安华金和数据库漏洞扫描系统

产品概述

安华金和数据库漏洞扫描系统(简称DBScan)是一款帮助用户对当前的数据库系统进行自动化安全评估的专业软件，能有效暴露当前数据库系统的安全问题，提供对数据库的安全状况进行持续化监控，帮助用户保持数据库的安全健康状态。

DBScan是国内首款：

支持七种国际主流数据库和四种国产数据库漏洞扫描产品

检测项达到4300个以上的数据库安全检测产品

等保专用数据库风险等级评估检测工具

产品价值

提升数据库使用安全系数

主流数据库的自身漏洞逐步暴露，数量庞大；仅CVE公布的Oracle漏洞数已达1100多个；

DBScan可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。

对检测出的漏洞，提供漏洞产生的原因分析，有针对性地给出修复建议，以及修复漏洞所需的命令、脚本、执行步骤等。

降低数据库黑客攻击风险

据了解，1/2以上的生产业务数据库中都存在默认用户名/默认口令；若干黑客典型攻击手段，仅使用了最常规的数据库安全漏洞。这些攻击都可通过基本的安全配置增强完成防护。

DBScan可以检测出在数据库使用过程中，由于人为疏忽造成的诸

多安全隐患：低安全配置、弱口令、高危程序代码、权限宽泛等。

满足行业安全检测规范

支持能源、运营商等行业性数据库安全检测规范，可用于检测单位的行业检测、以及用户单位的自检。

等保工具箱集成产品，提供等级保护专业检测报告，实现数据库安全合规。

产品优势

丰富的漏洞库

支持1300个以上安全漏洞库；国内普通安全厂商的漏洞检测数在300个左右；专业数据库漏洞工具的检测数600-700个。

全面检测能力

DBScan提供最为全面的检测库，仅Oracle就达到3019个检测项。

不仅支持常规产品具备的DBMS漏洞、缺省配置、弱口令、补丁包等漏洞；还支持敏感数据发现、程序代码漏洞、宽泛权限检测。

等级保护专用检测工具

针对我国等级保护1、2、3、4级对数据库的安全检测要求，建立数据库等级保护检测工具集，实现等级保护检测扫描，生成等级保护检测报告。公安部等级保护集成产品，完全符合国家检测政策。

先进的数据库安全检查技术

DBScan支持多种数据库自动化检查技术；先进的网络数据库发现技术，不仅提供数据库服务器发现技术，还提供数据库实例发现技术；实现多种DBMS的密码生成技术，提供200多万个口令爆破库，实现快速的弱口令检测方法。

功能特性

数据库兼容

Oracle： 9i、10g、11g

MSSQL： 2000、2005、2008

MySQL： 5.0、5.1、5.4、5.5、5.6、6.0

DB2： 8.1、8.2、9.1、9.2、9.5、9.8

Sybase、PostgreSQL、Informix

达梦、金仓、GBase、Oscar

漏洞检测能力

基础+高端检测能力　　

提供传统数据库漏扫产品所覆盖的DBMS漏洞项检测、弱安全配置检测、补丁检测、缺省用户名/口令检测,总计超过1300项。

另外，DBScan还具备危险程序漏洞、敏感数据发现，以及渗透测试等高端检测能力。

敏感数据发现

DBScan对存储密码的表、列等对象扫描。

对标识信息、信用卡帐户等个人敏感信息的表和列进行扫描。

让用户自定义敏感对象搜索关键字。

危险程序扫描

在数据库中也存在恶意性代码，这比操作系统上的恶意代码更容易被人忽略。

渗透测试

提供对数据库的渗透模拟攻击，以帮助用户进一步发现数据库的安全缺陷。渗透测试覆盖缓冲区溢出、提权漏洞、拒绝服务漏洞等。

弱口令

DBScan基于各种主流数据库口令生成规则实现口令匹配扫描，规避基于数据库登录的用户锁定问题和检查效率问题。

提供基于字典库，基于规则，基于穷举的多种模式实现弱口令检测；提供200万弱口令字典库，兼容CSDN口令库。

策略定义

预定义安全策略

包含了一系列预定义的扫描策略，帮助用户立即完成常规性扫描任务：

全面扫描：对漏洞库中的所有检测项进行扫描。

基本扫描：对数据库使用缺陷、DBMS系统缺陷进行扫描。

快速扫描：针对数据库使用缺陷和DBMS系统缺陷中的风险等级为高风险及中风险的检测项进行扫描。

CVE漏洞扫描：针对CVE公布的漏洞进行扫描。

CNNVD漏洞扫描：针对CNNVD公布的漏洞进行扫描。

配置缺陷扫描：针对配置缺陷、未更改的缺省口令进行扫描。

系统缺陷扫描：针对数据库自身的缺陷进行扫描。

敏感数据扫描：扫描数据库中存在的易于导致敏感数据暴露的数据库对象，以供安全管理员进行安全加强。

危险程序扫描：该策略对数据库中可编程对象和可调用对象进行

扫描，确定其中包含的危险代码及后门对象。

自定义安全策略

用户可以根据自己的行业特征和关心的安全点，有针对性地建立检测项集合。

根据行业的安全标准定义检测规则，如密码的长度和复杂性，登录失败次数，敏感数据的关键词。

报表支持

为用户提供不同详略程度，不同专题，不同角度的报告。

如综合报告、漏洞简明报告、漏洞详细报告、敏感数据报告、危险程序报告、用户和权限报告、弱口令报告、对比报告、趋势报告等。

关于安华金和
安华金和是我国专业数据库安全产品和服务提供商，由长期致力于数据库内核研发和信息安全领域的专业资深人员共同创造，是国内唯一提供全面的数据库安全产品、服务和解决方案服务商，覆盖数据库安全防护的事前检查、事中控制和事后审核，帮助用户全面实现数据库安全防护和安全合规。
安华金和数据库安全产品已经广泛地应用于政府、军队、军工、运营商、金融、企业信息防护等领域，建立了一定的声誉，成为众多企业在该领域寻求安全产品和服务的首选。