数据库信息泄漏 不可忽视的安全短板(1)

数据库信息泄漏 不可忽视的安全短板(1)

一、 概述

传统的信息安全解决方案主要是通过网络传输通道加密、PKI或增强身份认证、防火墙、IPS、堡垒机等技术构成综合的信息安全应对策略，但这些方案在现实中变得弱不禁风，大量信息泄露事件频繁爆发。

图1 Verizon2014数据泄露事件

2014年数据泄漏调查报告中回顾了63737起赛博安全事件和1367起已经确认的数据泄露事件(赛博含义理解为：敏感数据资产)。

图2 Verizon2014十大内部资产滥用排名

根据Verizon2014年数据泄漏调查分析报告和对近期发生的信息安全事件技术分析，总结出信息泄露呈现两个趋势：

(1)黑客通过B/S应用，以Web服务器为跳板，窃取数据库中数据;传统解决方案对应用访问和数据库访问协议没有任何控制能力，比如:SQL注入就是一个典型的数据库黑客攻击手段。

(2)内部人员的滥用数据库存储的有价值信息导致数据资产丢失数据泄露常常发生在内部，大量的运维人员直接接触敏感数据，传统以防外为主的网络安全解决方案失去了用武之地。

数据库在这些泄露事件成为了主角，这与我们在传统的安全建设中忽略了数据库安全问题有关，在传统的信息安全防护体系中数据库处于被保护的核心位置，不易被外部黑客攻击，同时数据库自身已经具备强大安全措施，表面上看足够安全，但这种传统安全防御的思路，存在致命的缺陷。