安华金和数据库安全评估系统(DSAS)

安华金和数据库安全评估系统

（DSAS）

©2019安华金和

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属安华金和所有，受到有关产权及版权法保护。任何个人、机构未经安华金和的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录

安华金和数据库安全评估系统（DSAS） (1)

目录 (2)

一. 关于安华金和 (3)

1.1发展历史 (3)

1.2产品路标 (4)

二. 数据库安全评估系统（DSAS） (5)

2.1产品概述 (5)

2.2客户价值 (5)

2.2.1 满足合规安全检测 (5)

2.2.2 发现数据库自身漏洞 (5)

2.2.3 发现使用中安全隐患 (5)

2.2.4 数据库安全状态监控 (6)

2.3产品优势 (6)

2.3.1 风险级别准确 (6)

2.3.2 数据库安全检查范围全面 (6)

2.3.3 数据库安全检查技术先进 (6)

2.3.4 独特的数据库安全状况监控 (6)

2.3.5 自身安全性高 (6)

2.4适用场景 (7)

一. 关于安华金和

1.1 发展历史

北京安华金和科技有限公司（以下简称安华金和），2009年3月2日成立，长期专注于数据安全领域，是中国专业的数据安全产品及解决方案提供商。安华金和由长期致力于数据处理和信息安全的专业人士共同创造，作为中国“数据安全治理”体系框架的提出者，安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案；同时，安华金和作为独立的第三方云数据安全服务商（CDSP），为国内外各大云平台用户提供专业的数据安全保障；安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。

安华金和总部位于北京，分设北京营销中心与天津研发中心，下设11大分支机构，业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例，并取得了良好的信誉口碑。

安华金和以“让数据使用更安全”为最高使命，立志成为世界级数据安全厂商。

围绕该愿景，安华金和主营业务方向分为三大部分：

1、围绕数据库的安全，安华金和推出全线数据库安全产品及解决方案；

2、以整体数据库安全产线为技术支撑，安华金和推出数据安全治理解决方案，面向重点行业推广与实践；

3、基于公有云和私有云环境特征，安华金和推出公有云数据安全服务和私有云数据安全解决方案。

1.2 产品路标

二. 数据库安全评估系统（DSAS）

2.1 产品概述

安华金和数据库安全评估系统(简称DSAS)，可以帮助用户实现对国际、国内主流数据库的安全检查，发现数据库中弱安全配置、风险代码、弱口令，并对已知漏洞进行分析和模拟渗透攻击，能有效暴露当前数据库系统的安全问题，并对数据库的安全状况进行持续化监控，完成数据库安全风险评估，提供数据库安全状况检测评估报告，帮助用户提供数据库安全加固建议，从而显著提高数据库的安全状况。

2.2 客户价值

2.2.1 满足合规安全检测

支持等保、公安、运营商等行业性数据库安全检测规范，有等保二三级检查策略，可用于检测单位的行业检测以及用户单位的自检。

2.2.2 发现数据库自身漏洞

主流数据库的自身漏洞逐步暴露，数量庞大，仅CVE公布的Oracle漏洞数已达1200多个。DSAS可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。

2.2.3 发现使用中安全隐患

据调研，1/2以上的生产业务数据库中都存在默认用户名/默认口令；若干黑客典型攻击手段，仅使用了最常规的数据库安全漏洞，这些攻击都可通过增强基本的安全配置完成防护。DSAS可以检测出在数据库使用过程中，由于人为疏忽造成的诸多安全隐患：低安全配置、弱口令、高危程序代码、权限宽泛等。

2.2.4 数据库安全状态监控

大多用户会在安全事件发生后，才追查分析具体原因，然而作为复杂的数据库，参数、用户权限等管理信息数量巨大，手工追查、分析的工作复杂繁琐。DSAS提供对数据库安全状况的持续监控能力，可以建立安全基线，实现安全状况实时报告。

2.3 产品优势

2.3.1 风险级别准确

遵循CVE、CNNVD标准的定级原则：自定义漏洞级别与国际主流专业工具一致。

2.3.2 数据库安全检查范围全面

DSAS支持1900个以上安全漏洞库，共5327个安全检测点；国内普通安全厂商的漏洞检测数在300个左右，专业数据库漏洞工具的检测数600-700个。

数据库类型支持全面，支持七种国际主流数据库和三种国产数据库的安全检测。

2.3.3 数据库安全检查技术先进

DSAS支持多种数据库自动化检查技术和网络数据库发现技术，不仅提供数据库服务器发现，还提供数据库实例发现，实现多种DBMS的密码生成技术，提供1万多个口令爆破库，实现快速的的弱口令检测方法。

2.3.4 独特的数据库安全状况监控

突破传统的漏扫产品仅作为数据库漏洞检查工具的限制，实现对数据库运维安全状况的监控，包括相关安全配置、连接状况、用户变更状况、权限变更状况、代码变更状况等全方面的安全状况评估；建立安全基线，实现安全变化状况报告与分析。

2.3.5 自身安全性高

管理员、操作员、审计员三权分立；使用只读权限账户即可扫描；检测报告中数据库连接信息、口令等加密存储。

2.4 适用场景

●上级单位检查之前，若有一款高效安全的检查产品能大大减轻您的工作量，并能做到对

各种类型数据库的安全检查，不知能否解决您目前的问题？

●您是否了解贵单位的数据库安全状况？定期检查数据库安全配置情况？

●您是否担心由于数据库的安全问题，导致数据库的敏感信息泄露？

●在等保测评工作中，是否遇到数据库类型多、版本多，无法检测的情况？

●对外测评检查时，检查对象的国产数据库查不查、怎么查？

●数据库中的弱口令、安全配置参数、过期的运维账户是否会定期检查？

●贵单位有多少个数据库？这些数据库是否有安全管理员定期检查安全漏洞？

●如果上级测评单位使用安华DSAS进行安全检查的话，您会考虑也采购一台DSAS用于

日常数据库安全自查么？