數(shù)據(jù)安全治理關(guān)鍵技術(shù)之?dāng)?shù)據(jù)庫脫敏技術(shù)詳解
數(shù)據(jù)安全治理之API監(jiān)測系統(tǒng) ,解決API接口安全問題【安華金和】
新一代數(shù)據(jù)庫脫敏技術(shù),為敏感數(shù)據(jù)建立保護(hù)盾!
數(shù)據(jù)庫脫敏系統(tǒng)與金融行業(yè)案例解讀
數(shù)據(jù)安全治理建設(shè)思路的著力點——數(shù)據(jù)安全咨詢服務(wù)【安華金和】
數(shù)據(jù)庫防火墻功能有哪些?-數(shù)據(jù)安全-安華金和
數(shù)據(jù)安全關(guān)鍵技術(shù)之?dāng)?shù)據(jù)庫脫敏技術(shù)詳解【安華金和】
中國數(shù)據(jù)安全治理落地指導(dǎo)書籍《數(shù)據(jù)安全治理白皮書5.0》正式發(fā)布(附下載)
前面的文章我們已經(jīng)分析過,現(xiàn)階段數(shù)據(jù)庫的安全威脅主要來自于人為因素、第三方惡意插件、數(shù)據(jù)庫本身系統(tǒng)漏洞三個方面。在這三個威脅中,數(shù)據(jù)庫本身系統(tǒng)的漏洞依舊是數(shù)據(jù)庫安全最嚴(yán)重的威脅,這不單是因為數(shù)據(jù)庫本身的漏洞對于數(shù)據(jù)庫的安全破壞性強(qiáng),其中還有一個重要原因就是隨著數(shù)據(jù)庫使用范圍的不斷擴(kuò)大,功能應(yīng)用的深入,系統(tǒng)中的漏洞也會不斷被暴露。
Oracle最近發(fā)布了今年的第一批安全補(bǔ)丁,這一批補(bǔ)丁共計修復(fù)了270個漏洞,在數(shù)據(jù)庫方面,在廣泛使用的MySQL數(shù)據(jù)庫服務(wù)器中修補(bǔ)了27個漏洞,在Oracle數(shù)據(jù)庫服務(wù)器和相關(guān)組件中修補(bǔ)了5個漏洞。Java中已經(jīng)修復(fù)了17個漏洞。但這還不是Oracle迄今為止最大的重要補(bǔ)丁更新,早在2016年7月發(fā)布了276個安全補(bǔ)丁。Oracle的補(bǔ)丁計劃一般按季度發(fā)布,據(jù)來自網(wǎng)絡(luò)安全公司ERPS的分析師指出,超過200個補(bǔ)丁的Oracle已經(jīng)成為常態(tài)。
在剛剛發(fā)布的安全補(bǔ)丁中,其中許多漏洞都可以被遠(yuǎn)程利用,而且無需身份驗證。大多數(shù)修復(fù)是針對Oracle電子商務(wù)套件,Oracle融合中間件,Oracle PeopleSoft,Oracle零售應(yīng)用,Oracle JD Edwards,Oracle供應(yīng)鏈產(chǎn)品和Oracle數(shù)據(jù)庫服務(wù)器等業(yè)務(wù)產(chǎn)品中的缺陷。占40%的補(bǔ)丁漏洞,其中118個可遠(yuǎn)程利用,最高評級的在常見漏洞評分系統(tǒng)中得分為9.2(至關(guān)重要)。另外37個漏洞在Oracle Financial Services中修補(bǔ),18個在Oracle融合中間件中修補(bǔ),8個在Oracle零售應(yīng)用中修補(bǔ),8個在Oracle PeopleSoft和4個在Oracle Primavera產(chǎn)品套件中修補(bǔ)。這些產(chǎn)品用于各種行業(yè)。
最關(guān)鍵的漏洞,CVSS評分為10,在Primavera P6企業(yè)項目組合管理中進(jìn)行了修補(bǔ)??梢酝ㄟ^HTTP利用漏洞,并可能導(dǎo)致未經(jīng)授權(quán)的關(guān)鍵數(shù)據(jù)的創(chuàng)建,刪除或修改。
Oracle WebLogic Server,PeopleSoft Enterprise PeopleTools,JD Edwards EnterpriseOne工具和企業(yè)管理器基礎(chǔ)平臺中的CVSS分?jǐn)?shù)為9.8,漏洞是固定的。如果不進(jìn)行修補(bǔ),這些可能導(dǎo)致受影響系統(tǒng)完全損害。
從以上兩點我們不難看出,不論是從數(shù)量,還是漏洞的危害和被利用程度上,數(shù)據(jù)庫本身的系統(tǒng)漏洞對于數(shù)據(jù)庫安全都存在相當(dāng)嚴(yán)重的危害性。數(shù)據(jù)庫往往存貯企業(yè)或者團(tuán)體的關(guān)鍵數(shù)據(jù),一旦被一些攻擊者破壞,將給企業(yè)帶來難以估量的損失。安華金和數(shù)據(jù)庫安全專家建議數(shù)據(jù)庫用戶要及時更新數(shù)據(jù)庫補(bǔ)丁,如果因為種種原因不能及時更新數(shù)據(jù)庫補(bǔ)丁,建議使用帶有虛擬補(bǔ)丁的數(shù)據(jù)庫防火墻對數(shù)據(jù)庫進(jìn)行保護(hù)。