近日,由我国互联网技术紧急管理中心()撰写的《2019年中国互联网网络安全报告》(下称:《报告》)宣布公布。《报告》借助很多年来从业网络信息安全检测、预警信息和应急管理等工作中的具体情况,对在我国互联网技术网络信息安全情况开展整体分辨和变化趋势,具备关键的实用价值。
近些年,随着数据价值的持续提高,网络信息安全难题日益不容乐观。做为海量信息的“数字化媒介”,数据库所需应对的安全风险和风险性也节节攀升;而在与数据库相关的安全性威协中,“漏洞”肯定是跳但是的一大难题,它如同数据库安全性“木桶效应”中的那片薄弱点,假如不可以及时处理和堵漏,数据库以及网络信息安全都将沦落“一纸空话”。
《报告》中专业对于在我国地区数据库安全隐患排查及应急处置状况开展了发布——经剖析发觉,安全性漏洞是造成 互联网数据库存有数据泄漏安全隐患的关键要素,涉及到的数据库种类关键包含、、和等,涉及到的漏洞种类关键为未受权浏览和弱口令漏洞等。如圖数据统计所显示,因为数据库漏洞的存有,安全性受其危害的数据分析表总数(20000 )、信息量(1330 )和数据信息总数(1.78万亿元 )十分巨大!
一骑绝尘 · 有目共睹
《报告》针对“安全性漏洞是造成 互联网数据库存有数据泄漏安全隐患的关键要素”这一结果,与安华金和“数据库安全性的关键威协之一就来自于数据库漏洞”的见解高度一致;很多年坚持不懈对数据库漏洞发掘及安全防范工作中的深入分析与沉积,也为安华金和在该行业累积了丰富多彩的工作经验成效、领跑的技术性商品、健全的精英团队管理体系及其更明显的优点影响力。
安华金和集团旗下数据库防御试验室( )建立于2010年11月,是中国第一批创立的、产业化的数据库安全性科学研究组织,配置有一支单独、长久的,对于数据库安全性漏洞、数据库攻击技术性仿真模拟、数据库安全防范技术性等方位开展科学论证与科学研究工作中的专业团队。
是中国具有“国际性数据库漏洞发掘工作能力”的技术专业试验室,也是中国第一个对于数据库漏洞开展系统分类与定性研究的技术专业试验室,它在较长一段阶段弥补了中国数据库漏洞科学研究层面的空缺。在数据库漏洞发掘层面, 所包含的数据库范畴之广、发掘的数据库漏洞总数之多,在中国首屈一指;目前为止, 已对于、2、、、、、达梦等世界各国著名数据库生产商:
总计发掘、递交并验证数据库漏洞 65个
· 超危数据库漏洞 一个
· 高风险数据库漏洞 35个
· 中危数据库漏洞 23个
· 低危数据库漏洞 6个
注:另有10个数据库漏洞已经验证申请办理中。
总计重现数据库漏洞 74个
· 高风险数据库漏洞 23个
· 中危数据库漏洞 29个
· 低危数据库漏洞 五个
· 待定级数据库漏洞 17个
肺炎疫情期内, 不断进行数据库漏洞发掘及科学研究工作中,取得成功发觉2最新版高风险漏洞一个、中危漏洞两个,数据库堆栈溢出漏洞一个,及其国内数据库漏洞多个;并取得成功重现包含2019-2020年较最新版本、以内的好几个数据库漏洞。
除此之外, 依据很多年至今对数据库安全隐患剖析与安全防护实践活动的经验交流,相继撰写并公布专业对于、、 、2、、六大国际性流行数据库及其、、达梦三大国内流行数据库的《安全配置指导手册》。
独家代理产品研发 · 认证专用工具
根据融合本身对数据库漏洞及数据库攻击技术性的所有科研成果,独家代理设计方案产品研发出一套技术专业、高效率、靠谱的数据库漏洞认证专用工具——适用多种多样流行数据库种类、20 数据库版本号及其100 漏洞的认证;漏洞种类更包含优化算法破译、监视被劫持、跨站脚本攻击、注入、静态数据引入、标记连接、反序列化等;并适用渗透控制模块与脚本制作脱壳破解。除此之外,这款漏洞认证专用工具还具有下列五点优点:
1、全自动迅速鉴别数据库服务项目
有别于“解析数据库协议书”的传统式数据库鉴别方法,安华金和数据库认证专用工具选用更为高效率的数据库服务发现方式 ,可迅速精确地发觉互联网内生存的数据库服务项目。
2、全方位的数据库敏感点查验
一般的数据库敏感点查验是以现有数据库漏洞或数据库版本信息上开展的,这类查验方法并不全方位;而安华金和数据库认证专用工具可依据数据库漏洞的基础诱因,设计方案出多方位的敏感点查验方位,遮盖数据库全部很有可能造成漏洞的安全性要素,从电脑操作系统、数据库配备、数据库应用三方向对数据库的敏感点开展全方位查验。
3、多层面、多层次立体式攻击
为做到理想化的渗透攻击实际效果,安华金和数据库漏洞认证专用工具选用从“好几个层级和好几个层面”开展渗透攻击的方法——在其中好几个层级指的是传输层、数据库层、电脑操作系统层;好几个层面指的是在不一样方面,运用优化算法破译、监视被劫持、跨站脚本攻击、滥用权力浏览、引入、静态数据引入、标记链获取、滥用权力渗透、滥用权力遮盖等各种类型的数据库漏洞开展渗透。
4、自动化技术、智能化系统渗透攻击
渗透攻击是一个繁杂的全过程,必须依据总体目标数据库和自然环境的特性,目的性地运用合适的安全性漏洞和攻击脚本制作开展渗透攻击。安华金和数据库漏洞认证专用工具可以全自动依据总体目标数据库的电脑操作系统种类/版本号及其数据库种类/版本号,根据內建的漏洞攻击对策,智能化地挑选相符合的渗透攻击脚本制作对数据库开展渗透攻击;另外,攻击进行后会依据渗透結果全自动开展攻击实际效果检验,并依据攻击实际效果智能化挑选信息收集开展信息收集等后攻击实际操作,全部全过程不用人工控制。
5、出示数据库特有攻击方式
安华金和数据库认证专用工具出示的“数据库特有攻击方法”不同于传统式的手机软件攻击方法,是仅有在数据库行业才可以达到攻击实际效果的攻击方法;在其中包括数据库索引引入攻击、触发器原理引入攻击、輔助涵数引入攻击、游标引入攻击这些。这种特有攻击方法涉及到数据库目标、数据库事务管理种类、数据库管理权限、数据类型等数据库专业领域的有关数据处理方法工作能力。
的科学研究工作中仍未停步于向数据库生产商递交漏洞,只是根据所发觉的难题设计方案出对于数据库安全性设计方案架构的改进措施——依据对国际性流行数据库生产商有关安全防护技术性的深入分析,根据对各种计划方案的利与弊剖析,科技创新并明确提出具有国际性水准、业界独家代理的数据库安全性结构加固解决方法,能够更好地协助中国数据库生产商和众多数据库客户搭建有目的性的安全防护管理体系,达到不一样的数据库安全防范要求,为我国数据库及网络信息安全基本建设发展趋势出示强有力支撑点,让数据信息应用随意而安全性!
安华金和网络信息安全经营服务平台的网络信息安全整治解决方法
安华金和金融业数据标准化等级分类解决方法
营运商领域网络信息安全合规评定项目实施方案
技术专业的数据库数据加密商品应具有的作用
科谱|数据库数据加密的应用领域
