欧美乱码精品一区二区三区,风流少妇又紧又爽又丰满,被债主在夫面前人妻被强,国产精品视频永久免费观看

一、2016年數(shù)據(jù)庫(kù)安全形勢(shì)綜述

大數(shù)據(jù)時(shí)代的來臨，使得各個(gè)行業(yè)數(shù)據(jù)量成BT級(jí)別增長(zhǎng)。數(shù)據(jù)庫(kù)被廣泛使用在各種新的場(chǎng)景中。數(shù)據(jù)庫(kù)本身是被設(shè)計(jì)在內(nèi)網(wǎng)之中的，處在相對(duì)安全的環(huán)境中。而現(xiàn)在發(fā)展的趨勢(shì)是內(nèi)外網(wǎng)逐漸融合，數(shù)據(jù)庫(kù)將面臨大量新型場(chǎng)景，由此伴隨而來的安全威脅無法靠數(shù)據(jù)庫(kù)現(xiàn)有安全機(jī)制來進(jìn)行防護(hù)。數(shù)據(jù)庫(kù)的優(yōu)良性能和落后的安全機(jī)制成為鮮明的對(duì)比。數(shù)據(jù)庫(kù)現(xiàn)在首要需要解決的就是有針對(duì)的加強(qiáng)某些場(chǎng)景下的安全防護(hù)能力。否則安全將成為數(shù)據(jù)庫(kù)的“阿喀琉斯之踵”。

為了提高數(shù)據(jù)庫(kù)用戶的安全意識(shí)，快速反饋?zhàn)钚聰?shù)據(jù)庫(kù)漏洞被利用方向，安華金和數(shù)據(jù)庫(kù)攻防實(shí)驗(yàn)室（以下簡(jiǎn)稱：DBSec Labs）最新發(fā)布《2016年數(shù)據(jù)庫(kù)漏洞安全威脅報(bào)告》。數(shù)據(jù)選取截至2016年12月，該報(bào)告用于快速跟蹤及反饋數(shù)據(jù)庫(kù)安全的發(fā)展態(tài)勢(shì)。該報(bào)告回顧了2016年全球超過10萬起安全事件和2260起已經(jīng)確認(rèn)的數(shù)據(jù)泄漏事件。根據(jù)verizon統(tǒng)計(jì)報(bào)告，全球數(shù)據(jù)庫(kù)泄露事件呈現(xiàn)緩步提高趨勢(shì)，手段和方式呈現(xiàn)多種變化。分析已確認(rèn)的2260起數(shù)據(jù)泄露事件，泄露源7成以上和數(shù)據(jù)庫(kù)相關(guān)。數(shù)據(jù)庫(kù)信息泄露主要是由人為因素、數(shù)據(jù)庫(kù)自身安全漏洞和第三方惡意組件造成，三大因素共同成為威脅數(shù)據(jù)庫(kù)安全的“三駕馬車”。

下面，我們將從該調(diào)查報(bào)告中截取部分內(nèi)容，從不同維度對(duì)2016年度數(shù)據(jù)庫(kù)漏洞加以盤點(diǎn)。

二、多維度盤點(diǎn)2016年數(shù)據(jù)庫(kù)漏洞

數(shù)據(jù)庫(kù)安全威脅主要來自三個(gè)方面，其中數(shù)據(jù)庫(kù)漏洞威脅依舊是數(shù)據(jù)庫(kù)最嚴(yán)重的威脅。本文將從漏洞時(shí)間分布、漏洞威脅分布、數(shù)據(jù)庫(kù)廠商爆出漏洞比例、受影響組件和漏洞類型分類等5個(gè)角度來研究數(shù)據(jù)庫(kù)漏洞，最終總結(jié)出漏洞的趨勢(shì)，提醒客戶提早應(yīng)對(duì)。（本文的漏洞都取自NVD-美國(guó)國(guó)家漏洞庫(kù)。）

