作者： 安华金和

报告核心观点 为了提高广大用户的安全意识，国内专业数据库安全厂商安华金和，综合来自补天、乌云、漏洞盒子等漏洞平台高危数据安全漏洞，发布每日安全资讯，数据库攻防实验室（DBSec Labs）以月为单位，将数百个高危漏洞汇总，形成分析报告，分享广大用户及合作伙伴。 10月报告核心观点 格局不变，SQL注入重回“王者” 白帽子“独爱”政府，60个漏洞 10月常见数据泄露原因分析 从SQL角度防守SQL注...

 原创作者：安华金和 思成 数据库的安全是长期存在的问题。在目前大量的数据泄露事件以及漏洞面前，大家看到的大都是SQl注入、越权操作、缓冲区溢出等这些具体漏洞。往往却忽视了造成这些问题的前提，黑客想要入侵数据库一定会尝试获取数据库ip、端口和数据库版本号。没有ip和端口黑客对数据库的攻击将无从下手，也就无法对数据库发动真正有效的进攻。所以防止数据库ip 、端口和版本号的泄露是防止黑客入侵数据库的第...

10月22日，新云南皇冠假日酒店，第七届中国系统架构师大会拉开帷幕，这里成为2000多位架构师、CTO、工程师、IT经理、运维总监、开发经理等技术群体的聚集地，恰逢大数据时代，本届大会以 “互联网+ 重塑IT架构”为核心主题，大会内容从IT架构设计、系统管理运维、安全保障支撑等不同角度，为与会人员献上一场饕餮盛宴。 数据存量的爆炸性增长、传统的安全藩篱被打破，核心数据亟待安全保障，风险安全责任全员...

用户在思考，厂商就变革。当各类安全重型“武器”摆在客户面前使用时，当客户的IT系统在各个层面均需要不同的安全设备防护时，问题来了：如同盔甲上身，武器装备多了，动作步伐也会变得沉重起来。安华金和关注数据存储的最核心介质——数据库安全，自主研发产品，不断体会客户的使用感受，提升产品易用性，让安全运维变得轻盈可控。数据库虚拟补丁技术，就是在这种理念下的一种技术产物。 什么是数据库虚拟补丁 虚拟补丁技术是...

北京警方近日成功打掉一个敲诈勒索的犯罪团伙。犯罪嫌疑人利用掌握的大量学生信息，打电话勒索家长，准确说出孩子的姓名、出生年月、就读班级以及家长的姓名、工作单位和地址，胁迫家长花钱“消灾”，否则孩子将受伤害。 新华社、网易各大新闻媒体纷纷就此事报道并发表评论。媒体评论中，从立法、个人信息安全意识以及堵住泄露源头三个方面阐述了学生信息保护的重点所在。 那么信息泄露的源头究竟在哪呢？泄露信息的过错又在谁呢...

随着信息化的发展，数据库安全问题成为当前政府和企事业单位用户关注的焦点，数据库审计产品已经成为当前信息安全产品的盛宠。 当前在市面上存在着几十种数据库审计产品，这些产品集中起来大约可分四种类型： （1）在网络审计产品的基础上经过简单包装推出数据库审计产品的既有网络审计产品厂商，比如国内几大安全厂商推出的数据库审计产品，安全圈都知道，不再例举； （2）针对数据库通讯协议的特点开发出专门的数据库审计产...

最近，补天再曝车辆信息泄露相关漏洞，小编有心汇集了近一年里，车量信息泄露的漏洞集合： 2015年08月29日 吉林省车管所SQL注入（泄漏百万车主信息） 2015年08月24日 苏州车管所低利用难度高危漏洞，泄露全市车辆驾驶员信息 200w驾驶员 300w车辆信息泄露 2015年08月07日 焦作市公安交通警察支队车辆管理所存在上传漏洞（泄漏全市的车主信息） 2015年07月16日 温州市车管所系...

