安华金和数据库脱敏系统白皮书
安华金和数据库脱敏系统白皮书
安华金和数据库脱敏系统白皮书目录安华金和数据库脱敏系统 (1)白皮书 (1)一. 产品简介 (3)二. 应用背景 (3)2.1数据库安全已经成为信息安全焦点 (3)2.2企业需要安全的使用隐私数据 (4)2.3越发复杂的敏感数据使用场景 (4)2.4数据安全相关政策与法律法规 (4)三. 客户价值 (5)3.1保护隐私数据,满足合规性 (5)3.2保证业务可靠运行 (5)3.3实时动态保护生产系统数据 (6)3.4敏感数据统一管理 (8)四. 功能特点 (8)4.1自动识别敏感数据 (8)4.2灵活的策略和方案管理 (8)4.3内置丰富脱敏算法 (9)4.4数据子集管理 (9)4.5脱敏任务管理 (9)4.6脱敏数据验证 (10)4.7动态数据脱敏 (10)五. 联系我们 ............................................................................................................. 错误!未定义书签。
一. 产品简介安华金和数据库脱敏系统(简称DBMasker)是一款高性能、高扩展性的数据屏蔽和脱敏产品,采用专门的脱敏算法对敏感数据进行变形、屏蔽、替换、随机化、加密,将敏感数据转化为虚构数据,隐藏了真正的隐私信息,为数据的安全使用提供了基础保障。
同时脱敏后的数据可以保留原有数据的特征和分布,无需改变相应的业务系统逻辑,实现了企业低成本、高效率、安全的使用生产的隐私数据。
安华金和数据库脱敏系统脱敏产品,实现了自动识别敏感数据和管理敏感数据,提供灵活的策略和脱敏方案配置,高效可并行的脱敏能力,帮助企业快速实施敏感数据脱敏处理,同时保证数据的有效性和可用性,使脱敏后的数据能够安全的应用于测试、开发、分析,和第三方使用环境中。
安华金和数据库脱敏系统脱敏产品提供了具有极高附加价值的数据动态脱敏功能,该功能在数据库通讯协议层面,通过SQL代理技术,实现了完全透明的、实时的敏感数据掩码能力;在不需要对生产数据库中的数据进行任何改变的情况下,依据用户的角色、职责和其他IT定义规则,动态的对生产数据库返回的数据进行专门的屏蔽、加密、隐藏和审计,确保业务用户、外包用户、兼职雇员、合作伙伴、数据分析、研发和测试团队及顾问能够恰如其分地访问生产环境的敏感数据。
安华金和医疗行业数据库安全防护解决方案
保障医疗数据安全,提升医疗数据价值北京安华金和科技有限公司目录01数据流动,创造价值02医疗数据安全现状及形势03构建以患者为核心的数据安全防御体系04医疗数据安全治理实践数据流动,创造价值01数据只有流动才会产生价值,才能实现数据融合后更大的增值效益。
数据利用——医院信息化进入3.0时代•以实现业务系统的数字化为主要任务,解决业务系统本身的执行问题,然而系统之间的整合。
1.0时代(业务数字化)•通过数据集成,业务流程可以实现闭环管理,同时,用户也可以基于数据做度量分析和科学研究。
2.0时代(数据融合)•信息从产生到聚集,整合信息生命周期,实现数据挖掘和分析,数据在流动中产生价值。
3.0时代(数据价值)数据,正变得越来越重要。
因为无论哪种进化,都是以数据为基础。
以数据为核心的医疗信息化以患者为核心的临床数据中心建设。
临床大数据中心建立当下的智慧医疗体系推进智慧医疗体系建设人工智能的应用临床决策智能化、科研数据挖掘分析、智能化个体给药互联网数据接入区域医疗、医联体建设、社区胸痛中心建设、便民服务体系、数据互联互通医疗数据在流动中提升价值•保险风险控制欺诈防范•医疗服务质量评估•药品个性研发•药品临床应用•人口统计学分析•就诊行为分析•个人健康管理•慢病管理•治疗方案比较•临床决策支持•远程病人监控•医生培养•临床科研•疾病、疫情监管•新农合、社保基金分析•基本药物临床应用分析•医疗资源投放公共卫生医疗机构商业应用患者行为只有数据的开放与流动,让更多机构和企业进行利用,这样才能发挥数据的价值02医疗数据安全现状及形势老问题数据库自身安全性,新挑战大数据时代下新的系统架构对于数据安全的冲击。
