2017年安全报告是谁发布的？有价值吗？_百度知道
2017年安全报告是谁发布的？有价值吗？
为您推荐：
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。《中国互联网金融安全发展报告2017》正式发布
　　近日，第十三届北京国际金融博览会暨2017中国互联网金融安全发展报告会议在北京互联网金融安全示范产业园召开。　　作为第十三届北京国际金融博览会的重要组成部分，此次活动正式对外发布了经由北京市金融工作局、南湖互联网金融学院、北京互联网金融安全示范产业园历时一年联合策划完成的《中国互联网金融安全发展报告2017——监管科技：逻辑、应用与路径》白皮书，同时北京阿尔山金融科技有限公司现场演绎“科技赋能监管”，对其网贷监管系统进行了展示。　　房山区委副书记、区长郭延红出席此次活动并发表讲话。她指出，房山区要抓住京津冀协同发展重大历史机遇，深入落实首都城市战略定位。伴随着北京市新版城市总规中房山区“三区一点”的新定位的提出，还要要抓住首都核心区域金融产业外溢的重大机遇，不断推动金融创新。　　北京市金融工作局党组书记、局长霍学文在讲话中表示，金融安全是金融发展的底层技术，我们建构互联网金融安全示范产业园就是以人民为中心，为人民服务，为人民构建安全感的底层技术。因此，要大力的推动金融安全技术的研发、推广和应用，同时，要建构标准、加强合作、运用智库、创设联盟，最后形成一个有效的互联网金融安全生态。　　北京阿尔山金融科技有限公司在现场介绍了其网贷监管系统。其利用区块链、云计算、大数据、人工智能等信息技术手段，设计研发了“北京市网络借贷监管系统”。该系统既是国内金融监管科技领域的全新探索，在国际上也可谓首开先河。　　国家互联网金融安全技术专家委员会秘书长吴震，中央财经大学中国互联网经济研究院院长&欧阳日辉，互联网金融安全专家顾问委员会委员、北京市华城律师事务所创始合伙人张宇锋分别进行主旨发言，从不同角度分享了对于互联网金融安全相关问题的观点与见解。　　人民银行数字货币研究所、中关村科技金融处、海航资本、美团金融、中信、梆梆安全、数联铭品、宜信、恒昌等80余家机构和企业及多家媒体代表出席了此次活动。
责任编辑：zyk
禁止发表不文明、攻击性、及法律禁止言语
请发表您的意见（游客无法发送评论，请
还可以输入 140 个字符
热门评论网友评论只代表同花顺网友的个人观点，不代表同花顺金融服务网观点。
以下为热门自选股
代码|股票名称
同花顺财经官方微信号
手机同花顺财经
专业炒股利器
同花顺爱基金当前位置 & &
& 《2017年上半年互联网安全报告》发布 诈骗电...
《2017年上半年互联网安全报告》发布 诈骗电话“包围”北上广深
19:50:56&&作者：CLY
编辑：CLY &&)
让小伙伴们也看看：
阅读更多：
好文共享：
文章观点支持
文章价值打分
当前文章打分0 分，共有0人打分
[08-04][07-25][04-12][03-07][02-03][11-03][09-22][08-24][07-19][07-10]
登录驱动之家
没有帐号？
用合作网站帐户直接登录2017年数据库漏洞安全威胁报告2017年数据库漏洞安全威胁报告沈雪峰百家号安华金和长期致力于帮助客户应对数据库安全领域的威胁。为了提高数据库用户的安全意识，快速反馈最新数据库漏洞被利用方向，安华金和数据库攻防实验室（DBSec Labs）最新发布《2017年数据库漏洞安全威胁报告》，该报告用于快速跟踪及反馈数据库安全的发展态势。一、2017年数据库安全形势综述1、数据安全现状概述当今，云计算、大数据、AI被认为是有望改变世界的“三剑客”，将深入影响甚至支撑未来人类文明发展的方方面面，而数据是支撑这些前沿技术存在与发展的生产资料，被企业和部门视为资产甚至能源。