4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

安华金和数据库攻防实验室(DBSec Labs)于2010年11月成立,是我国一支独立的、持久的针对数据库安全漏洞、数据库攻击技术模拟和数据库安全防护技术进行研究的专业队伍。

一、DBSLab成立的背景

2010年11月30日普华永道发布的本年度全球信息安全调查报告显示,中国企业信息安全事故发生率远远高于世界平均水平。网络事故、数据事故及系统事故是三大中国企业常见的信息安全事故,发生率分别为51%、45%、和40%。而相同事故在全球范围内的发生率则为25%、27%与23%。也就是说,中国企业发生信息安全事故的概率是世界平均水平的2倍左右。而这个数据与2009年相比仍呈现一定程度的上升趋势。

美国Verizon在最近就“核心数据是如何丢失的”做一次全面的市场调查,结果发现,92%的数据丢失情况是由于数据库漏洞造成的,这说明数据库的安全非常重要。

Verizon数据泄漏调查

企业核心信息的80%是以结构化信息,即数据形式存在的。数据作为企业核心资产,一旦发生非法访问、数据篡改、数据盗取,将给企业在信誉和经济上带来巨大损失。发生如此严重事件的原因是企业对信息安全的举措尚未得到全面落实,但非个例。全球独立的ORACLE用户组织(IOUG)在2010年对其430个成员的数据安全调查报告中发现:

3/4的成员不清楚特权用户对数据库进行过何种操作

2/3的成员不能有效防止特权用户对数据库的非授权访问

85%的成员将真实数据不加防范地交与开发人员或第三方人员

将近一半的成员对其非特权用户访问敏感数据毫无措施

大多数成员都未能及时采取防范SQL注入的攻击

显然数据库安全建设在国内乃至全球都是一个新型的安全领域;过去十多年病毒问题、网络安全问题的广泛暴露,用户的网络安全意识、主机安全意识得到显著提升,网络安全和主机安全产品和解决方案成为安全建设的主体;但这些安全建设忽视了数据库安全问题,使数据库安全成为信息系统安全的最大软肋。以下是最近典型爆发的数据库安全事件:
 数据库泄密事件

二、DBSLab的研究职责

1、数据库安全漏洞

对数据库安全漏洞进行研究,是DBSLab的首要职责。

当前我国广泛地使用Oracle、SQL Server和DB2等国外数据库产品,我国安全产品自主化的基本国策,确定了对国外数据库产品的漏洞和后门研究,关系着国家安全需求。

DBSLab同时将投入力量对广泛使用的MySQL、Postgre等开源数据库进行安全漏洞研究;投入力量对武汉达梦、人大金仓、神舟通用、南大通用的数据库产品进行安全漏洞研究。

2、黑客数据库入侵手段:

黑客入侵数据库不仅利用数据库的自身漏洞,还会利用合法应用系统提供的漏洞途径(如SQL注入),操作系统漏洞(文件层攻击),网络漏洞(网络通讯捕获)等手段获得数据库内的储存信息。DBSLab将对这些黑客攻击手段进行研究。

3、数据库防护手段:

DBSLab将对数据库漏洞扫描、Web SQL注入扫描、网络监控与分析、数据库加密、增强认证、增强权限、数据库应用安

三、实验室成果转化

1、数据库漏洞提交

DBSLab将把新发现的数据库漏洞提交给CVE(公共漏洞和暴露,Common Vulnerabilities & Exposures)组织,以及我国的CNNVD(中国国家信息安全漏洞库,China National Vulnerability Database of Information Security)组织,以利于安全厂商和安全用户共享。

2、研究成果公开

DBSLab将把大部分研究成果写成专业论文在杂志和网上公开发表,将相关的数据库攻击手段和防御措施录制成视频在网上发布,对典型数据库安全事件进行分析帮助用户了解数据库安全威胁,制作《数据库安全威胁与防护》企业内部杂志免费提供给用户。

3、数据库安全产品研发

DBSLab的研究成果将融入到安华金和的数据库安全产品系列中。数据库漏洞研究成果将融入到安华金和数据库漏洞扫描工具中(DBLScan),黑客攻击手段和数据库防护手段研究成果将融入到安华金和数据库保险箱(DBCoffer)、数据库防泄漏产品(DBLP)等产品中。

四、合作与交流

DBSLab将采用开放的心态积极与学院和社会数据库安全研究组织和团体进行沟通,将积极参与CVE组织(Common Vulnerabilities and Exposures,国际漏洞公布组织)、CNNVD组织的活动,以及国家等级保护和分级保护的技术研究中。

对外公开技术研究联系邮件地址:DBSLab@dbsec.cn

北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号