1.按發(fā)布時(shí)間分布情況分析

1996年開始數(shù)據(jù)庫(kù)進(jìn)入安全團(tuán)隊(duì)的視野。同年4月份Oracle被披露出第一個(gè)安全漏洞。從1999年的4個(gè)漏洞開始，漏洞數(shù)量每年穩(wěn)步增長(zhǎng)，到2012年一年被爆出116個(gè)漏洞。本文選取了2012年至今的5個(gè)主流數(shù)據(jù)庫(kù)（oracle 、mssql、MySQL、db2、postgresql）漏洞來進(jìn)行分析。下面是5年對(duì)比圖， 2016年截止到12月份初被確認(rèn)數(shù)據(jù)庫(kù)漏洞一共136個(gè)。

和去年比，漏洞數(shù)量增加了62個(gè)，增幅達(dá)到81%。這和今年新出的一些新攻擊手法以及各家數(shù)據(jù)庫(kù)開發(fā)了一些新功能密切相關(guān)。數(shù)據(jù)庫(kù)安全漏洞總數(shù)呈下降趨勢(shì)，但基本屬于一年高一年低的狀態(tài)。數(shù)據(jù)庫(kù)安全切莫掉以輕心。 

具體細(xì)分，今年的136個(gè)數(shù)據(jù)庫(kù)漏洞來自4個(gè)數(shù)據(jù)庫(kù)。（postgresql無漏洞）如下圖所示：

136個(gè)漏洞中， Mysql占到102個(gè)，占全年漏洞的75%，主要集中在5.5、5.6和5.7這三個(gè)主流版本中。所以，使用mysql的公司、團(tuán)體和個(gè)人及時(shí)對(duì)自己的mysql數(shù)據(jù)庫(kù)進(jìn)行補(bǔ)丁升級(jí)。有研發(fā)能力的單位最好對(duì)mysql源碼進(jìn)行源碼審計(jì)，修復(fù)其中的問題。關(guān)閉和自己業(yè)務(wù)無關(guān)的組件，編譯出適合自己應(yīng)用需求的客制化mysql。Oracle數(shù)據(jù)庫(kù)也被爆出26個(gè)漏洞，數(shù)量位列第二。各廠商產(chǎn)品的漏洞數(shù)量不僅與產(chǎn)品自身的安全性有關(guān)，而且也和廠商的產(chǎn)品數(shù)量、產(chǎn)品的復(fù)雜度、受研究者關(guān)注程度等多種因素有關(guān)。因此，并不能簡(jiǎn)單地認(rèn)為公開漏洞數(shù)量越多的廠商產(chǎn)品越不安全。雖然Oracle漏洞數(shù)量占到93%，但其實(shí)Oracle無論是性能還是安全性在同業(yè)者中都處于前列。

2.按威脅類型分布情況分析

按照對(duì)數(shù)據(jù)庫(kù)的機(jī)密性、完整性和可用性的影響程度漏洞可分成3大類：高威漏洞、中危漏洞和低危漏洞。其中高危漏洞必須及時(shí)處理，低危和中危漏洞在某些特定情況下也會(huì)達(dá)到高危漏洞的危害程度，所以切莫輕視。在2016年被確認(rèn)的136個(gè)漏洞中高危漏洞有6個(gè)，中危漏洞有88個(gè)低危漏洞有42個(gè)。

其中，最受關(guān)注的是高危漏洞，高危漏洞集中分布在Oracle和mysql數(shù)據(jù)庫(kù)中。高危漏洞占漏洞總數(shù)的4%，中危漏洞數(shù)量最多占據(jù)了65%、低威脅漏洞占據(jù)31%的比例。

其中，低危漏洞基本不會(huì)對(duì)數(shù)據(jù)庫(kù)造成真正的傷害。真正能被黑客利用入侵?jǐn)?shù)據(jù)庫(kù)的是高危漏洞和少量中危漏洞。因此，上述6個(gè)高危漏洞才是我們需要重點(diǎn)關(guān)注的。