作为数据存储的主要技术手段，数据库系统在整个IT架构中的重要地位不言而喻。大数据时代来临，各行业数据量呈TB级别增长。除了数据规模的攀升，数据库系统所处的网络环境也在发生变化。数据库原本被设计在内网中使用，自身安全体系根据内网需求搭建。随着云技术的飞速发展，数据库被广泛使用到私有云、公有云、行业云等开放或半开放环境中。目前，各类云平台上累计部署的数据库服务器已超过70万台，随着《云计算发展三年行动计划（年）》的发布，这个数字还将不断攀升。网络环境日益变化，旧的安全体系已不再适用，高速的场景迁移迫使数据库面临更多安全挑战。目前，无论企业还是客户都必须要考虑数据安全问题。客户需要有安全感，而企业则需要对应用数字技术加速核心业务建立信心，所以解决现实的和潜在的风险就至关重要。2、数据库自身的安全缺陷随着大数据库时代的到来，云平台的流行，物联网的兴起，数据库的应用范围越来越广泛，基本上每个领域都能见到数据库的影子。从世界500强到各国政府机关，数据库在其中扮演着非常重要的角色，很多重要和敏感的信息都保存其中，例如个人银行账号密码、政府机密资料、军事核心武器设计图等。因此，数据库成为入侵者越来越有价值的攻击目标，一旦获得数据库权限，入侵者则可以获得非常有价值的数据。因此，确保数据库以及数据库中的数据安全至关重要。数据库被设计的目的就是以有序和易于检索的方式提供大量数据的服务。其本身是被设计在内网之中的，一个相对安全的环境中。而现在发展的趋势是内外网逐渐融合，数据库将面临大量新型场景。其中很多新型场景面临的安全威胁是数据库现有安全机制无法防护的。数据库的优良性能和落后的安全机制成为鲜明的对比。数据库现在首要需要解决的就是有针对的，加强某些场景下的安全防护能力，否则安全将成为数据库的“阿喀琉斯之踵”。二、数据库安全威胁分析数据库对安全的设计最初是依照美国国防部标准形成，并逐渐发展和强化。但是随着大数据的兴起，数据库开始进入更多领域，开发更多功能，部署在更加危险的网络环境中。大部分商用数据库虽然都通过了安全标准，但那些安全标准和现实安全有很大的区别。今年人为因素，数据库系统安全和第三方恶意组件共同组成直刺数据库的矛。如何帮助数据库抵御这三种威胁的攻击将成为打赢此次攻防大战的关键。上图为安全威胁分析表，很多场景中攻击者采用多种手段（人为因素一般是作为前哨）。第三方恶意组件已经成为数据库安全的最大威胁。数据库系统安全还是数据库威胁中的重要一环，人为因素对数据库的威胁将是最难解决的一环。以上各种数据库安全威胁展开分析见报告详版。1、数据库勒索攻击分析勒索软件一直是数据库安全的最大威胁。数据库勒索和数据库后门就是这方面的代表。不法分子通过钓鱼、网络蠕虫、后门工具等方式，向特定目标的数据库服务器植入后门，长期盗取数据；或加密数据文件，向数据所有者实施勒索。这些后门勒索等手段，随着手段成熟、工具化、傻瓜化正急速扩大其攻击范围，这是数据库的首要安全威胁。要应对黑客的攻击就必须找准发力点，提高人员素质和管理，构建安全稳定的数据库安全机制，杜绝勒索软件的攻击。我们会在报告详版中涉及三种不同场景下的数据库勒索攻击——针对数据库的比特币勒索攻击、云上数据库的比特币勒索、内网数据库的比特币勒索，并提供相应的应对措施。应对措施比特币勒索正在出现向数据库领域深入的趋势。无论是乱枪打鸟的云上比特币勒索，还是定点打击的内网比特币勒索都应该引起各位数据库安全工作者的警惕。除了警告用户注意垃圾邮件、恶意广告和定期备份数据、关注数据库安全配置、使用高强度口令之外可以建立的安全防护机制应当是全面立体的。