【技術乾貨】Oracle資料庫漏洞掃描指南

Oracle資料庫目前是應用最廣泛的資料庫之一，同時其安全問題也備受矚目，Oracle每個季度（現在是每年1月、4月、7月、10月）釋出關鍵補丁更新公告，對系列產品安全漏洞進行修復。對於安全運維人員來講，在這個時間進行廣泛漏洞掃描，督促資料庫維護人員儘快打上補丁，正是合適的時機。

事情看起來簡單，然而細節決定成敗。在使用漏洞掃描產品對Oracle資料庫進行漏洞掃描的時候，需要區分使用的掃描方式，否則可能對後續的修復加固工作帶來一系列的困擾。一般來講，Oracle資料庫掃描分為遠端掃描和登入掃描，其中登入掃描又分為資料庫登入掃描和作業系統登入掃描。對於Oracle的遠端掃描，建議作為在大範圍網路中，探測可能受影響的Oracle資料庫的手段，而 登入掃描作為進一步精準判定漏洞的手段。

遠端掃描：通過遠端網路訪問的方式，獲取被掃描物件的版本、指紋等資訊，判斷是否受漏洞影響。優點是能夠快速、大範圍識別網路中各系統存在的漏洞，然而在遇到Oracle資料庫這類產品時，其容易產生誤報的缺點也暴露出來。

Oracle資料庫遠端反饋的版本資訊的時候，僅包含前四位版本資訊，而PSU升級包修補漏洞後，影響版本號的第五位，所以業內提供遠端掃描方式的漏洞掃描產品，面對Oracle資料庫的時候誤報較多。遠端掃描結果可以作為快速初步定位的手段，但不能作為確認依據。如果需要進一步確認，就應該進行登入掃描。

大多數漏洞掃描產品廠商為解決遠端掃描Oracle資料庫誤報的問題均提供瞭解決辦法，以綠盟RSAS產品為例，為了避免遠端掃描Oracle資料庫產生誤報，綠盟RSAS預設不啟用Oracle掃描外掛，如果需要掃描，在配置中勾選“啟用”即可。同時也提供登入掃描選項，進行精確掃描。

如果只關注Oracle掃描，可以只選擇【Oracle資料庫】模板進行Oracle資料庫專項掃描。

登入掃描：登入掃描分為資料庫登入掃描和系統登入掃描。

      資料庫登入掃描：這種方式獲取的補丁資訊有限，不如系統登入獲取補丁資訊全面，對漏洞掃描產品來講，判斷漏洞存在還有侷限。但是登入資料庫後可以從資料表中查詢到元件等資訊。

系統登入掃描：登入Windows或者Linux，可以全面獲取Oracle資料庫的補丁資訊，能夠精準的判斷是否存在漏洞。

所以，對於安全運維人員來講，在通過遠端掃描大範圍判斷Oracle資料庫存在以後（或者本來就已經掌握了系統中有哪些資料庫），就可以使用資料庫登入+作業系統登入，對漏洞進行精準的確認。

仍然以綠盟RSAS產品為例，可以在任務配置中啟用登入檢查，然後輸入作業系統登入方式和Oracle資料庫登入方式，實現漏洞精準掃描。

資料資產是業務系統的最核心資產，資料庫安全無小事，在日常安全漏洞掃描提供監督機制的基礎上，根據實際的場景選擇適當的掃描方式，既能進一步提供精準的漏洞判定結果，也能夠減少DBA們的無效工作，可以提高整體工作效率，最終將資料庫安全真正地做好。