物理安全控制安全措施等。ADpro Work Plan的管理功能通过一个全面的调查问卷可以协助你捕获所有手动和自动控制测试信息,这个测试允许你对策略和过程文档进行一次彻底的检查。例如,您可以创建一个工作计划和调查问卷,在输入密码控制策略后,就可以对密码参数进行扫描,并独立得出法规遵从性的检查结论。

报告

ADpro 的报告系统使用户轻松地获得所有数据库的安全状况报告。报告类型包括: 数据库清单报告、 漏洞的详细信息和摘要报告、用户权限报告、审计报告、策略报告等。报告可以以PDF, Excel, Word, Crystal, HTML, XML and Text等多种形式输出。
上一条:DBP数据库安全防护 下一条:没有了

HP 安全测试工具

WebInspect Web应用安全测试工具 
HP WebInspect 是业界领先的 Web 应用安全评估解决方案,旨在彻底分析当前复杂的 Web 应用和 Web 服务的安全漏洞问题。该解决方案具有广泛的技术覆盖率、快速的扫描功能、广博的漏洞专业知识以及准确的 Web 应用扫描结果。
Fortify SCA 源代码安全测试工具 
Fortify SCA 是一个静态的、白盒的源代码安全测试工具。它通过分析引擎对源代码进行静态的分析和检测,从而将源代码中存在的安全漏洞扫描出来,并整理生成完整的报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识的说明,并提供相应的修复建议。

京公网安备 11010802029863号