解决思路：构建预先防护+定期安全探查+数据定期备份的三重安全保障。（具体细节请关注报告详版）2、数据库系统漏洞的统计分析目前数据库安全威胁主要来自三个方面，其中数据库漏洞是外部攻击者最常利用的攻击途径，通过漏洞攻击入侵数据库系统，可能造成两方面的严重影响，一是数据泄露或被窃造成的数据资产损失，另一方面，由于数据库系统在IT架构中处于核心位置，入侵者造成数据库功能影响后，还可能以数据库为跳板从而向整个局域网发起更大范围攻击，造成系统性风险。由于数据库漏洞挖掘的技术门槛极高，2016年之前，能够成功发现并提交数据库漏洞的技术团队全部来自国外，以欧美为主。今年，安华金和攻防实验室国内首次成功提交国际数据库漏洞，并获CVE认证，实现了国内安全团队在此方面的突破；从去年开始，国内权威漏洞平台CNNVD上，也开始出现国产数据库漏洞信息，这表明国产数据库的应用范围正在扩大，受到安全研究团队更多关注，国内数据库漏洞研究能力的大幅提升，有助于提高国内数据库安全建设的整体水平。数据库漏洞属于软件漏洞中的一种，主要是被用来突破系统的安全策略。数据库漏洞往往会影响很大一个范围，除了影响数据库自身，还包括数据库所在操作系统和数据库所在局域网的整体安全。漏洞的存在和数据库的使用时间有密切关系，随着用户的深入使用，漏洞会不断被暴露出来，然后又会不断被系统补丁修补，或在新版本中修复。随着时间的推移，旧的漏洞会被修复，新的漏洞会不断出现。漏洞不会彻底消失，而会长期存在。数据库漏洞影响广、威胁大，防护者除了积极更新补丁外，还可通过合理配置提高入侵难度的特性。下面从漏洞时间分布、漏洞威胁分布、数据库厂商爆出漏洞比例、受影响组件和漏洞类型分类等5个角度总结和分析全球主流数据库存在的安全漏洞状况，以总结漏洞发展趋势，研究结果有助于形成及时应对方法。漏洞信息取自NVD（美国国家漏洞库）和CNNVD(国家信息安全漏洞库)及CNVD（国家信息安全漏洞共享平台）。1、按威胁类型分布情况分析截止2017年12月，NVD发布的被确认的国际主流数据库漏洞共计124个，其中Oracle 10个、MySQL 91个、Postgresql 9个、Microsoft SQL Server 1个、IBM DB2 10个、Informix3个（其中有2个漏洞来自安华金和攻防实验室）。其中Oracle被发现的10个漏洞中含4个高危漏洞；MySQL数据库的91个漏洞中含有7个高危漏洞；Postgresql数据库的9个漏洞中含7个高危漏洞。截止2017年12月，来自CNNVD和CNVD的国产数据库漏洞一共11个，全部来自安华金和攻防实验室，其中达梦数据库漏洞10个，Gbase1个；达梦数据库漏洞包括1个超高危、3个高危。2017年各主流数据库的漏洞分布情况按照对数据库的机密性、完整性和可用性的影响程度，数据库漏洞可以分成3大类：高危漏洞、中危漏洞和低危漏洞。2017年被确认的135个漏洞中高危漏洞30个，中危漏洞95个，低危漏洞10个。高危漏洞集中分布在Oracle和MySQL中。2017年各主流数据库漏洞的危害等级分布2、按受影响组件属性分类情况分析从受影响组件的角度分析：Oracle数据库的 10个漏洞主要集中于java vm和Core RDBMS中（这三个占新漏洞的80%）。这3个组件中Core RDBMS 是Oracle数据库的最核心组件。MySQL数据库由于代码开源，加之平行版本较多，因此被发现的漏洞较多。由于MySQL衍生版本较多，虽然未标注但很多漏洞也在衍生版本上存在。用户需要同样关注衍生版本的数据库安全。Postgresql、DB2总漏洞数量不多，但风险等级较高。