随着大數據庫時代的(de)到來，雲平台的(de)流行(xíng)，物聯網的(de)興起，數據庫的(de)應用範圍越來越廣泛，很多重要和(hé)敏感的(de)信息都保存其中，例如(rú)個人隐私信息、核心商(shāng)業機(jī)密、政府敏感資料等。數據庫成為(wèi)入侵者越來越有(yǒu)價值的(de)攻擊目标。漢武安全實驗室通過自(zì)身研究成果、項目案例分析結合數據庫廠商(shāng)安全應用報告，總結出數據庫安全脆弱性主要包含10點：

1.權限劃分和(hé)濫用；

2.數據存放；

3.操作系統級安全；

4.數據庫管理(lǐ)系統漏洞；

5.SQL注入漏洞；

6.缺乏審計記錄和(hé)手段；

7.拒絕服務；

8.數據庫通信安全；

9.身份鑒别；

10.備份數據暴露；

    而這些脆弱性，大部分是因為(wèi)管理(lǐ)制度和(hé)技術手段上的(de)缺失，造成面臨來自(zì)與內(nèi)外部人員組織的(de)威脅，形成數據庫安全運行(xíng)的(de)風險。MySQL作為(wèi)當下最流行(xíng)的(de)開源數據庫，為(wèi)世界上各個行(xíng)業的(de)大中小型組織提供數據存儲和(hé)分析服務，但是由于它是多平台的(de)數據庫，不可(kě)避免的(de)默認配置也是适合多種情況的(de)需求，因此需要用戶需要在自(zì)定義的(de)環境下對MySQL的(de)使用進行(xíng)加固。

    CIS®（互聯網安全中心）是一(yī)家具有(yǒu)前瞻性思維的(de)非盈利性實體，利用全球IT社區的(de)力量保護私人和(hé)公共組織免受網絡威脅。CIS Controls™和(hé)CIS Benchmarks™是保護IT系統和(hé)數據免受最普遍攻擊的(de)全球标準和(hé)公認的(de)最佳實踐。這些經過驗證的(de)指南不斷由經驗豐富的(de)IT專業人員組成的(de)志願者全球社區進行(xíng)完善和(hé)驗證。CIS®發布的(de)CIS_Oracle_MySQL5.6社區版安全基準能夠幫助用戶去(qù)建立起一(yī)套完整的(de)結合數據庫管理(lǐ)和(hé)技術的(de)安全體系。

    帕拉迪旗下漢武安全實驗室，專注國(guó)際範圍內(nèi)主流數據庫安全漏洞和(hé)數據安全攻防技術研究，秉承為(wèi)提升用戶數據庫安全不斷進取的(de)宗旨，翻譯并在Ubuntu Linux 14.04上安裝MySQL Enterprise Edition 5.6驗證了此安全基準，（不同運行(xíng)環境，文件路徑指向可(kě)能會有(yǒu)不同），希望能為(wèi)更多的(de)人和(hé)組織能夠帶來收益，摘要如(rú)下：

基準目錄：

檢查表：

獲得更多資訊請訪問

帕拉迪官網：www.leadsino.com

漢武安全實驗室官網：www.hawoo.net