DBSLab成立的背景
2010年11月30日普華永道發布的本年度全球信息安全調查報告顯示,中國企業信息安全事故發生率遠遠高於世界平均水平。網路事故、數據事故及系統事故是三大中國企業常見的信息安全事故,發生率分別為51%、45%、和40%。而相同事故在全球範圍內的發生率則為25%、27%與23%。也就是說,中國企業發生信息安全事故的機率是世界平均水平的2倍左右。而這個數據與2009年相比仍呈現一定程度的上升趨勢。
美國Verizon在最近就“核心數據是如何丟失的”做一次全面的市場調查,結果發現,75%的數據丟失情況是由於資料庫漏洞造成的,這說明資料庫的安全非常重要。
企業核心信息的80%是以結構化信息,即數據形式存在的。數據作為企業核心資產,一旦發生非法訪問、數據篡改、數據盜取,將給企業在信譽和經濟上帶來巨大損失。發生如此嚴重事件的原因是企業對信息安全的舉措尚未得到全面落實,但非個例。全球獨立的ORACLE用戶組織(IOUG)在2010年對其430個成員的數據安全調查報告中發現:
3/4的成員不清楚特權用戶對資料庫進行過何種操作
2/3的成員不能有效防止特權用戶對資料庫的非授權訪問
85%的成員將真實數據不加防範地交與開發人員或第三方人員
將近一半的成員對其非特權用戶訪問敏感數據毫無措施
大多數成員都未能及時採取防範SQL注入的攻擊
顯然資料庫安全建設在國內乃至全球都是一個新型的安全領域;過去十多年病毒問題、網路安全問題的廣泛暴露,用戶的網路安全意識、主機安全意識得到顯著提升,網路安全和主機安全產品和解決方案成為安全建設的主體;但這些安全建設忽視了資料庫安全問題,使資料庫安全成為信息系統安全的最大軟肋。
DBSLab的研究職責
資料庫安全漏洞對資料庫安全漏洞進行研究,是DBSLab的首要職責。
當前我國廣泛地使用Oracle、SQL Server和DB2等國外資料庫產品,我國安全產品自主化的基本國策,確定了對國外資料庫產品的漏洞和後門研究,關係著國家安全需求。
DBSLab同時將投入力量對廣泛使用的MySQL、Postgre等開源資料庫進行安全漏洞研究;投入力量對武漢達夢、人大金倉、神舟通用、南大通用的資料庫產品進行安全漏洞研究。
黑客入侵資料庫不僅利用資料庫的自身漏洞,還會利用合法套用系統提供的漏洞途徑(如SQL注入),作業系統漏洞(檔案層攻擊),網路漏洞(網路通訊捕獲)等手段獲得資料庫內的儲存信息。DBSLab將對這些黑客攻擊手段進行研究。
資料庫防護手段DBSLab將對資料庫漏洞掃描、Web SQL注入掃描、網路監控與分析、資料庫加密、增強認證、增強許可權、資料庫套用安全、資料庫審計等資料庫防護手段進行追蹤和研究。
實驗室成果轉化
資料庫漏洞提交DBSLab將把新發現的資料庫漏洞提交給CVE(公共漏洞和暴露,Common Vulnerabilities & Exposures)組織,以及我國的CNNVD(中國國家信息安全漏洞庫,China National Vulnerability Database of Information Security)組織,以利於安全廠商和安全用戶共享。
研究成果公開DBSLab將把大部分研究成果寫成專業論文在雜誌和網上公開發表,將相關的資料庫攻擊手段和防禦措施錄製成視頻在網上發布,對典型資料庫安全事件進行分析幫助用戶了解資料庫安全威脅,製作《資料庫安全威脅與防護》企業內部雜誌免費提供給用戶。
資料庫安全產品研發DBSLab的研究成果將融入到安華金和的資料庫安全產品系列中。資料庫漏洞研究成果將融入到安華金和資料庫漏洞掃描工具中(DBLScan),黑客攻擊手段和資料庫防護手段研究成果將融入到安華金和資料庫保險箱(DBCoffer)、資料庫防泄漏產品(DBLP)等產品中。
合作與交流
DBSLab將採用開放的心態積極與學院和社會資料庫安全研究組織和團體進行溝通,將積極參與CVE組織(Common Vulnerabilities and Exposures,國際漏洞公布組織)、CNNVD組織的活動,以及國家等級保護和分級保護的技術研究中。