云环境具备一定的开放程度，数据库暴露性增强，这可能给攻击者提供了利用漏洞的便利性。MySQL和sqlserver在云平台中占据非常多的份额，云平台的用户和云服务商需要将数据库安全的防护重点集中于这两类数据库上。 3、按漏洞的攻击途径分类情况分析通常漏洞按攻击途径划分为两类：远程服务器漏洞和本地漏洞，具体如下图：各主流数据库漏洞的攻击途径分布根据上图按攻击途径的分类可知：远程漏洞占74%，本地漏洞基本只占17%。而在远程漏洞中，需要登入到数据库在SQL层的漏洞远多于协议层的漏洞。除去不确定的漏洞，SQL层占据了全部漏洞类型的81%，协议层漏洞占据了9%。SQL层的漏洞利用需要通过一组弱口令登入到数据库中，通过巧妙的字符串组合导致数据库出现拒绝服务、数据库泄露、权限提升、操作系统被控制等多种问题。针对数据库中的SQL层可以采用对问题函数、存储过程进行权限限制等方式来规避。缓冲区溢出则需要必须进行源码级别的防守或升级官方补丁才行。数据库漏洞攻击发生的网络架构分布数据库系统的安全建议数据库安全发展到现在，权限的控制和输入的限制是永恒的话题。今年5大主流数据中依然被发现了26个高危漏洞。其中，缓冲区溢出和通讯协议破解的漏洞的总数越来越少，但一旦出现将是数据库的噩梦。数据库引擎中的越权访问、账号提权、敏感信息泄露侵依旧是漏洞中的主流，基本80%以上的漏洞都属于数据库引擎范畴。在数据库引擎层的漏洞中，今年最常见的漏洞是竞态越权。大部分引擎层的漏洞的想要实施是需要一被盗取的数据库账号具备一定的权限。所以用户可以有针对性的对数据库进行加固。针对数据库漏洞攻击的数据库加固方式可以采用购买第三方产品。但更重要的是要遵循以下原则：1.用户权限最小化原则。90%的漏洞攻击都是需要账号具备一定的权限。所以请用户配置数据库帐号时，给能满足应用系统使用的最小权限的账号。任何额外的权限都可能是潜在的攻击点。2. 定期安装数据库厂商提供的漏洞补丁。根据多年经验发现95%以上数据库被黑客入侵。黑客使用的漏洞并不是0day，而是数据库厂商早已发布过，已经有补丁可用的漏洞。如果由于应用系统等原因无法及时打补丁，也请通过虚拟补丁等技术暂时或永久加固数据库。3. 安全配置。70%的数据库漏洞能被利用的条件除了一定的权限外，还需要数据库未开启某些安全配置。数据库默认安装下并不会开启所有安全配置。在充分考虑对应用的影响后，尽可能开启数据库自身提供的安全设置将会极大降低被不法分子攻击的成功率。例如注明的TNS投毒漏洞，其实开启TNS密码就可以简单杜绝。4. 数据库功能最小化原则。数据库本身为了适应足够多的场景，设计了各种各样的功能组件。但对于用户来说，大部分功能组件根本不会使用。建议在综合应用和运维后，划定一个使用组件的最小范围。删除数据库中不用的组件。减少数据库组件可以有效的减少用户面对的风险面。在一定程度可以规避某些特定组件存在的漏洞攻击。结束语回顾这几年，虽然每年漏洞出现的数量并没有稳定下降，但数据库自身出现漏洞的几率越来越低，漏洞数量不能稳定下降主要和两点紧密相关：第一，很多数据库为了方便用户扩展了大量接口和功能，新功能在最初的版本总是受到自身漏洞和兼容性漏洞的双重困扰。第二，黑客利用漏洞的能力越来越强，以前很多被发现的漏洞其实是无法被利用的，黑客逐渐把其中一部分以前无法利用的漏洞变得可以利用。同时黑客也会特别关注与某些行业，数据库漏洞攻击往往也集中在这些行业领域。最后，也是最重要的，大部分数据库漏洞攻击者依然是以获利为第一目的的。数据库跟随业务逐渐从后台走向前台；从内网走向外网；从实体走向虚拟（云）。数据库处于新的环境之中，给黑客带来了更多入侵的机会。相信本文的这些观点对大家预测未来的数据库攻防的形式，以及进一步完善企业及组织的解决方案是有价值的。今年请特别注意MySQL数据库的安全防护工作。下载完整版报告：http://www.dbsec.cn/operations/download.html本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。沈雪峰百家号最近更新：简介:专注数据安全作者最新文章相关文章> 中国互联网站发展状况及其安全报告(2017)发布
