久久久噜噜噜久久中文字幕色伊伊,av免费高清网址在线播放,黑逼白逼一样操,在线岛国片免费无码AV

一、2016年數(shù)據(jù)庫安全形勢綜述

大數(shù)據(jù)時代的來臨，使得各個行業(yè)數(shù)據(jù)量成BT級別增長。數(shù)據(jù)庫被廣泛使用在各種新的場景中。數(shù)據(jù)庫本身是被設(shè)計在內(nèi)網(wǎng)之中的，處在相對安全的環(huán)境中。而現(xiàn)在發(fā)展的趨勢是內(nèi)外網(wǎng)逐漸融合，數(shù)據(jù)庫將面臨大量新型場景，由此伴隨而來的安全威脅無法靠數(shù)據(jù)庫現(xiàn)有安全機制來進行防護。數(shù)據(jù)庫的優(yōu)良性能和落后的安全機制成為鮮明的對比。數(shù)據(jù)庫現(xiàn)在首要需要解決的就是有針對的加強某些場景下的安全防護能力。否則安全將成為數(shù)據(jù)庫的“阿喀琉斯之踵”。

為了提高數(shù)據(jù)庫用戶的安全意識，快速反饋最新數(shù)據(jù)庫漏洞被利用方向，安華金和數(shù)據(jù)庫攻防實驗室（以下簡稱：DBSec Labs）最新發(fā)布《2016年數(shù)據(jù)庫漏洞安全威脅報告》。數(shù)據(jù)選取截至2016年12月，該報告用于快速跟蹤及反饋數(shù)據(jù)庫安全的發(fā)展態(tài)勢。該報告回顧了2016年全球超過10萬起安全事件和2260起已經(jīng)確認(rèn)的數(shù)據(jù)泄漏事件。根據(jù)verizon統(tǒng)計報告，全球數(shù)據(jù)庫泄露事件呈現(xiàn)緩步提高趨勢，手段和方式呈現(xiàn)多種變化。分析已確認(rèn)的2260起數(shù)據(jù)泄露事件，泄露源7成以上和數(shù)據(jù)庫相關(guān)。數(shù)據(jù)庫信息泄露主要是由人為因素、數(shù)據(jù)庫自身安全漏洞和第三方惡意組件造成，三大因素共同成為威脅數(shù)據(jù)庫安全的“三駕馬車”。

下面，我們將從該調(diào)查報告中截取部分內(nèi)容，從不同維度對2016年度數(shù)據(jù)庫漏洞加以盤點。

二、多維度盤點2016年數(shù)據(jù)庫漏洞

數(shù)據(jù)庫安全威脅主要來自三個方面，其中數(shù)據(jù)庫漏洞威脅依舊是數(shù)據(jù)庫最嚴(yán)重的威脅。本文將從漏洞時間分布、漏洞威脅分布、數(shù)據(jù)庫廠商爆出漏洞比例、受影響組件和漏洞類型分類等5個角度來研究數(shù)據(jù)庫漏洞，最終總結(jié)出漏洞的趨勢，提醒客戶提早應(yīng)對。（本文的漏洞都取自NVD-美國國家漏洞庫。）

1.按發(fā)布時間分布情況分析

1996年開始數(shù)據(jù)庫進入安全團隊的視野。同年4月份Oracle被披露出第一個安全漏洞。從1999年的4個漏洞開始，漏洞數(shù)量每年穩(wěn)步增長，到2012年一年被爆出116個漏洞。本文選取了2012年至今的5個主流數(shù)據(jù)庫（oracle 、mssql、MySQL、db2、postgresql）漏洞來進行分析。下面是5年對比圖， 2016年截止到12月份初被確認(rèn)數(shù)據(jù)庫漏洞一共136個。

和去年比，漏洞數(shù)量增加了62個，增幅達到81%。這和今年新出的一些新攻擊手法以及各家數(shù)據(jù)庫開發(fā)了一些新功能密切相關(guān)。數(shù)據(jù)庫安全漏洞總數(shù)呈下降趨勢，但基本屬于一年高一年低的狀態(tài)。數(shù)據(jù)庫安全切莫掉以輕心。 

