安华金和长期性着眼于协助顾客解决网络信息安全行业的威胁。为了更好地提升数据库客户的安全防范意识，迅速掌握全新数据库漏洞利用方位，最新发布《今年数据库漏洞安全性威胁汇报》。该汇报用以迅速追踪及意见反馈数据库安全性的发展趋势趋势。

一. ?数据库内、外界威胁对数据库安全性的危害

內部安全性威胁关键就是指数据库本身的安全系数，主要表现为各种数据库漏洞；外界安全性威胁关键反映在人为失误导致的数据库配备不善及其外界网络黑客数据库攻击。

1、內部威胁关键来源于数据库本身的部件

数据库內部安全性威胁具体表现在本身的三大部件上：数据库模块、SQL程序编写部件（比如PL/SQL）和互联网监视部件。利用数据库模块的漏洞，攻击者可以毁坏RDBMS关键，立即对接总体目标设备的RDBMS关键部件，还能够开展提权攻击，将低管理权限客户提权为DBA；利用SQL程序编写部件的漏洞，攻击者一样能够 完成数据库账户提权攻击；利用互联网监视部件的跨站脚本攻击漏洞，能够 立即夺得数据库所属服务器的电脑操作系统管理权限。

2、外界威胁关键来自系统设置不善和网络黑客攻击

数据库外界威胁具体表现在人为失误上，能够 分成系统设置不善和外界攻击。系统设置不善的关键表达形式有管理方法动态口令设定不善、数据库管理账户权限管理不善等，这种都是会提升数据库被侵入的风险性，从而导致公司或机构的数据资产泄漏或毁坏；外界攻击的关键威胁来自于网络黑客针对数据库的攻击个人行为，其关键方式主要表现为第三方故意部件攻击，比如数据库侧门、勒索软件、挖矿木马等。

二. ?Mysql漏洞多DB2漏洞比较严重

截至今年12月，CVE公布的被确定的国际性流行数据库漏洞总共140个，在其中Oracle 12个、MySQL 107个、Postgresql 4个、IBM DB2 14个。在其中Oracle被发觉的12个漏洞中含一个超危漏洞，4个高风险漏洞；MySQL数据库的107个漏洞中带有4个高风险漏洞，97其中危漏洞；Postgresql数据库发觉两个高风险漏洞；DB2数据库发觉11个高风险漏洞。

今年发生的数据库漏洞MySQL数据库为主导，绝大多数是中危漏洞， DB2数据库发生了好几个高风险漏洞，这两大类数据库的客户必须引起重视。

三. ?勒索软件与挖矿木马是当今典型性的数据库攻击方式

自2017年WannaCry勒索软件暴发至今，数据信息敲诈勒索变成网络黑客攻击的关键方式。由于其攻击低成本，风险度小，获得权益高，迄今仍遭受网络黑客的亲睐。依据数据库所处部位，在攻击方式和步骤上有一定的区别，但敲诈勒索攻击都是会对数据库和数据库全部的机构导致重特大损害，包含数据资产的损害或是是会计损害。搭建外场安全防护 按时安全性探察 数据信息按时备份数据是避免数据库敲诈勒索攻击的合理方式。

数据库服务器的配置特性好，挖币高效率，遭受挖币网络黑客的亲睐。数据库本身漏洞及其对于数据库的安全防范较差，给网络黑客攻击获得网络服务器管理权限布署挖矿软件出示了便捷标准。这类攻击一般分成三个流程，最先利用数据库漏洞获得到服务器管理权限，随后布署挖矿软件和恶意代码，最终利用恶意软件渗入互联网中的别的服务器，产生大的拒绝服务攻击为挖币服务项目。提升事前防御力，立即更新软件、漏洞补丁，查验弱口令等数据库配备；定期维护数据库服务项目的运作状况，查验数据库日志中有没有太多的账号登录纪录，查验硬件配置的应用状况，看有没有生疏过程占有太多資源，可以合理避免挖币攻击。

四. ?提升数据库权限管理和键入限定是合理的数据库安全防范措施

提升数据库权限管理和键入限定，可以在一定水平上提升数据库漏洞的利用难度系数，减少数据库被攻击的概率，其关键方式有：用户权限降到最低标准，提升数据库用户管理系统，严苛查验数据库安全性配备，数据库作用降到最低，立即升級安全更新等。

安华金和网络信息安全防御试验室（DBSec Labs）于2010年11月创立，是在我国一支单独的、长久的对于数据库安全性漏洞、数据库攻击技术性仿真模拟和数据库安全防范技术性开展科学研究的专家团队。致力于根据数据库漏洞与攻击技术性的科学研究制订合理的防御力方式和技术性，进而减少数据库安全隐患，以完成对数据资产的维护。

安华金和网络信息安全防御试验室对于数据库漏洞安全性威胁按时公布汇报，致力于协助众多客户掌握数据库安全形势分析，健全公司及机构的网络信息安全解决方法出示协助。

完整篇汇报可根据安华金和官网资源中心频道或微信公众平台“安华金和综合服务平台”获得。也可加微信好友“dbsec-sir”索要。

金融业安全性漏洞数据分析报告

2015年11月网络信息安全漏洞数据分析报告

安华金和网络信息安全经营服务平台的网络信息安全整治解决方法

安华金和金融业数据标准化等级分类解决方法

100 数据库漏洞再创佳绩，数据信息将栖身哪里？