作者： 安华金和

据美国科技媒体ZDNet援引一份报告内容显示，当裸金属（bare-metal）云服务器重新分配给其他客户之后，黑客依然可以通过修改固件来重新接入该服务器。裸金属服务器是云计算行业使用的一个术语，指的是一次只租给一名客户的物理服务器（硬件）。 租用裸金属服务器的客户可以获得完全访问权。他们可以随意进行各种调整，并将服务器用于各种目的，而不必担心服务器上的信息会被秘密共享给其他客户——这与采用虚拟化技...

一.  金融行业数据库安全现状 金融数据是近年来黑客的主要掠夺对象，据安全值对金融行业2764家机构的数据库情况进行统计，发现有613家的数据库直接暴露在互联网中。出问题的数据库依旧集中在mysql的多个常见老旧版本之中。这些老旧版本存在大量可利用的攻击漏洞，甚至部分的攻击脚本都可直接从互联网中获得。 二.  金融行业数据安全面临的威胁 2.1  敏感数据的共享安全 在金融单位，应用系统的开发、测...

一.  人社行业数据库安全现状 随着人力资源和社会保障信息化建设的推进，随之而来的安全威胁日益增多。近年来，社保系统成为个人信息泄露的重灾区。据媒体报道，仅从14年4月到15年4月，涉及国内19个省份的社保系统存在高危漏洞，共计5200万人的个人信息可能泄露。 二.  人社行业数据库安全面临的威胁 在人社行业，较为典型的网络环境，可分为公务员网、办公网、业务专网、公共服务网四张业务网络。本报告主要...

多名学者组成的团队近日宣布成功在4G/5G网络中发现三个新的安全漏洞，可用于拦截电话以及跟踪手机用户的位置。相关调查结果显示，这是首次同时影响现有4G网络和即将到来的5G标准的首批漏洞。5G网络声称提供更快的速度和更高的安全保护，并对窃听手机行为提供了更妥善的保护措施，但研究人员表示新型攻击方式可以绕过这些措施。 该论文的共同作者之一Syed Rafiul Hussain向外媒TechCrunch...

一.  现状 近年在国内，教育行业已经发生多起数据库泄露事件，案件相关人员隐私权益遭到严重损害，教育相关单位的声誉受到严重挑战。 据安全值针对教育行业中4477家数据库情况的统计，发现有515家的数据库直接暴露在互联网中。教育行业使用的数据库种类繁杂，版本多样。但大部分都是存在明显漏洞的旧版数据库。甚至其中有部分MongoDB数据库并未设置账号密码验证。黑客可以无需经过身份验证，入侵数据、盗取数据...

在享誉全球成为必备装机软件的同时，过去19年以来WinRAR也深受各种严重安全漏洞的负面影响。根据安全公司Check Point研究人员披露的细节，在WinRAR的UNACEV2.dll代码库中发现严重安全漏洞，而该库自2005年以来就一直没有被主动使用过。WinRAR在打开“booby-trapped”（诡雷代码）文件之后允许技术娴熟的攻击者执行“任意恶意代码”。 观看视频：https://pl...

电力行业数据库安全面临的挑战 近些年电力企业已经在持续加强信息安全建设，但是由于其网络复杂、业务特殊、系统繁多等特性，依然存在安全挑战，其中数据安全防护也存在一定的不足。 据国内风险评价机构“安全值”对电力行业中91家机构的数据库情况进行统计，发现超过两成比例的数据库直接暴露在互联网中。暴露在互联网上的数据库主要是mysql，并且大多使用的版本相当陈旧，mysql数据库最新版本中修复了大量已知安全...

CrowdStrike 刚刚发布了最新一期的全球网络安全威胁报告，指出在安全漏洞曝出之后，黑客最快可在不到 20 分钟的时间内展开行动。去年的时候，这家安全研究机构引入了“突破时间”的概念，特指首个节点设备遭到黑客入侵后，攻击者在网络中横向移动所需的时间。 CrowdStrike 表示，最新报告基于超过 3 万次企图入侵的数据。 CrowdStrike 衡量了各个地区的平均行动速度，发现在利益的驱...

数据库安全监控与审计产品（DBAudit），是目前安华金和产品演进处在最高级别的产品，也即目前公司全线产品中成熟度最高的产品。近半年多来，直接来自客户现场的功能需求逐渐进入到产品演进进度中，丰富了审计产品的特性，给客户带来新的使用价值，也为这款成熟度最高的产品不断注入新的活力。 一、全新的应用审计视角 传统数据库审计产品，以“数据被谁访问”的视角来反向溯源，审计出来的数据都是以数据库为单位，基于S...

援引瑞典科技媒体Computer Sweden报道，拨打给瑞典医疗保健热线1177 Vårdguiden的270万条通话录音信息在网络上曝光。长达17万小时、包含极其敏感信息的呼叫音频存储在开放的Web服务器上，并且没有经过任何的加密和身份认证，意味着互联网上的任意用户都可以通过Web浏览器完全访问这些个人信息。 外媒Computer Sweden表示曾聆听了部分录音信息，其中包括患者的疾病、目前...

数据库安全技术主要应用场景 作者：安华金和 发布时间：2019-02-19 在前面的文章中我们介绍了数据库安全的主要技术，分别是敏感数据梳理技术、数据库漏洞扫描技术、数据库防火墙技术、数据库安全运维技术、数据库加密技术、数据库脱敏技术、数据库审计技术, 本文主要针对每种技术的应用场景进行一个简要的介绍： 1）如果需要对数据资产进行梳理，比如对组织的数据资产进行统计及数据分级分类，可以使用数据资产梳...

数据库脱敏是一种采用专门的脱敏算法对敏感数据进行变形、屏蔽、替换、随机化、加密，并将敏感数据转化为虚构数据的技术。按照作用位置、实现原理不同，数据脱敏可以划分为静态数据脱敏（Static Data Masking, SDM )和动态数据脱敏（Dynamic Data Masking, DDM )。 静态脱敏一般用于非生产环境，在不能将敏感数据存储于非生产环境的场合中，通过脱敏程序转换生产数据，使数...

IBM发布了一套包括100万张多元化的人类脸部图像的（Diversity in Faces）数据合集，希望能够帮助开发者们训练基于人工智能和神经网络的脸部识别系统，提高AI在脸部识别方面的多样性和准确性，战胜面对年龄、性别和种族肤色差异的人脸识别时存在的技术偏见问题。 此前研究人员发现人脸识别分析软件依据其识别对象的年龄、性别和种族肤色的差异，结果会反馈出不同的准确性表现，存在一定的技术偏见。 整...

数据库加密作为近年来兴起的数据库安防技术，已经被越来越多的人所重视。这种基于存储层加密的防护方式，不仅可以有效解决数据库明文存储引起的泄密风险，也可以防止来自内部或者外部的入侵及越权访问行为。 从技术手段上来看，现今数据库加密技术主要有三大类，分别是前置代理及加密网关方式、应用层加密方式以及后置代理方式，其中后置代理技术有有两种不同的技术路线，分别为：基于视图和触发器的后置代理技术和基于TDE技术...

phpMyAdmin 4.8.5 发布了，该版本包含重要的安全修复程序，强烈建议用户进行升级。 其中修复如下的安全问题： 任意文件读取漏洞 (https://www.phpmyadmin.net/security/PMASA-2019-1) Designer 界面中的 SQL 注入 (https://www.phpmyadmin.net/security/PMASA-2019-2) 攻击者可以利用...