一、说明 本篇文章主要说一说MySQL数据库安全审计控制点的相关内容和理解。 MySQL除了自身带有的审计功能外,还存在着一些其它的审计插件。...三、测评项a a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; 3.1....正式稿中,这个测评项被删除了,那么《网络安全法》对于日志留存时间(6个月)的要求是否落在了测评项c当中呢?...当然,既然网络安全法这么规定了,等级保护肯定还是有测评项来实现该要求的,就是在安全管理中心的集中管控的测评项中: ? 按照我的个人理解,6个月的留存时间要求,应该是在集中管控的c测评项中去落实。...综上所述,我个人觉得关于日志留存时间6个月的要求,应该再集中管控的d测评项中进行统一描述,而不是在每个测评对象的安全审计的c测评项中进行描述。
我们测试的配置主要为4核8G、8核32G三种配置,分别对比不同配置下MySQL云数据库和同配置CVM上的性能指标,主要对比的指标有QPS、TPS。 测试结果 漫长的测试完成之后,就是结果揭晓的时刻了。...测到这里,我们可以得出结论:在并发数较低的情况下(并发数50以内),MySQL的混合读写性能保持在较高的线性增长,在50线程时,云数据库MySQL的性能达到峰值,高达11w的QPS,5480的TPS,在...总的来说,在200以内并发云数据库MySQL性能达到了同等配置自建数据库的两倍,看来腾讯云的研发小哥哥们还是做了大量的参数优化来提升数据库对硬件配置的性能利用。...在测试中有一个很惊喜的发现,使用腾讯云MySQL数据库自带的性能监控指标就可以直观的看历史监控结果啦。 image.png 怎么样,很直观有没有,高大上有没有。...后期还会进行其他数据库的相关测评及知识分享,欢迎大家多多关注哦。
大家都知道,我们等级测评分为两大部分——安全管理测评和安全技术测评,这也就是我们常说的五分管理、五分技术,那么安全管理测评和安全技术测评到底是什么呢?它们之间又有什么区别和联系呢?...安全技术测评主要关注点体现在具体的安全防护措施是否满足相应的要求,安全策略是否合理,策略是否生效等具体的技术措施的实现。...安全管理主要关注安全工作内容是否完善,是否形成管理体系,从政策、制度、规范、流程等方面落实完善。 安全技术测评方法主要采用检查测试,确定具体的安全防护措施和安全配置。...安全管理测评方法主要采用访谈核查,确认制度信息是否完整,制度是否落实。安全管理测评是对安全技术测评的补充,同时与技术测评相互验证。...在安全管理测评中,核查是否存在完善的安全运维管理日志审计记录文件,是否保留日志审计记录文档。
刚刚,我们收到中国信息安全测评中心的安全可靠测评结果公告(2023年第1号): 腾讯云数据库TDSQL首批获得安全可靠等级“I级”。...据了解,安全可靠测评通过对产品及其研发单位的核心技术、安全保障、供应链安全、持续发展等方面开展评估,评定产品的安全性和可持续性,实现对产品研发设计、生产制造、供应保障、售后维护等全生命周期安全可靠性的综合度量和客观评价...腾讯云金融级数据库TDSQL一直以来重视用户信息安全保护,并提供完备的数据库安全解决方案,包括存储透明加密、传输加密、访问控制、安全审计等功能。...特别在敏感数据存储、行业合规等要求较高的场景下,提供强有力的安全保护能力支撑。 目前,腾讯云数据库TDSQL已服务超过50万客户。
刚刚,我们收到中国信息安全测评中心的安全可靠测评结果公告(2023年第1号):腾讯云数据库TDSQL首批获得安全可靠等级“I级”。...据了解,安全可靠测评通过对产品及其研发单位的核心技术、安全保障、供应链安全、持续发展等方面开展评估,评定产品的安全性和可持续性,实现对产品研发设计、生产制造、供应保障、售后维护等全生命周期安全可靠性的综合度量和客观评价...腾讯云金融级数据库TDSQL一直以来重视用户信息安全保护,并提供完备的数据库安全解决方案,包括存储透明加密、传输加密、访问控制、安全审计等功能。...特别在敏感数据存储、行业合规等要求较高的场景下,提供强有力的安全保护能力支撑。目前,腾讯云数据库TDSQL已服务超过50万客户。