3.按受影響組件屬性分類情況分析

2016年被爆出漏洞最多的兩種數(shù)據(jù)庫(kù)，同時(shí)也是市場(chǎng)占有率最高的兩種數(shù)據(jù)庫(kù)（Oracle，Mysql）。

1）、Oracle 的26個(gè)漏洞主要集中于java vm、XDB和Core RDBMS中（這三個(gè)占新漏洞的53%）。這3個(gè)組件中Core RDBMS 是oracle數(shù)據(jù)庫(kù)的最核心組件。Java VM是java 虛擬機(jī)負(fù)責(zé)運(yùn)行Oracle中的Java代碼。XDB的漏洞往往來自于XDB，是負(fù)責(zé)處理XML的組件。此外，Oracle GoldenGate 、Data Pump Import 、OLAP等組件中也發(fā)現(xiàn)了一些安全威脅。

2）、MySQL今年共有102個(gè)漏洞，這和它代碼開源，外加平行版本、衍生版本（例如：MariaDB、PerconaDB等）較多不無關(guān)系。

3）、Postgresql今年表現(xiàn)很好，未出現(xiàn)新的安全漏洞。

今年的數(shù)據(jù)庫(kù)安全的防護(hù)重點(diǎn)應(yīng)該集中于MySQL和Oracle數(shù)據(jù)庫(kù)。因此，上云廠商尤其要關(guān)注他們的安全。云的環(huán)境讓數(shù)據(jù)庫(kù)過分暴露，很容易成為不法分子的目標(biāo)。

4.按漏洞的攻擊途徑分類情況分析

通常漏洞按攻擊途徑劃分為遠(yuǎn)程服務(wù)器漏洞和本地漏洞： 

從上圖可知：遠(yuǎn)程漏洞占74%，本地漏洞基本只占17%。而在遠(yuǎn)程漏洞中，需要登入到數(shù)據(jù)庫(kù)在SQL層的漏洞遠(yuǎn)多于協(xié)議層的漏洞。除去不確定的漏洞，SQL層占據(jù)了全部漏洞類型的81%，協(xié)議層漏洞則為9%。

5.數(shù)據(jù)庫(kù)漏洞利用趨勢(shì)

漏洞往往是扎堆被爆出，多個(gè)漏洞出現(xiàn)在同一函數(shù)、存儲(chǔ)過程中。數(shù)據(jù)庫(kù)漏洞中高危漏洞最為關(guān)鍵，對(duì)高危漏洞出現(xiàn)的函數(shù)、存儲(chǔ)過程進(jìn)行安全加固，不但有利于防護(hù)已爆出的漏洞，更可能提高針對(duì)0day漏洞的預(yù)防能力。

2016年高危漏洞集中于數(shù)據(jù)庫(kù)Oracle 和MySQL中，分別：

·CVE-2016-3609

·CVE-2016-3489

·CVE-2016-3479

·CVE-2016-3454

·CVE-2016-0639

·CVE-2016-3471

數(shù)據(jù)庫(kù)安全發(fā)展到現(xiàn)在，權(quán)限的控制和輸入限制是永恒的話題。盡管緩沖區(qū)溢出和通訊協(xié)議破解的漏洞越來越少，但一旦出現(xiàn)將是數(shù)據(jù)庫(kù)的噩夢(mèng)。今年6個(gè)高危漏洞中的3個(gè)是緩沖區(qū)溢出漏洞。SQL層入侵依舊是漏洞中的主流，基本80%以上的漏洞都屬于SQL層入范疇。作為數(shù)據(jù)庫(kù)管理員請(qǐng)嚴(yán)格分配用戶權(quán)限，防止分配給用戶過高權(quán)限；對(duì)非必要服務(wù)請(qǐng)進(jìn)行禁用或卸載，防止其中存在的漏洞被黑客利用，入侵?jǐn)?shù)據(jù)庫(kù)。

