标签： 数据库安全

“CSDN泄密事件”、“小米用户账号信息曝光”、“Facebook数据泄”和“12306网站用户泄密事件”，“携程网数据库数据恶意删除”……触目惊心的数据泄漏事件一件接一件层出不穷。由数据库安全原因爆发的安全问题越来越多，引起政企事业单位和社会的极大关注与反思。 当前信息化安全时代，以数据库为基础的信息系统在金融、保险、医疗、通讯等领域的基础设施建设中都得到了非常广泛的应用。在这一新的网络环境下，...

传统的信息安全解决方案主要是通过网络传输通道加密、PKI或增强身份认证、防火墙、IPS、堡垒机等技术构成综合的信息安全应对策略，但这些方案在现实中变得弱不禁风，大量信息泄露事件频繁爆发，数据库在近期泄露事件中成为了主角。 这与我们在传统的安全建设中忽略了数据库安全问题有关，在传统的信息安全防护体系中数据库处于被保护的核心位置，不易被外部黑客攻击，同时数据库自身已经具备强大安全措施，表面上看足够安全...

数据库加密作为近年来兴起的数据库安防技术，已经被越来越多的人所重视。这种基于存储层加密的防护方式，不仅可以有效解决数据库明文存储引起的泄密风险，也可以防止来自内部或者外部的入侵及越权访问行为。 从技术手段上来看，现今数据库加密技术主要有三大类，分别是前置代理及加密网关方式、应用层加密方式以及后置代理方式。这三类技术各自的特点如何，彼此之间孰优孰劣，下文详尽介绍。 前置代理及加密网关技术 该技术思路...

北京安华金和科技有限公司（简称安华金和）长期致力于帮助客户应对数据库安全领域的威胁。为了提高数据库用户的安全意识，快速反馈最新数据库漏洞被利用方向，安华金和数据库攻防实验室（以下简称：DBSec Labs）最新发布《2015年上半年数据库漏洞威胁报告》。数据选取截至2015年上半年，该报告用于快速跟踪及反馈数据库漏洞的发展态势。 报告核心观点 上半年数据泄密事件回顾 Web数据库依旧是黑客的主要攻...

【IT168 访谈】企业如果要成为数据泄露频发事件的“幸存者”，不妨认真聆听安华金和CEO刘晓韬怎么说? 随着近几年数据泄露事件频发，包括一些拖库、撞库的事件也引起了众多网友的关注，个人隐私的泄露成为广大网友比较关注的问题，越来越多的企事业单位对此重视度提高。安华金和作为一家为客户持续提供全面的数据库安全产品及解决方案的厂商，对此有着自己独特的视角和看法。近期，安华金和CEO刘晓韬做客IT168演...

背景 最近《经济参考报》报道我国高校成为信息泄漏的重灾区，自2014年至2015年3月，漏洞分析平台补天显示的有效高校网站漏洞多达3495个。这些漏洞有的已造成教职员工或学生个人信息泄漏。西安交通大学信息安全法律研究中心主任马民虎表示，一方面高校涉及人数众多，并且包括大量学生和教授的隐私信息；另一方面很多重要院校还承担着国家众多科研和军工项目，这些都可能成为不法分子的目标。 随着校园信息化的快速建...

一个大型的应用系统就如同一个国家，维护国家的安全与稳定需要一整套的防御体系，同样维护一个应用系统的运行也需要一整套的安全防护体系。接下来我们从大明太祖高皇帝朱元璋的安邦治国策略来一起看看系统安全策略。 大明太祖高皇帝朱元璋，消灭群雄，建立明朝，统一中国；这就如同建立了一个庞大的应用系统。 为了抵御外敌修筑长城， 这就犹如在应用系统构筑了一道抵御外部入侵的网络防火墙。 为了刺探情报，监督百官，设置了...

MySQL安全配置

本文对网络信息安全攻击的实例考察，通过了解黑客攻击的路径及技术手段，让读者初步建立信息安全攻击威胁的感性认识，让安全从业者更多站在攻击者的视角思考安全防护。

百度某业务sql注入(管理人员账号密码泄露) 小米科技某服务器敏感信息泄漏 乐视漏洞小礼包之某处SQL注入+SVN泄露 爱奇艺昵称任意修改(可伪装admin) (来源：WooYun)   安华金和——您身边的数据库安全专家 神风搜集整理

明道通用性软件漏洞可导致9W多企业信息泄露26W多个人信息泄露 明道主站存在逻辑问题，导致26W多个人用户基本信息泄露。包括个人所在的企业，个人姓名，性别，公司职位，个人邮箱，电话号码等。 17173某重要分站站漏洞，通过SQL注入可获得DBA权限 SAP Sybase ASE中存在SQL注入漏洞 SAP Sybase ASE中存在SQL注入漏洞，该漏洞源于程序在构造SQL查询语句之前没有充分过滤...

数据库漏洞的存在有多种方式，由于每一个现实的场景由多维组合而成，因此数据库漏洞对应也可以从不同角度归类划分。这种分类将更有利于我们掌握对每种漏洞的防护技术。 安华金和数据库安全实验室主要从以下九个角度对数据库漏洞进行分类介绍： 1.从漏洞作用范围划分 远程漏洞：攻击者可以利用并直接通过网络发起对数据库攻击的漏洞。这类漏洞危害极大，攻击者能随心所欲的通过此漏洞危害网络上可辨识的数据库。此类漏洞为黑客...

4月底，安华金和与绿盟科技，与金融全行业用户相聚在美丽的厦门，展开金融行业安全培训活动。安华金和高级咨询讲师谭峻楠面向来自银行、证券、保险行业的安全、运维、风险管理人员，进行数据库安全技术讲解。与会人员反馈，通过这次培训，大家充分了解数据库泄露原因，提升数据库安全防范的意识；同时对数据库安全防护技术和金融行业针对性防护方案有进一步深入了解的兴趣。 通过这次培训，会后与会学员反馈如下： 用户安全防范...

信息化安全的提升，某种程度上，依赖于攻击与防护对抗的碰撞力度。攻击愈烈，防守意识愈能提升，安全防护的技术水平和能力愈加速发展；而防守越强，同时也刺激攻击手段不断“创新”与“求变”。 本次社保行业信息泄露事件的集中报道，就是信息化安全攻与防较量的一个典型代表。 1、社保数据遭受泄露事件曝光绝不”纯属偶然”； 7天连锁酒店的600万会员信息泄密； CSDN 1000多万客户信息被窃取； 12306网站...

针对今日全网大规模报道的全国30省市社保用户信息泄露事件，安华金和对乌云历史报道的社保行业相关漏洞进行集中分析，得出的结论为：大量的信息泄露主要由软件中存在的SQL注入漏洞引起，而且由外部黑客入侵引起。 实际上根据安华金和对社保行业的掌握情况，不仅仅是外部黑客，同时社保内部的运维人员、第三方的开发人员、甚至社保系统的业务人员都可以通过直连到数据库，查看或修改相关信息，从而引起社保数据的批量泄露或篡...