/mysql/mysql_versionset rhosts 192.168.37.136run能成功查询到版本说明此数据库允许外链,可进行爆破,不允许外链则挖法查询到数据库版本:此时,可使用nmap探测数据库版本信息...mysql-empty-password 192.168.37.1365、源代码泄露一些网站源代码文件中会包含数据库连接文件,通过查看这些文件可以获取数据库账号和密码。...6、文件包含本地文件包含漏洞可以包含文件,通过查看文件代码获取数据库配置文件,进而读取数据库用户名和密码。三、msf信息获取模块此过程进行的前提是通过前面的密码获取阶段顺利拿到数据库的密码。...2、枚举数据库信息使用auxiliary/admin/mysql/mysql_enum模块可获取数据库版本,操作系统名称,架构,数据库目录,数据库用户以及密码哈希值,命令如下:use auxiliary...3、sqlmap直连数据库提权Sqlmap直接连接数据库提权,需要有写入权限和root账号及密码,命令如下:(1)连接数据库;sqlmap.py -d "mysql://root:123456@219.115.1.1
2.MySQL安全配置方案: 1)限制访问MySQL端口的IP:Windows可以通过Windows防火墙和Ipsec来限制,Linux下可以通过Iptables来限制。...c、取消MySQL运行账户对于cmd,sh等一些程序的执行权限。 8)网站使用MySQL账户的处理: 新建一个账户,给予账户所使用数据库的所有权限即可,这样能保证账户不会因为权限过高而影响安全。...给予单个数据库所有权限的账户不会拥有super,process,file等管理权限。 9)删除没使用的数据库:比如test数据库,该数据库对新建的账户默认有权限。...3.MySQL安全配置常用命令: 1.MySQL的root用户是空密码,为了安全起见必须修改为强密码,命令: ?...3.系统管理员用户名为root,为了安全起见建议修改,命令: ? 4.给予相应的数据库权限: ? 5.刷新权限: ? 6.显示权限,可以看到刚才添加的权限语句: ? 7.移除权限: ?
测评方法 测评工具 安全管理测评指导书 安全物理环境测评作业指导书 作业指导书开发基本步骤 第一步:从《基本要求中》选择‘控制点’(测评指标)和要求项(测评项) 第二步:从《测评要求》中选择”测评方法“...测试难点 网络安全领导小组或网络安全管理委员会的发布文件或授权文件; 专职安全管理员 对重要活动的逐级审批制度 定期的全面安全检查 安全管理人员 测评要点 录用、离岗、安全意识教育和培训方面的管理要求;...安全保密协议和关键岗位的安全协议; 离岗交接记录; 安全技能考核记录 培训计划和培训记录 外部人员访问方面的管控措施 测评难点 关键岗位人员的社会背景审查,关键岗位安全协议 安全技能和安全认知的考核...安全建设管理 测评要点 测评对象的定级报告、备案证书; 测评对象的安全保护等级与其它级别保护对象关系的整体规划方案; 安全设计方案、工程实施方案 软件开发、产品采购、工程实施、测试验收、系统交付等方面的管控措施...漏洞和风险管理 采取必要的措施识别安全漏洞和隐患,采取相应的控制手段和措施; 应定期开展安全测评,采取措施应对测评发现的安全问题。
腾讯云Linux服务器操作系统(TencentOS Server)顺利通过测评,并获得安全可靠等级“I 级”。...据了解,安全可靠测评通过对产品及其研发单位的核心技术、安全保障、供应链安全、持续发展等方面开展评估,评定产品的安全性和可持续性,实现对产品研发设计、生产制造、供应保障、售后维护等全生命周期安全可靠性的综合度量和客观评价...腾讯云Linux服务器操作系统(TencentOS Server)是腾讯云推出的企业级Linux服务器操作系统产品,自研内核核心技术,支持国产主流硬件平台,具有高可用性、高性能、高安全性等特点,能够为数据中心服务器提供稳定...、安全和高性能的基础运行环境。
二、测评项 a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; c)应对审计记录进行保护...但是我个人理解有些测评项是递进的,对于安全审计控制点而言,如果审计功能没有开启,或者开启了但是没有达到审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计的要求。...另外插一句嘴,在写测评记录表的时候,要按照实际情况来写,而不是直接复制测评项中的文字。 比如windows的安全审计的测评项b,要写就写实际的审计记录中包含的字段,如级别、用户、记录时间等。...另外一种是基于流量解析的审计,通过解析网络流量中的信息,进行事件记录,这种最常见的是各种数据库日志审计系统。但是对于操作系统特别是windows系统存不存在这种,我不知道。...对于各类数据库,你也要用各类sql语句来进行交互,对于这些语句进行审计也是可能的。
