12月，以“互联互通、共享共治——构建网络空间命运共同体”为主题的第二届世界互联网在浙江乌镇又一次震撼世界。

　　作为新兴的网络大国，中国对互联网治理有着深入的思考和踏实的行动。这是一种必然，毕竟我们已拥有6.7亿网民、413万多家网站，以及超过3.95万亿人民币的互联网上市企业市值。习近平主席在大会致辞中提到一点：“‘保障网络安全，促进有序发展’，安全和发展是一体之两翼、驱动之双轮。安全是发展的保障，发展是安全的目的”，深得业内人士的赞许。

　　随着互联网裂变式的发展，各种各样的应用被迁移到互联网使用。然而，互联网也很脆弱，缺乏相应的防护措施，尤其在数据库安全方面，数据安全已经成为每个国家、每个企业必须要重视的问题。

　　2015年已经进入尾声，对于安全界而言，又是不平静的一年，安华金和立足国内，回顾国内全年发生的数据泄密相关的十二起安全事件，同时针对事件本身，安华金和的安全专家进行技术原因分析点评。

　　事件一 新年首起网络泄密:机锋论坛2300万用户信息泄露(2015.1)

　　来源：南方网

　　1月5日，就在机锋科技二度易主仅半月后，机锋科技旗下机锋论坛被曝出存在高危漏洞，多达2300万用户的信息遭遇安全威胁。这也成为2015年国内第一起网络信息泄露事件。

　　机锋论坛泄露的2300万用户数据包括用户名、注册邮箱、加密后的密码等信息，由于机锋论坛数据库对用户密码仅使用了简单的MD5(计算机安全领域广泛使用的一种散列函数)加密，黑客能够快速破解出绝大部分密码。

　　技术原因: 机锋论坛回应称这次泄漏的是2013年泄露的老数据”，并强调，“机锋所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息并不能破解密码并盗取用户账号”。

　　事件二 多家知名连锁酒店、高端品牌酒店存在严重安全漏洞，海量开房信息存泄露风险(2015.2)

　　来源：广东消费网

　　5月21日，网友“carry_your”发布了一则等级为“高级”的漏洞信息，编号：QTVA-2015-237080，漏洞名称为“中国人寿某省系统存在漏洞" width=550 height=460>

　　来源：新浪科技

　　8月27日，乌云漏洞报告平台发布报告显示，线上票务营销平台大麦网再次被发现存在安全漏洞，600余万用户账户密码遭到泄露。

　　起初发现有大麦网用户数据库在黑产论坛被公开售卖，于是对泄露的用户数据进行验证，发现相邻账号的用户ID也是连续的，并均可登录。因此，丛技术的角度可以初步证明本次大麦网的数据泄露有被拖库嫌疑(网站用户注册信息数据库被黑客窃取)。

　　技术原因：大麦网前台应用有程序漏洞，主要原因是疑被“拖库”，指从数据库中导出数据，现指网站遭到入侵后，黑客窃取其数据库。

　　事件九 内蒙古19万考生信息泄露(2015.9)

　　来源：京华网

　　据新华社电内蒙古自治区教育招生考试中心透露，内蒙古19万名高考考生信息近日遭泄露。9月2日上午得知此事后，教育招生考试中心立即组织人员进行研判，并确认网传信息基本属实。随后，该单位立即报警，希望警方进行彻查。

　　这些信息中包括考生的姓名、身份证号码及其父母姓名、电话，名单覆盖了内蒙古自治区的12个盟市，数量最多的地方达4万多条。

　　技术原因：经过认真分析，基本可确定考生信息遭泄露原因大致有三种可能性，分别为“黑客”攻击、“内鬼”泄露和中介机构或组织“人工”搜集。

　　事件十 过亿邮箱用户数据泄露? 网易称遭黑客“撞库”(2015.10)

　　来源：新浪科技

　　10月19日，乌云漏洞报告平台接到一起惊人的数据泄密报告后 发布新漏洞，漏洞显示网易用户数据库疑似泄露，影响到网易163、126邮箱过亿数据，泄露信息包括用户名、密码、密码密保信息、登录IP以及用户生日等。乌云方面指出，前不久，有不少网友抱怨称自己的iCloud帐号被黑，绑定的iPhone手机被锁敲诈等，他们共都采用了网易邮箱作为iCloud帐号。

　　技术原因：这次网易邮箱遭黑客“撞库”，指黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，批量尝试登陆其他网站。很多用户在不同网站使用相同用户和密码，因此黑客可通过获取用户A网站的账户从而尝试登陆B网站。