具體細分，今年的136個數(shù)據(jù)庫漏洞來自4個數(shù)據(jù)庫。（postgresql無漏洞）如下圖所示：

136個漏洞中， Mysql占到102個，占全年漏洞的75%，主要集中在5.5、5.6和5.7這三個主流版本中。所以，使用mysql的公司、團體和個人及時對自己的mysql數(shù)據(jù)庫進行補丁升級。有研發(fā)能力的單位最好對mysql源碼進行源碼審計，修復(fù)其中的問題。關(guān)閉和自己業(yè)務(wù)無關(guān)的組件，編譯出適合自己應(yīng)用需求的客制化mysql。Oracle數(shù)據(jù)庫也被爆出26個漏洞，數(shù)量位列第二。各廠商產(chǎn)品的漏洞數(shù)量不僅與產(chǎn)品自身的安全性有關(guān)，而且也和廠商的產(chǎn)品數(shù)量、產(chǎn)品的復(fù)雜度、受研究者關(guān)注程度等多種因素有關(guān)。因此，并不能簡單地認(rèn)為公開漏洞數(shù)量越多的廠商產(chǎn)品越不安全。雖然Oracle漏洞數(shù)量占到93%，但其實Oracle無論是性能還是安全性在同業(yè)者中都處于前列。

2.按威脅類型分布情況分析

按照對數(shù)據(jù)庫的機密性、完整性和可用性的影響程度漏洞可分成3大類：高威漏洞、中危漏洞和低危漏洞。其中高危漏洞必須及時處理，低危和中危漏洞在某些特定情況下也會達到高危漏洞的危害程度，所以切莫輕視。在2016年被確認(rèn)的136個漏洞中高危漏洞有6個，中危漏洞有88個低危漏洞有42個。

其中，最受關(guān)注的是高危漏洞，高危漏洞集中分布在Oracle和mysql數(shù)據(jù)庫中。高危漏洞占漏洞總數(shù)的4%，中危漏洞數(shù)量最多占據(jù)了65%、低威脅漏洞占據(jù)31%的比例。

其中，低危漏洞基本不會對數(shù)據(jù)庫造成真正的傷害。真正能被黑客利用入侵?jǐn)?shù)據(jù)庫的是高危漏洞和少量中危漏洞。因此，上述6個高危漏洞才是我們需要重點關(guān)注的。

3.按受影響組件屬性分類情況分析

2016年被爆出漏洞最多的兩種數(shù)據(jù)庫，同時也是市場占有率最高的兩種數(shù)據(jù)庫（Oracle，Mysql）。

1）、Oracle 的26個漏洞主要集中于java vm、XDB和Core RDBMS中（這三個占新漏洞的53%）。這3個組件中Core RDBMS 是oracle數(shù)據(jù)庫的最核心組件。Java VM是java 虛擬機負(fù)責(zé)運行Oracle中的Java代碼。XDB的漏洞往往來自于XDB，是負(fù)責(zé)處理XML的組件。此外，Oracle GoldenGate 、Data Pump Import 、OLAP等組件中也發(fā)現(xiàn)了一些安全威脅。

2）、MySQL今年共有102個漏洞，這和它代碼開源，外加平行版本、衍生版本（例如：MariaDB、PerconaDB等）較多不無關(guān)系。

3）、Postgresql今年表現(xiàn)很好，未出現(xiàn)新的安全漏洞。

今年的數(shù)據(jù)庫安全的防護重點應(yīng)該集中于MySQL和Oracle數(shù)據(jù)庫。因此，上云廠商尤其要關(guān)注他們的安全。云的環(huán)境讓數(shù)據(jù)庫過分暴露，很容易成為不法分子的目標(biāo)。

4.按漏洞的攻擊途徑分類情況分析

通常漏洞按攻擊途徑劃分為遠程服務(wù)器漏洞和本地漏洞： 

從上圖可知：遠程漏洞占74%，本地漏洞基本只占17%。而在遠程漏洞中，需要登入到數(shù)據(jù)庫在SQL層的漏洞遠多于協(xié)議層的漏洞。除去不確定的漏洞，SQL層占據(jù)了全部漏洞類型的81%，協(xié)議層漏洞則為9%。

5.數(shù)據(jù)庫漏洞利用趨勢

漏洞往往是扎堆被爆出，多個漏洞出現(xiàn)在同一函數(shù)、存儲過程中。數(shù)據(jù)庫漏洞中高危漏洞最為關(guān)鍵，對高危漏洞出現(xiàn)的函數(shù)、存儲過程進行安全加固，不但有利于防護已爆出的漏洞，更可能提高針對0day漏洞的預(yù)防能力。