前几日镁客网报道了一款正在京东上众筹的UTRA有答智能优盘,这款主打信息安全和防丢功能的智能优盘在京东上线的第三天就已经完成了50w的目标筹集金额。...app设置 接下来我们就一起来看看这款智能防丢的智能优盘是怎么保护我们的信息安全的吧。首先需要扫描包装上的二位码,下载官方APP。 ? 下载完成后打开app,这个时候我们可以看到app的主界面。 ?...测评总结 总体来说UTRA智能优盘在外观和性能稳定性上来说还是可圈可点的,相对于其性能来说,32G 299元的售价也不算高,非常适合商务人士使用。
说明 本篇文章主要说一说Oracle数据库安全审计控制点中b、c、d测评项的相关内容和理解,以及一些其它零碎的与等保相关的内容。 2....审计记录的留存时间 在等保测评2.0:MySQL安全审计的5.2节中,对于网络安全法中对日志留存时间的要求如何测评,进行过一些个人的猜想。...所以我觉得3级系统的各个设备(服务器、数据库等)的日志留存时间,应该集中在集中管控的测评项中统一描述,不用在每个被测评对象的安全审计控制点的c测评项中进行描述。 这么想的话,逻辑上还算自洽。...Mysql数据库的身份鉴别 在等保测评2.0:MySQL身份鉴别(下)对身份鉴别控制点c项进行过说明,但是没说全。...Mysql在客户端连接数据库时,也是使用挑战/应答(Challenge/Response)方式进行鉴别的,具体什么是挑战/应答(Challenge/Response)方式请看等保测评2.0:Oracle
5月20日,中国信息安全测评中心发布安全可靠测评结果公告(2024 年第 1 号):腾讯云Linux服务器操作系统(TencentOS Server)顺利通过测评,并获得安全可靠等级“I 级”。...据了解,安全可靠测评通过对产品及其研发单位的核心技术、安全保障、供应链安全、持续发展等方面开展评估,评定产品的安全性和可持续性,实现对产品研发设计、生产制造、供应保障、售后维护等全生命周期安全可靠性的综合度量和客观评价...腾讯云Linux服务器操作系统(TencentOS Server)是腾讯云推出的企业级Linux服务器操作系统产品,自研内核核心技术,支持国产主流硬件平台,具有高可用性、高性能、高安全性等特点,能够为数据中心服务器提供稳定...、安全和高性能的基础运行环境。
[TOC] 账号权限加固 1.核查Oracle数据库中是否存在多余账户被启用,如果存在请锁定它。...审计策略加固 1、审计配置 启用相应的审计功能,配置审核策略使系统能够审核数据库管理和安全相关操作的信息, 建议对 SYSDBA审计操作 1.启用审计功能 SQL>ALTER SYSTEM SET audit_trail...;需要重启数据库,应提前通知业务部门 2、配置日志策略 配置日志策略,确保数据库的归档日志文件、在线日志文件、网络日志、跟踪文件、警告日志记录功能是否启用并且有效实施 配置归档模式,将数据库正常关闭 SQL...(在 tnsnames.Ora 文 件中配置) 漏洞加固 1、安装系统安全补丁, 对安全软件扫描或手工检查发现的系统漏洞进行修补 1.运行防病毒软件(如 SEP)保护操作系统 2.下载并安装相应的安全补丁...注意:更新安全补丁可能对数据库系统、应用系统造成影响; 需要进行严格测试并做好备 份恢复措施后实施
一、说明 本篇文章主要说一说SQLServer数据库安全审计控制点的相关内容和理解。...三、测评项a a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; SQLServer默认开启着错误日志,在服务器-管理-SQL Server日志中: ?...如果想要达到符合,需要自创审核规范和审核对象,SQLServer是具备这个功能的,在服务器的安全性和数据库的安全性中可以查看: ?...安全审计中的测评项b。...测评项a a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; 数据库审计系统的功能一般足够强大和专业,对于测评项a而言,虽然数据库审计系统在可以自创规则,但是大部分情况下