　　事件十一 伟易达被曝480万家长及儿童信息泄露(2015.11)

　　来源：安全比特网

　　世界最大的电子玩具生产商之一伟易达集团(VTech)于11月27日指出，11 月 14日黑客入侵了 Learning Lodge 的客户资料库，但在接受报章查询时不肯透露实际人数，只表示有香港客户受影响;然而国外媒体 Motherboard 表示，他收到黑客入侵 VTech 的客户资料，当中有大约500万个家长和超过20万个小童的资料，包括姓名、电邮地址、密码和个人住址。

　　技术原因：目前VTech仍然使用较为落后的技术开发平台，包括像ASP.NET 2.0框架, WCF, SOAP, 以及众多的 Flash。同时VTech的官网以及注册网站没有使用像SSL等安全通信协议技术。经过对VTech其中一个端口的扫描探测分析，也发现了可通过SQL查询可获取相关调试信息的漏洞。

　　事件十二 申通被曝13个安全漏洞 黑客窃取3万多客户信息(2015.12)

　　来源：搜狐新闻

　　黑客利用申通快递公司的管理系统漏洞，侵入该公司服务器，非法获取了3万余条个人信息之后非法出售。在乌云平台我们发现，2013年以来，该平台至少公布了申通公司与信息泄露隐患有关的漏洞报告13篇，涉及系统弱口令、服务器目录、管理后台、快递短信等各个方面，其中9份报告被标注的危害等级为“高”。

　　技术原因：之所以选申通K8速运管理系统下手，并得以利用其漏洞，是因为在“乌云网”上看到了公布出来的申通公司的系统漏洞。据不完全统计，“乌云网”公布的安全漏洞达77848个。一位IT技术员表示：“如果黑客对‘乌云网’公布的漏洞有兴趣，那么只要知道企业名字和大概漏洞消息源头，侵入这个企业，不是难事。”

　　小结

　　随着网络安全事件频繁，一大批漏洞挖掘平台涌现出来，漏洞盒子、乌云、阿里云云盾“先知计划”、360补天等，既有第三方也有BAT巨头。同时诞生了一大批通过挖漏洞赚钱、甚至以此为职业的白帽黑客。

　　基于此，国家互联网应急中心(CNCERT)与国内32家互联网和安全公司共同签署了《中国互联网协会漏洞信息披露和处置自律公约》，以行业自律的方式共同规范安全漏洞信息的接收、处置和发布的公约。

　　“十三五”规划建议提出要实施大数据和网络强国战略，在政策的大力推动下，网络安全作为其重要组成部分将迎来快速发展机遇。我国在网络安全方面的投入占整个IT比重仅为2%左右，远低于欧美国家10%左右的水平，潜在发展空间将达千亿级别。

　　安华金和数据库安全专家分析2015年verizon数据泄漏调查报告和全年的数据安全事件，可以发现以下几个数据泄漏的原因：

　　使用失窃账户密码依然是非法获取信息的最主要途径，三分之二的数据泄露都与漏洞或失窃密码有关，位列前排的分别是双因子认证以及webservices的补丁;

　　发现大多数企业的安全管理和防护都无法跟上网络犯罪的脚步，入侵企业只需要数分钟或数小时，而企业发现和识别攻击则需要数周甚至数月。

　　虽然外部工具远超过内部威胁，但与知识产权有关相关时，内部攻击有抬头趋势。作为专业的数据库安全专家，安华金和建议从以下几点措施来实现数据的安全防护：

　　措施一：通过数据库漏扫定期对数据库进行安全巡检，发现数据库使用中的安全隐患，及时人工进行加固;

　　措施二：安全管理员要了解本单位数据库中的数据资产，采取有针对性的安全防御措施，通过对数据库中的敏感字段加密存储，防“拖库”;

　　措施三：通过数据库防火墙实现数据库的外围防御圈，构建数据库的可信访问环境; 网络上可信：串联数据库防火墙后，黑客无法绕过数据库防火墙直接访问数据库。 应用服务器可信：通过IP/MAC绑定，确保只有授权服务器、设备访问数据库。

　　措施四：底线防守，超过阀值限制的批量查询操作拦截，绕过合法应用的访问阻断，禁止本地登录;

　　措施五：对数据库的敏感操作，一定要全部记入审计记录，如果出现违规操作可以通过事后追责定责。

　　数据库已经成为数据泄漏的重灾区，在核心数据掌握企业命脉的年代，数据库的防护成为整个安防体系中不可或缺的环节。