2016年高危漏洞集中于數(shù)據(jù)庫Oracle 和MySQL中，分別：

·CVE-2016-3609

·CVE-2016-3489

·CVE-2016-3479

·CVE-2016-3454

·CVE-2016-0639

·CVE-2016-3471

數(shù)據(jù)庫安全發(fā)展到現(xiàn)在，權(quán)限的控制和輸入限制是永恒的話題。盡管緩沖區(qū)溢出和通訊協(xié)議破解的漏洞越來越少，但一旦出現(xiàn)將是數(shù)據(jù)庫的噩夢。今年6個高危漏洞中的3個是緩沖區(qū)溢出漏洞。SQL層入侵依舊是漏洞中的主流，基本80%以上的漏洞都屬于SQL層入范疇。作為數(shù)據(jù)庫管理員請嚴(yán)格分配用戶權(quán)限，防止分配給用戶過高權(quán)限；對非必要服務(wù)請進行禁用或卸載，防止其中存在的漏洞被黑客利用，入侵?jǐn)?shù)據(jù)庫。

三、數(shù)據(jù)庫系統(tǒng)的安全建議

數(shù)據(jù)庫漏洞影響廣、威脅大，防護者除了積極更新補丁外，還可通過合理配置提高入侵難度的特性。對數(shù)據(jù)庫漏洞進行研究探索將有助于預(yù)知數(shù)據(jù)庫可能出現(xiàn)0day漏洞的位置，幫助客戶對數(shù)據(jù)庫可能被入侵組件進行加固。加固數(shù)據(jù)庫安全要從三個方面進行，嚴(yán)格限制弱口令、及時排出配置問題、定期升級補丁和對第三方惡意SQL語句進行審查。

1.入侵事前檢查防護

網(wǎng)絡(luò)中任何一點的漏洞都可能導(dǎo)致數(shù)據(jù)泄露，定期對整個網(wǎng)絡(luò)環(huán)境進行弱點掃描，定期請專人對整個網(wǎng)絡(luò)做滲透測試，同時可以通過Web安全掃描器、數(shù)據(jù)庫漏洞掃描器等相關(guān)產(chǎn)品對整個環(huán)境進行安全檢查。尤其要注意掃描器需要具備掃描后門、惡意SQL痕跡的能力。

2.入侵事中阻斷防御

事中防御的重點是準(zhǔn)確的判斷出哪些語句或行為可能會引發(fā)入侵動作。推薦在數(shù)據(jù)庫和應(yīng)用系統(tǒng)之間串聯(lián)數(shù)據(jù)庫防火墻：從數(shù)據(jù)庫層防護和阻斷SQL注入行為；具備虛擬補丁功能，給不打補丁的數(shù)據(jù)庫帶來和打補丁一樣的安全；對第三方惡意組件中的惡意語句，有解密并阻斷效果。

3.入侵事后減小損失

通過對用戶訪問數(shù)據(jù)庫行為的記錄、審計分析，幫助用戶事后進行數(shù)據(jù)泄密行為的追根溯源，提高數(shù)據(jù)資產(chǎn)安全。

數(shù)據(jù)庫跟隨業(yè)務(wù)逐漸從后臺走向前臺，從內(nèi)網(wǎng)走向外網(wǎng)，從實體走向虛擬（云）。數(shù)據(jù)庫處于新的環(huán)境之中，給黑客帶來了更多入侵的機會。最后，提醒大家遵循一些簡單的原則防止或緩解數(shù)據(jù)庫受到的威脅：

·和數(shù)據(jù)庫關(guān)聯(lián)的軟硬件，請使用官方正版，防止破解版中被植入后門、惡意SQL等內(nèi)容威脅數(shù)據(jù)庫安全。

·按時安裝數(shù)據(jù)庫最新補丁，如果有某種原因無法及時打補丁，也請使用VPATCH功能保護數(shù)據(jù)庫安全。

·合理的配置，定期通過工具管理數(shù)據(jù)庫用戶名和密碼，防止弱口令和錯誤配置出現(xiàn)。

點擊獲取完整版報告