6月21日早間，詞條#學(xué)習(xí)通數(shù)據(jù)庫(kù)疑發(fā)生信息泄露#沖上熱搜榜單。消息一經(jīng)爆出，立馬引得網(wǎng)友廣泛關(guān)注和討論。

超星學(xué)習(xí)通是大學(xué)中普及率非常高的一款A(yù)PP，可上課可考試，上課時(shí)需要開(kāi)麥克風(fēng)開(kāi)視頻，考試時(shí)還需要出示身份證。但是就在6月20日晚上，據(jù)安全行業(yè)業(yè)界內(nèi)消息，大學(xué)生學(xué)習(xí)軟件超星學(xué)習(xí)通被曝出現(xiàn)數(shù)據(jù)庫(kù)泄露，被公開(kāi)售賣，里面的數(shù)據(jù)包括姓名、性別、手機(jī)號(hào)、學(xué)校、學(xué)號(hào)等學(xué)生信息1億7千萬(wàn)條。

實(shí)際上，根據(jù)Imperva一項(xiàng)為期五年的新研究，全球46%的本地?cái)?shù)據(jù)庫(kù)包含安全漏洞，其中大多數(shù)是嚴(yán)重或者高危漏洞。Imperva在五年內(nèi)掃描了全球2.7萬(wàn)個(gè)數(shù)據(jù)庫(kù)，發(fā)現(xiàn)平均每個(gè)數(shù)據(jù)庫(kù)包含26個(gè)漏洞，其中約56%都是嚴(yán)重或者高危漏洞。這意味著一旦被利用，會(huì)導(dǎo)致嚴(yán)重的危害。

破壞不可公開(kāi)訪問(wèn)的數(shù)據(jù)庫(kù)的標(biāo)準(zhǔn)攻擊途徑是通過(guò)Web應(yīng)用漏洞，例如SQLi、網(wǎng)絡(luò)釣魚(yú)，或者投放能讓攻擊者在網(wǎng)絡(luò)中立足的惡意軟件。報(bào)告指出，企業(yè)應(yīng)當(dāng)采取以下三大措施來(lái)提高數(shù)據(jù)安全能力：

1、獲得可見(jiàn)性：除非您對(duì)整個(gè)組織中存儲(chǔ)數(shù)據(jù)的所有位置都有一個(gè)概覽，包括設(shè)置在安全范圍之外的惡意數(shù)據(jù)庫(kù)，否則無(wú)法保護(hù)數(shù)據(jù)。現(xiàn)代業(yè)務(wù)的復(fù)雜性意味著數(shù)據(jù)變得比以往任何時(shí)候都更加分散，因此必須自動(dòng)化此發(fā)現(xiàn)過(guò)程以確保不會(huì)無(wú)意中遺漏任何內(nèi)容。至關(guān)重要的是，這還應(yīng)該涉及部署工具來(lái)檢測(cè)數(shù)據(jù)庫(kù)活動(dòng)異常，以及可以防止漏洞被利用的解決方案。

2、優(yōu)先考慮高優(yōu)先級(jí)漏洞和敏感數(shù)據(jù)：在理想化的場(chǎng)景中，安全團(tuán)隊(duì)有時(shí)間在每個(gè)數(shù)據(jù)庫(kù)中的每個(gè)漏洞發(fā)布后立即對(duì)其進(jìn)行修補(bǔ)。然而，考慮到來(lái)自整個(gè)企業(yè)的其他任務(wù)的沖擊以及補(bǔ)丁發(fā)布時(shí)間的限制，這變得越來(lái)越難以管理。因此，安全團(tuán)隊(duì)需要確保他們?yōu)椴煌瑑?yōu)先級(jí)任務(wù)正確分配時(shí)間，無(wú)論是在緩解最嚴(yán)重的漏洞方面，還是在保護(hù)哪些數(shù)據(jù)方面。擁有可以識(shí)別哪些數(shù)據(jù)庫(kù)保存敏感客戶數(shù)據(jù)（例如信用卡號(hào)或護(hù)照號(hào)）的工具可以幫助安全團(tuán)隊(duì)更好的部署防御措施。

3、了解數(shù)字化轉(zhuǎn)型的風(fēng)險(xiǎn)：如今所有行業(yè)都在緊鑼密鼓地推進(jìn)數(shù)字化轉(zhuǎn)型計(jì)劃，并將數(shù)據(jù)轉(zhuǎn)移到云端。然而，研究表明，在考慮保護(hù)云中數(shù)據(jù)的復(fù)雜性之前，管理本地?cái)?shù)據(jù)的安全性已經(jīng)非常具有挑戰(zhàn)性。雖然數(shù)字化轉(zhuǎn)型對(duì)于保持競(jìng)爭(zhēng)力至關(guān)重要，但企業(yè)需要制定清晰、有凝聚力的安全戰(zhàn)略來(lái)保護(hù)數(shù)據(jù)，這是一切努力的根本。

新網(wǎng)云數(shù)據(jù)庫(kù)通過(guò)IP白名單授權(quán)機(jī)制，嚴(yán)格管控訪問(wèn)源。支持通過(guò)VPC來(lái)獲取更高程度的網(wǎng)絡(luò)訪問(wèn)控制，為企業(yè)的業(yè)務(wù)數(shù)據(jù)提升安全性：http://feifannvren.com.cn/cs/rds.html