SQLE版本:sqle-ce-1.2203.0 MySQL版本:MySQL 8.0.28 环境安装过程:略 DDL语句审核 1. 测试create table建表语句⼀ 审核结果如下图。...测试语句三 验证 MySQL 8.0 JSON 相关特性 审核结果如下图。 语句在 MySQL 正常执⾏如下图。...⼩结 除了 MySQL 8.0 JSON 新特性(如 JSON_TABLE⽅法),其它 JSON 语法和 MySQL 5.7 ⼀样,SQLE仍然⽀持。...结论 本⽂测试了SQLE对MySQL 8.0.28的⽀持程度,根据测试结果,⼤部分DDL、DML和DCL语句与MySQL 5.7版本⼀样,都能正常进⾏审核,DML和DDL上下⽂关联能够正确识别。...少数MySQL8.0 新特性涉及的SQL⽬前SQLE可能还不能兼容,例如 建表时存在 MySQL 8.0 新的保留字,如窗⼝函数相关的RANK、ROW_NUMBER等。
一、说明 权限控制在等保测评里仅仅说了要求,但是怎么落地却基本没写,怎么说呢,比较抽象。...比如oracle数据库安装时,你用哪个用户去启动安装脚本,oracle的数据库目录的owner就会是这个用户(但root用户不能执行这个安装脚本)。...所以该用户才能够启动数据库,然后对数据库文件进行读和写。当然这里并不是直接用cat等命令读或者其他命令进行写,而是在sqlplus中用执行sql语句,但本质上,还是要拥有读写权限才可以的。 3.1....其实访问控制不很好弄,因为不太清楚实际业务中,被测评单位会用什么方式进行访问控制,也就是不知道会用什么技术。...说句不好听的,如果通过访谈,被测评单位说他做了访问控制,你至少也得知道怎么去取证吧?
一、 说明 本篇文章主要说一下MySQL数据中身份鉴别控制点中b、c、d测评项的相关知识点和理解。...这个超时时间,指的是某个和数据库的连接,在限制时间内没有发起任何请求,这个连接就会被清理掉。...为YES则代表数据库支持SSL连接(但并不代表强制要求客户端使用ssl协议,此时它仍然允许未加密的连接) 如果某连接使用到了SLL,在Mysql.exe中,使用status可以看到相关信息(这里没使用)...对于双因素本身的探讨在这里就不进行重复的论述了,可以看我以前文章中该测评项的内容:等保测评2.0:Windows身份鉴别、等保测评2.0:SQLServer身份鉴别(下) 。...--ssl-cert=~/client-ssl/client-cert.pem --ssl-key=~ 具体内容可以查看Mysql启动ssl连接 这种应该也算是使用双因素进行身份认证,至于如果使用堡垒机的方式对数据库进行管理
一、说明 在进行等级保护测评时,需要检查主机的安全审计功能,这里就以等级保护2.0来说一说centos6在这方面的检测,以下是安全计算环境的安全审计控制点中的测评项。 二、测评项a ?...安全审计内核模块与安全审计守护进程 这一段我也不是很清楚其原理,所以说错了请谅解。 大概意思就是auditd内核模块与auditd守护进程,不是一回事。...三、 测评项b ?...六、最后 其实等级保护2.0这部分和1.0基本上没什么区别,个人觉得想要测评得比较完整、有力度,还是要看自己对测评项的理解,以及如何在具体的测评过程中去落实。...剩下的,面对测评要求,在实际测评过程中大家自然能做出合适的取舍,使用相应的技术作为测评支撑。
SQLE版本:sqle-ce-1.2203.0 MySQL版本:MySQL 8.0.28 环境安装过程:略 DDL语句审核 1....[renzhongyusqle-27.png] 语句在MySQL正常执⾏如下图。...[renzhongyusqle-28.png] ⼩结 除了MySQL 8.0 JSON新特性(如 JSON_TABLE⽅法),其它JSON语法和MySQL 5.7⼀样,SQLE仍然⽀持。...结论 本⽂测试了SQLE对MySQL 8.0.28的⽀持程度,根据测试结果,⼤部分DDL、DML和DCL语句与MySQL 5.7版本⼀样,都能正常进⾏审核,DML和DDL上下⽂关联能够正确识别。...少数MySQL8.0 新特性涉及的SQL⽬前SQLE可能还不能兼容,例如 建表时存在 MySQL 8.0 新的保留字,如窗⼝函数相关的RANK、ROW_NUMBER等。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