医疗行业信息泄露事件频发2017年的医疗界有些不平静,近期因黑客攻击而引发的医疗信息安全事件就有:5月,黑客倒卖医院数据落网引发广州医药圈震荡;9月,某部委医疗服务信息系统遭“黑客”入侵,超过7亿条公民信息遭泄露,8000余万条公民信息被贩卖;10月,Petya网络攻击事件使香港宫颈癌疫苗断货;10月,伦敦一知名整形医院遭网络攻击,黑客称名单中有皇室成员;国家层面开始关注医疗数据安全2009年•2009年2月《刑法》修正案中,增加侵犯公民个人信息犯罪行为。
安华金和数据库脱敏系统(DBMasker)
安华金和数据库脱敏系统(DBMasker)一. 产品概述安华金和数据库脱敏系统(简称DBMasker)是一款面向生产数据进行数据抽取、数据漂白和动态掩码的专业数据脱敏产品。
DBMasker可以满足测试、开发、培训和数据共享场景的敏感数据保护需求。
DBMasker符合金融、运营商、能源、政府等行业敏感数据防护的政策合规性需求。
二. 产品价值2.1 防止生产库中敏感数据泄露DBMasker通过对生产库中的身份、地址、银行卡号、电话号码等敏感数据进行混淆、扰乱后再提供给第三方使用,防止生产库中的敏感数据泄露;DBMasker通过对生产或漂白后的数据进行局部数据抽取,实现非生产环境下数据集合最小化。
2.2 提升测试、开发和培训数据质量DBMasker通过内置策略和算法,保证脱敏数据有效性(保持原有数据类型和业务格式)、完整性(保证长度不变、数据内涵不丢失)、关系性(保持表间、表内数据关联关系),以提升在测试、开发和培训环节的真实有效性。
2.3 提高数据维护和数据共享安全性DBMasker通过对生产数据库访问者用户名、IP、工具类型、时间等多个身份维度,控制对生产数据访问结果的差异化;返回结果可以为真实数据或掩码数据,或进行阻断、返回行数限定。
通过对访问者的不同策略,满足细粒度的生产数据访问需求。
比如:DBA可维护,但看不到敏感数据;业务系统访问真实数据,BI系统看到扰乱后用户身份信息。
2.4 实现隐私数据管理的政策合规性通过DBMasker脱敏产品,可以帮助组织满足国际标准、行业监管政策中,对测试和开发环节的敏感数据保护需求。
三. 产品优势3.1 漂白只是开始,完备脱敏解决方案DBMasker具备全面的数据漂白能力,同时DBMasker具备以下能力:1)数据间关系保持:实现表间关系、同表列间关系、数据分布关系保持;2)数据子集抽取:实现基于百分比、时间或其它条件的数据抽取;3)实时动态数据脱敏:不需要数据转换存储,实时数据掩码或访问控制。
安华金和数据库安全医疗行业解决方案.doc
安华金和数据库安全医疗行业解决方案4 安华金和数据库安全医疗行业解决方案一. 客户需求与挑战2010卫生部颁发的《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》中明确指出,“要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理,对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格统方权限和审批程序,未经批准不得统方,严禁为商业目的统方。
”在高额利益的驱使下,当前黑客窃取“统方”数据的问题已不容忽视。
总结黑客的手段无外乎以下三种:1)利用HIS等医疗系统的Web漏洞入侵数据库;2)利用数据库漏洞直接入侵数据库;3)入侵数据库服务器主机直接窃取数据库文件、备份文件等。