三、數(shù)據(jù)庫(kù)系統(tǒng)的安全建議

數(shù)據(jù)庫(kù)漏洞影響廣、威脅大，防護(hù)者除了積極更新補(bǔ)丁外，還可通過合理配置提高入侵難度的特性。對(duì)數(shù)據(jù)庫(kù)漏洞進(jìn)行研究探索將有助于預(yù)知數(shù)據(jù)庫(kù)可能出現(xiàn)0day漏洞的位置，幫助客戶對(duì)數(shù)據(jù)庫(kù)可能被入侵組件進(jìn)行加固。加固數(shù)據(jù)庫(kù)安全要從三個(gè)方面進(jìn)行，嚴(yán)格限制弱口令、及時(shí)排出配置問題、定期升級(jí)補(bǔ)丁和對(duì)第三方惡意SQL語句進(jìn)行審查。

1.入侵事前檢查防護(hù)

網(wǎng)絡(luò)中任何一點(diǎn)的漏洞都可能導(dǎo)致數(shù)據(jù)泄露，定期對(duì)整個(gè)網(wǎng)絡(luò)環(huán)境進(jìn)行弱點(diǎn)掃描，定期請(qǐng)專人對(duì)整個(gè)網(wǎng)絡(luò)做滲透測(cè)試，同時(shí)可以通過Web安全掃描器、數(shù)據(jù)庫(kù)漏洞掃描器等相關(guān)產(chǎn)品對(duì)整個(gè)環(huán)境進(jìn)行安全檢查。尤其要注意掃描器需要具備掃描后門、惡意SQL痕跡的能力。

2.入侵事中阻斷防御

事中防御的重點(diǎn)是準(zhǔn)確的判斷出哪些語句或行為可能會(huì)引發(fā)入侵動(dòng)作。推薦在數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)之間串聯(lián)數(shù)據(jù)庫(kù)防火墻：從數(shù)據(jù)庫(kù)層防護(hù)和阻斷SQL注入行為；具備虛擬補(bǔ)丁功能，給不打補(bǔ)丁的數(shù)據(jù)庫(kù)帶來和打補(bǔ)丁一樣的安全；對(duì)第三方惡意組件中的惡意語句，有解密并阻斷效果。

3.入侵事后減小損失

通過對(duì)用戶訪問數(shù)據(jù)庫(kù)行為的記錄、審計(jì)分析，幫助用戶事后進(jìn)行數(shù)據(jù)泄密行為的追根溯源，提高數(shù)據(jù)資產(chǎn)安全。

數(shù)據(jù)庫(kù)跟隨業(yè)務(wù)逐漸從后臺(tái)走向前臺(tái)，從內(nèi)網(wǎng)走向外網(wǎng)，從實(shí)體走向虛擬（云）。數(shù)據(jù)庫(kù)處于新的環(huán)境之中，給黑客帶來了更多入侵的機(jī)會(huì)。最后，提醒大家遵循一些簡(jiǎn)單的原則防止或緩解數(shù)據(jù)庫(kù)受到的威脅：

·和數(shù)據(jù)庫(kù)關(guān)聯(lián)的軟硬件，請(qǐng)使用官方正版，防止破解版中被植入后門、惡意SQL等內(nèi)容威脅數(shù)據(jù)庫(kù)安全。

·按時(shí)安裝數(shù)據(jù)庫(kù)最新補(bǔ)丁，如果有某種原因無法及時(shí)打補(bǔ)丁，也請(qǐng)使用VPATCH功能保護(hù)數(shù)據(jù)庫(kù)安全。

·合理的配置，定期通過工具管理數(shù)據(jù)庫(kù)用戶名和密碼，防止弱口令和錯(cuò)誤配置出現(xiàn)。

點(diǎn)擊獲取完整版報(bào)告