  最近，补天再曝车辆信息泄露相关漏洞，小编有心汇集了近一年里，车量信息泄露的漏洞集合： 2015年08月29日 吉林省车管所SQL注入（泄漏百万车主信息） 2015年08月24日 苏州车管所低利用难度高危漏洞，泄露全市车辆驾驶员信息 200w驾驶员 300w车辆信息泄露 2015年08月07日 焦作市公安交通警察支队车辆管理所存在上传漏洞（泄漏全市的车主信息） 2015年07月16日 ...

虚拟补丁技术是通过控制所保护系统的输入输出，防止对系统的漏洞攻击行为的技术。 虚拟补丁技术通过外围的方式，针对系统漏洞攻击的特征进行攻击行为发现和拦截的安全防御手段。它使漏洞防御的实施更为轻便，更加及时。虚拟补丁技术较早使用在web应用系统上，数据库的虚拟补丁是近几年最新提出的防御技术，较早提出的是Mcaffee，国内数据库安全厂商安华金和也是这方面的佼佼者。 数据库漏洞分类及成因 美国Veriz...

Verizon发布的《2015年数据泄露调查报告》中，79790个安全事件中2122个确认的数据泄露，值得关注的是在2015年的报告中新增了一个统计模型，用以帮助企业评估到底每笔数据泄露，要损失多少钱。如果泄露1000条记录时，有95%的可能会损失5.2万-8.7万。泄露1千万数据记录的花费介于210万到520万之间，但最多可能到7390万。引用报告原图： 几乎每天我们都能看到数据泄露事件的发生，...

《战国策》中描述“亡羊而补牢，未为迟也”，千百年来流传至今，但互联网时代，一切均有可能被颠覆，这句话对于当下的信息安全行业来说也许有些过时。狼偷走羊，养羊人可以补好羊圈重新来过。但是万物互联的时代，存在数据库中的的数据就不一样了，一次恶意入侵可能就会造成全部数据的丢失或者更为严重的后果，比如整表、整库数据恶意删除或者关键数据篡改。 随着企业信息化的快步发展，信息安全尤其是数据安全越来越凸显其重要性...

数据库防火墙是继防火墙、下一代防火墙等网关类安全产品之后，专门针对于数据存储的核心介质——数据库的一款安全防护产品。 关于数据库安全可以分为两个层面，一方面是来自于外部的威胁，比如说来自黑客的攻击、非法访问等，第三方运维人员的不当操作和非法入侵；另外一部分是来自于内部的威胁。 数据库防火墙部署于数据库之前。必须通过该系统才能对数据库进行访问或管理。数据库防火墙除提供网络防火墙的基本隔离功能以外，还...

创业型公司或者发展型公司都会犯错，关键是在犯错时企业经营者的态度会是怎样的，没有企业在创业发展过程中是一帆风顺的。前期犯错使我们早点经受这种煎熬，经历了这样的煎熬后，现在的很多事，用时下流行的一句话说“那都不叫事”。 安华金和专注于数据库安全，6年成长历程，让这家技术型初创企业开始在市场上频繁崭露头角。以四款成熟型数据库安全产品占据市场，数据库漏扫，数据库防火墙，数据库加密和数据库审计。覆盖了数据...

数据库漏洞扫描是对数据库系统进行自动化安全评估的专业技术，能够充分暴露并证明数据库系统的安全漏洞和威胁并提供智能的修复建议，将企业的数据库安全建设工作由被动的事后追查转变为事前主动预防，将数据库的安全自查由低效的人工方式提升到高效准确的自动检查方式，并以报表的方式呈现给用户，适时提出修补方法和安全实施策略，对数据库的安全状况进行持续化监控，从而帮助用户保持数据库的安全健康状态，实现“防患于未然”。...

不久前，安华金和获得了ISO9000质量体系认证，而Two-Weekly研发流程，作为本次质量体系认证过程中的很重要一项内容，被延续和规范化。