中国互联网站发展状况及其安全报告(2017)发布
据了解，该报告由“中国互联网网站发展状况”及“中国互联网站安全状况”两部分组成，其中后一部分的部分数据来源于知道创宇先前发布的《知道创宇2016年中国互联网安全报告》。7月11日，由中国互联网协会主办的2017(第十六届)中国互联网大会在北京国家会议中心开幕。7月12日，大会分论坛之一——2017中国网络安全论坛在北京国家会议中心报告厅如期召开，作为第十六届中国互联网大会重头环节，该论坛上将要发布的《中国互联网站发展状况及其安全报告(2017)》尤为引人关注。国家互联网应急中心网络安全处高级工程师何世平在大会上解读《中国互联网站发展状况及其安全报告(2017)》时指出，该报告已经连续发布三年，其内容以中国互联网协会秘书处及国家互联网应急中心所掌握的国内互联网站现状，并会同国内知名的网络安全企业对内容做出补充，以进一步强调报告的全面性和包容性。据了解，该报告由“中国互联网网站发展状况”及“中国互联网站安全状况”两部分组成，其中后一部分的部分数据来源于知道创宇先前发布的《知道创宇2016年中国互联网安全报告》。何世平在解读报告时有以下几个要点得到笔者额外关注：发展状况：1、
行业创新创业更加活跃与频繁，在过去的2016年里，全年新开通网站125.9万个，每月平均开通10.5万个，全年自行停办网站数则为68.2万余个;2、 单位举办网站所占比例进一步提高，全年企业注册网站数量为344.3万个;3、
基础电信企业接入量持续下滑，新增网站接入服务企业90家。3家基础电信企业互联网接入市场份额从过去的6%下降为5.2%，接入量前10位均为民营企业，接入量前20位仅1家基础电信企业(云平台接入量持续上升);安全状况：4、
境内被篡改网站近1.7万个，被篡改政府网站有467个，分别下降了31.7%和47.9%。植入暗链是网页篡改主要攻击方式，占比例的86%。政府网站安全防护水平整体得到了很大提高，省部级以上网站网页被明文篡改情况已经很少发生;5、
2016年被植入后门的网站数量为8.2万余个，同比上升9.3%，涉及IP地址约4万个，84.9%位于境外，对我国约6.8万个网站植入后门。境外IP地址向我国境内网站植入后门最多的国家是美国;6、
在电信网络诈骗方面，过去一年共监测到有17.8万个仿冒页面，同比下降3.6%，其IP地址多位于境外，其中主要是仿冒的页面银行首当其冲，其次是第三方支付页面，电信企业页面，以及综艺节目中奖仿冒;7、
过去一年CNVD共收录通用软硬件漏洞10822个，首次在一年时间内破万，同比上升了33.9%，其中高危漏洞4146个，“零日”漏洞2203个，这得益于国内安全企业(安全团队)的持续活跃;8、
1G以上DDoS攻击事件数量日均452起，下降60%，但500G以上攻击事件明显增多，10G以上攻击事件数量全年持续增长，第四季度日均发生事件数量是第一季度的2.1倍。从攻击目标来看，67%涉及互联网地下黑色产业链。一句话整体点评：万众创新致使网站数量不断飙升，但恶劣的网络安全环境不容小觑，企业需考虑来自网络攻击的恶意商业竞争。
{{news.author}}
{{news.timeFormat}}
正在加载......}