返回
2016年数据库漏洞安全威胁报告

2016年数据库漏洞安全威胁报告

ID:35200205

大小:143.41 KB

页数:18页

时间:2019-03-21

2016年数据库漏洞安全威胁报告_第1页
2016年数据库漏洞安全威胁报告_第2页
2016年数据库漏洞安全威胁报告_第3页
2016年数据库漏洞安全威胁报告_第4页
2016年数据库漏洞安全威胁报告_第5页
资源描述:

《2016年数据库漏洞安全威胁报告》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、2016年数据库漏洞安全威胁报告■文档编号RP-2016-01■密级完全公开■版本编号V1.0■日期2016.12.11-18-©2016安华金和www.dbsec.cn©2021安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。目录2016年数据库漏洞安全威胁报告1一.报告摘要3二.报告正文32.12016年数据库安全形式综述32.2数据库自身的安

2、全缺憾42.3数据库安全威胁分析42.3.1人为因素52.3.2数据库本身系统安全分析62.3.3第三方恶意组件92.3.4数据库安全小结92.4数据库系统漏洞的统计分析92.4.1按发布时间分布情况分析102.4.2按威胁类型分布情况分析112.4.3按厂商分布情况分析132.4.4按受影响组件属性分类情况分析142.4.5按漏洞的攻击途径分类情况分析152.4.6数据库漏洞利用趋势172.5数据库系统的安全建议17三.结束语19附录A联系作者20附录B关注安华金和20-18-©2016安华金和www.dbsec.cn一.报

3、告摘要北京安华金和科技有限公司(简称安华金和)长期致力于帮助客户应对数据库安全领域的威胁。为了提高数据库用户的安全意识,快速反馈最新数据库漏洞被利用方向,安华金和数据库攻防实验室(以下简称:DBSecLabs)最新发布《2016年数据库漏洞安全威胁报告》。该报告用于快速跟踪及反馈数据库安全的发展态势。二.报告正文2.12016年数据库安全形式综述《2016年度数据泄露调查报告》回顾了2016年全球超过10万起安全事件和2260起已经确认的数据泄漏事件。根据verizon统计报告,全球数据库泄露事件呈现缓步提高趋势、手段和方式呈

4、现多种变化。分析已确认的2260起数据泄露事件,泄露源7成以上和数据库相关。数据库信息泄露主要是由人为因素、数据库自身安全漏洞和第三方恶意组件造成。人为因素主要指人为对数据库的错误配置或使用弱口令和默认口令。错误配置和弱口令往往成为不法分子窥探数据库的入口。利用这个入口不法分子结合数据库漏洞或第三方恶意组件对数据库实施入侵。在1600多起数据库泄露事件中,有63%和弱口令和错误配置相关。数据库漏洞是数据库被入侵最常见的方式,但利用漏洞的方式发生了变化。零日漏洞和已知漏洞使用比例几乎持平,很多攻击利用的是已知漏洞。前10位常用漏

5、洞中已知漏洞占据了55%的比例。其中很多漏洞已经被公开很多年,相关补丁也早已推出数年。数据库由于各种考虑不及时打补丁,给不法分子极大的可操作空间。第三方恶意组件成为数据库安全的新威胁。今年年底闹得沸沸扬扬的Oracle数据库比特币勒索事件就是这方面的代表。不法分子通过散播存在恶意SQL语句的数据库工具,向误用该工具的企业勒索赎金。这种绑架数据勒索用户的方式,正急速扩大其攻击范围。很可能在明年将成为数据库安全的首要威胁。人为因素、数据库漏洞、第三方恶意组件共同成为现今威胁数据库安全的“三驾马车”。本文通过梳理这三种方式的原理,以

6、及主流数据库的高危漏洞分布情况,力求使客户明确明年数据库安全防护的侧重点。-18-©2016安华金和www.dbsec.cn1.1数据库自身的安全缺憾数据库随着大数据库时代的到来,云平台的流行,物联网的兴起,数据库的应用范围越来越广泛,基本上每个领域都能见到数据库的身影。从世界500强公司到各国政府机关,数据库在其中扮演着非常重要的角色,很多重要和敏感的信息都保存在数据库中,例如个人银行账号密码、政府机密资料、军事核心武器设计图等。因此,数据库成为入侵者越来越有价值的攻击目标,一旦获得数据库权限,入侵者则可以获得非常有价值的数

7、据。因此,确保数据库以及数据库中的数据安全至关重要。数据库被设计的目的就是以有序和易于检索的方式提供大量数据的服务。大数据时代的来临,使得各个行业数据量成BT级别增长。数据库被广泛使用在各种新的场景中。数据库本身是被设计在内网之中的,一个相对安全的环境中。而现在发展的趋势是内外网逐渐融合,数据库将面临大量新型场景。其中很多新型场景面临的安全威胁是数据库现有安全机制无法防护的。数据库的优良性能和落后的安全机制成为鲜明的对比。数据库现在首要需要解决的就是有针对的加强某些场景下的安全防护能力。否则安全将成为数据库的“阿喀琉斯之踵”。

8、1.2数据库安全威胁分析数据库对安全的设计最初是依照美国国防部标准形成,并逐渐发展和强化。但是随着大数据的兴起,数据库开始进入更多领域,开发更多功能,部署在更加危险的网络环境中。大部分商用数据库虽然都通过了安全标准,但这些安全标准和现实安全需求之间存在很大区别。人为因素,数据

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。