2016年数据库洞漏安全威胁报告.docxVIP

2016年数据库漏洞安全威?胁报告■文档编号R?P-2016-01■密级?完全公开■版本编号?V1.0■日期2016?.12.11???2017安华?金和■版权声明本?文中出现的任何文字叙述、文?档格式、插图、照片、方法、?过程等内容，除另有特别注明?，版权均属安华金和所有，受?到有关产权及版权法保护。任?何个人、机构未经安华金和的?书面授权许可，不得以任何方?式复制或引用本文的任何片断?。目录2016年?数据库漏洞安全威胁报告1?一. 报告摘要3二.? 报告正文32.1 2?016年数据库安全形式综述?32.2数据库自身的安?全缺憾42.3数据库安?全威胁分析42.3.1?人为因素52.3.2数?据库本身系统安全分析6?2.3.3第三方恶意组件?92.3.4数据库安全小?结92.4数据库系统漏?洞的统计分析92.4.?1按发布时间分布情况分析?102.4.2按威胁类型?分布情况分析112.4?.3按厂商分布情况分析1?32.4.4按受影响组件?属性分类情况分析142?.4.5按漏洞的攻击途径分?类情况分析152.4.?6数据库漏洞利用趋势17?2.5数据库系统的安全建?议17三. 结束语1?9附录A联系作者20?附录B关注安华金和2?0报告摘要北京安华?金和科技有限公司（简称安华?金和）长期致力于帮助客户应?对数据库安全领域的威胁。为?了提高数据库用户的安全意识?，快速反馈必威体育精装版数据库漏洞被?利用方向，安华金和数据库攻?防实验室（以下简称：DBS?ec Labs）必威体育精装版发布《?2016年数据库漏洞安全威?胁报告》。该报告用于快速跟?踪及反馈数据库安全的发展态?势。报告正文2016年?数据库安全形式综述《20?16年度数据泄露调查报告》?回顾了2016年全球超过1?0万起安全事件和2260起?已经确认的数据泄漏事件。根?据verizon统计报告，?全球数据库泄露事件呈现缓步?提高趋势、手段和方式呈现多?种变化。分析已确认的226?0起数据泄露事件，泄露源7?成以上和数据库相关。数据库?信息泄露主要是由人为因素、?数据库自身安全漏洞和第三方?恶意组件造成。人为因素主?要指人为对数据库的错误配置?或使用弱口令和默认口令。错?误配置和弱口令往往成为不法?分子窥探数据库的入口。利用?这个入口不法分子结合数据库?漏洞或第三方恶意组件对数据?库实施入侵。在1600多起?数据库泄露事件中，有63%?和弱口令和错误配置相关。?数据库漏洞是数据库被入侵最?常见的方式，但利用漏洞的方?式发生了变化。零日漏洞和已?知漏洞使用比例几乎持平，很?多攻击利用的是已知漏洞。前?10位常用漏洞中已知漏洞占?据了55%的比例。其中很多?漏洞已经被公开很多年，相关?补丁也早已推出数年。数据库?由于各种考虑不及时打补丁，?给不法分子极大的可操作空间?。第三方恶意组件成为数据?库安全的新威胁。今年年底闹?得沸沸扬扬的Oracle数?据库比特币勒索事件就是这方?面的代表。不法分子通过散播?存在恶意SQL语句的数据库?工具，向误用该工具的企业勒?索赎金。这种绑架数据勒索用?户的方式，正急速扩大其攻击?范围。很可能在明年将成为数?据库安全的首要威胁。人为?因素、数据库漏洞、第三方恶?意组件共同成为现今威胁数据?库安全的“三驾马车”。本文?通过梳理这三种方式的原理，?以及主流数据库的高危漏洞分?布情况，力求使客户明确明年?数据库安全防护的侧重点。?数据库自身的安全缺憾数据?库随着大数据库时代的到来，?云平台的流行，物联网的兴起?，数据库的应用范围越来越广?泛，基本上每个领域都能见到?数据库的身影。从世界500?强公司到各国政府机关，数据?库在其中扮演着非常重要的角?色，很多重要和敏感的信息都?保存在数据库中，例如个人银?行账号密码、政府机密资料、?军事核心武器设计图等。因此?，数据库成为入侵者越来越有?价值的攻击目标，一旦获得数?据库权限，入侵者则可以获得?非常有价值的数据。因此，确?保数据库以及数据库中的数据?安全至关重要。数据库被设?计的目的就是以有序和易于检?索的方式提供大量数据的服务?。大数据时代的来临，使得各?个行业数据量成BT级别增长?。数据库被广泛使用在各种新?的场景中。数据库本身是被设?计在内网之中的，一个相对安?全的环境中。而现在发展的趋?势是内外网逐渐融合，数据库?将面临大量新型场景。其中很?多新型场景面临的安全威胁是?数据库现有安全机制无法防护?的。数据库的优良性能和落后?的安全机制成为鲜明的对比。?数据库现在首要需要解决的就?是有针对的加强某些场景下的?安全防护能力。否则安全将成?为数据库的“阿喀琉斯之踵”?。数据库安全威胁分析数?据库对安全的设计最初是依照?美国国防部标准形成，并逐渐?发展和强化。但是随着大数据?的兴起，数据库开始进入更多?领域，开发更