谈谈不太可信的数据安全性检查

不久之前有位老友曾跟我提起可以好好谈谈关于数据库安全性检查的一些事情。这些年，企业安全事故频发，勒索病毒事故多出，再加上安全对抗演练的进行，让数据库安全在企业里的地位与日俱增，安全扫描也变成了头等大事。也经常有客户发安全扫描结果过来，让我们帮助分析如何优化，其中大多数是Oracle数据库的。

为什么会出现这种情况呢？经过一番分析，我们发现出现这种情况是因为Oracle的安全补丁体系太复杂了，而漏扫工具无论是登录扫描还是非登录扫描，都仅仅是根据特征去发现漏洞，而做漏扫的特征库的人员在数据库补丁方面的专业性不够。

不同客户的数据库运维人员，数据库升级策略差别很大，因为一个安全漏洞可能有数十种方法可以解决，而做漏扫的公司的特征库很可能无法覆盖这些方面，哪怕就是漏了你解决问题的那一条，你的系统漏扫就过不去。

遇到这种情况，有些客户比较好说话，只要把问题讲清楚就行了，比如说Oracle的某个PSU已经解决了这个问题，官方文档里有明确的说法，只要写个报告就可以了。不过有些领导就是公事公办，非要以漏扫的结果为准。我遇到过一个十分奇葩的领导，要求必须在漏扫时0缺陷，其他材料一概不认。最终的解决方案往往是把已经安装的PSU操作系统先卸载了，然后打上自己的安全扫描软件或者是认可的第三方独立补丁，才可以算是搞定这个事情。

这个问题虽然无法彻底解决，但是还是可以改进的。Oracle每个季度都会出PSU，大部分的已知安全漏洞都会在下次PSU上解决，每个漏洞被解决的PSU也大多数被Oracle公布了（记住是大多数，不是全部）。另外一个方面，大部分用户解决Oracle安全漏洞的最常用方式就是打PSU。因此数据库漏洞厂家可以通过加强PSU补丁解决安全问题的采集来优化特征库，就可以很大程度上避免用户打了很新的PSU还报较早的漏洞的问题。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!