<< 返回主大厅

安华金和数据库安全实验室

投票助力

安华金和数据库安全实验室

概述

1. DBSec Labs是中国成立时间最早,迄今为止数据库漏洞挖掘数量最多,在CNVD、CNNVD上数据库漏洞收录数量最多的一家国内数据库安全实验室;曾一度填补了中国在数据库漏洞安全研究方面的空白;

2. DBSec Labs专注数据库攻防研究与漏洞挖掘工作,并将技术研究转化为产品成果,为数据库漏洞扫描评估工具提供检测项,输出市场主流数据库《安全配置指导手册》等;

3. 截止2020年10月,DBSec Labs累计挖掘数据库漏洞87个,其中超高危高危漏洞37个;累计复现漏洞74个。

详情介绍

(一)关于DBSec Labs

DBSec Labs(安华金和数据库安全实验室)于2010年11月成立,是我国一支独立、持久针对数据库安全漏洞、数据库攻击技术模拟和数据库安全防护技术进行研究的专业队伍。DBSec Labs针对数据库自身、数据库使用环节存在的安全漏洞,以及黑客如何利用数据库漏洞对客户信息资产进行侵害等问题,分析、研究防御手段以降低数据库安全风险,实现对数据资产的有效保护。

DBSec Labs采用开放的心态积极与学院和社会数据库安全研究组织团体进行沟通,积极参与CVE(Common Vulnerabilities and Exposures,国际漏洞公布组织)、CNNVD(China National Vulnerability Database of Information Security,中国国家信息安全漏洞库)组织的活动,以及国家等级保护和分级保护的技术研究等。

(二)DBSec Labs研究职责

1、对数据库安全漏洞进行研究,是DBSec Labs的首要职责。

当前,Oracle、SQL Server和DB2等国际主流数据库产品在我国被广泛使用,伴随我国安全产品“自主化”基本国策的持续推进,针对国际主流数据库安全漏洞的研究攸关国家安全,DBSec Labs投入力量对上述国际主流数据库进行安全漏洞研究。

同时,DBSec Labs也投入力量对广泛使用的MySQL、Postgre等开源数据库,以及武汉达梦、人大金仓、神舟通用、南大通用等国产主流数据库产品进行安全漏洞研究。

2、黑客数据库入侵手段研究

黑客入侵数据库不仅利用数据库的自身漏洞,还会利用合法应用系统提供的漏洞途径(如SQL注入)、操作系统漏洞(文件层攻击)、网络漏洞(网络通讯捕获)等手段获得数据库内的储存信息。DBSec Labs针对这些黑客攻击手段进行研究。

3、数据库防护手段研究

DBSec Labs将对数据库漏洞扫描、Web SQL注入扫描、网络监控与分析、数据库加密、增强认证、增强权限、数据库应用安全、数据库审计等数据库防护手段进行追踪和研究。

(三)DBSec Labs部分成果

1、数据库漏洞提交

DBSec Labs将发现的数据库漏洞提交给CVE组织,以及我国的CNNVD、CNVD等漏洞平台,以利于安全厂商和安全用户共享。

截止2020年10月,DBSec Labs向IBM、达梦、Gbase、Informix、DB2、Oracle、MongoDB等数据库厂商提交并获认证的数据库漏洞共87个(国际漏洞34个,国内漏洞53个),其中包括1个超高危漏洞、36个高危漏洞,38中危漏洞,12个低危漏洞。累计复现数据库漏洞 74个,其中高危数据库漏洞 23个,中危数据库漏洞 29个,低危数据库漏洞 5个,未定级数据库漏洞 17个,另外提交漏洞正在确认中。

注:漏洞挖掘信息详见 附件《安华金和数据库漏洞挖掘信息汇总(截至20.10)》

2、研究成果公开

DBSec Labs把大部分研究成果转化成专业论文在专业杂志和网络期刊进行公开发表,将相关的数据库攻击手段和防御措施录制成视频在网上发布,对典型数据库安全事件进行分析帮助用户了解数据库安全威胁,制作《数据库安全威胁与防护》企业内部杂志免费提供给用户,参与编写第三方机构的数据库安全研究报告,分享数据库安全态势及攻防技术研究成果。

DBSec Labs根据多年以来对数据库安全风险分析与防护实践的经验总结,陆续编写并发布专门针对Oracle、MySQL、SQL Server、DB2、MongoDB、PostgreSQL六大国际主流数据库以及GBase、Kingbase、达梦三大国产主流数据库的《安全配置指导手册》。

3、数据库安全产品研发

DBSec Labs的研究成果融入到安华金和的数据库安全产品系列中。数据库漏洞研究成果不断融入到安华金和现有系列产品中,升级完善产品,持续提升客户交付能力。DBSec Labs通过整合自身对数据库漏洞及数据库攻击技术的全部研究成果,独家设计研发出一套专业、高效、可靠的数据库漏洞验证工具——支持多种主流数据库类型、20+数据库版本以及100+漏洞的验证;漏洞类型更涵盖算法破解、监听劫持、缓冲区溢出、sql注入、静态注入、符号链接、反序列化等;并支持渗透模块与脚本免杀。

四、安华金和公司介绍

安华金和自2009年成立至今,一直专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商,中国“数据安全治理”理念体系的提出者和践行者;提供包括敏感数据发现、数据分级分类、数据流动过程管控及数据审计监控等在内的数据安全治理整体解决方案,产品和服务覆盖数据使用的全生命周期。同时,安华金和在公有云和私有云数据安全方面国内领先,与阿里云、华为云建立战略合作伙伴关系。

公司总部位于北京,下设天津研发中心、北京营销中心、数据库攻防实验室、深度实验室等核心机构,分支覆盖华北、华东、华南、华中、西部全国省市地区。安华金和在政府、金融、能源、医疗、教育、企业、运营商等重点行业广泛应用,并树立一系列标杆案例。

围绕公司使命与愿景,安华金和主营业务方向分为三大部分:

围绕数据库安全,安华金和提供全线数据库安全产品及解决方案;

围绕公有云和私有云环境,安华金和提供云数据安全服务,产品交付模式多样化;

围绕行业客户,提供数据安全治理解决方案与咨询服务。

五、公司官网

公司官网:www.dbsec.cn

英文官网:www.dbsec.cn/en/


关闭

分享可再次获得4次投票权

关闭

年度杰出安全实验室

安华金和数据库安全实验室

登陆即可获得 4 次投票机会