当前部分省市医院采用审计软件“防统方”,却面临3大致命缺陷:1)事后分析,无法主动阻止内部人员非法统方行为的发生;2)难以准确地定位统方发生的具体操作人员,因此无法辨别非法统方和正常统方,不能起到震慑的作用;3)无法阻止来自于外部黑客的攻击和存储层的数据泄密。
二. 解决方案概述及要点描述安华金和医疗行业数据库安全方案的基本思路为通过对HIS、电子病历等医疗系统的用户表中密码信息和处方表中的剂量信息进行数据库加密存储,并对这些信息提供应用结合的数据库访问权限增强体系,屏蔽DBA人员、开发及维护人员对统方数据的查看权利,使通过医疗系统的统方操作变得可控、可追踪,使黑客攻破Oracle 权限体系或盗取数据文件后仍然无法获取统方数据,从而实现对数据库统方的全方位防护能力。
DBCoffer 安全管理终端处方信息查询模块统方功能模块图1 防统方解决方案拓扑图该方案针对四种典型人群的统方途径,提供技术防御手段:(1)His 系统使用者“统方”防御统方途径:利用His 系统的“统方”功能直接“统方”。
由于有合法统方的需求存在,因此在现有的His 软件中,无法完全屏蔽该功能;His 使用者利用该功能进行非法统方。
利用His 系统的统计功能间接“统方”。
安华金和数据库安全电子政务外网解决方案.doc
安华金和数据库安全电子政务外网解决方案4安华金和数据库安电子政务外网解决方案中国软件测评中心(中国国家工业和信息化部下属单位)2014年12月3日发布《2014年中国政府网站绩效评估总报告》显示,今年评估的900余家政府网站当中,超过93%的网站存在着本级的安全漏洞,其中97%的区县网站被监测到有安全隐患,接受评估的网站包括部委网站、省级政府网站、副省级政府网站、地市政府网站及区县政府网站。
这个也给政府的形象带来了很不利的影响,甚至给政府工作的正常运行带来了严重的威胁。
由于人们对互联网的依赖性日益增强,互联网数据资产所蕴含的经济价值更加巨大。
以CSDN 600万用户信息泄露开始,中国互联网接连爆发的信息泄露为“互联网之殇”再添一笔。
近年来,因为互联网技术漏洞导致用户信息泄露的事件时有发生,2014年5月小米论坛疑似被“拖库”,该漏洞影响约有800万左右小米论坛用户,2014年3月,携程网也曾连续爆发安全漏洞,导致部分携程用户的银行卡信息被泄露并被利用,未来针对隐私信息的破解和攻击会愈演愈烈。
如何确保信息安全,加强信息保障工作,将是政务外网建设关注的重中之重。
一、政务外网敏感数据泄漏问题分析真正有效的解决网络信息的安全问题,首先就需要分析批量个人隐私信息数据泄密、篡改途径,包括来自于外部攻击者,第三方运维人员、开发人员等内部人员的各种可能性。
从系统安全体系的角度来分析,然后找出可行的技术手段,才能真正从全方位保证网络信息安全。
核心数据安全是针对核心敏感数据的保护,处于整个安全体系的核心位置!经过对诸多网络信息安全事件的分析,发现信息泄密及篡改的最大威胁来自于外部黑客、内部运维人员及数据库管理员DBA、以及第三方服务外包人员。
外部:黑客攻击者黑客攻击者一般有两种手段进行数据的窃取:一是入侵到网络后,能够直接访问数据库服务器,进行刷库直接拷贝数据文件,利用主流数据库明文存储的缺陷,直接进行异地的数据还原,即可获得所有数据。
安华金和数据库安全评估系统(DSAS)
安华金和数据库安全评估系统(DSAS)©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。
任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录安华金和数据库安全评估系统(DSAS) (1)目录 (2)一. 关于安华金和 (3)1.1发展历史 (3)1.2产品路标 (4)二. 数据库安全评估系统(DSAS) (5)2.1产品概述 (5)2.2客户价值 (5)2.2.1 满足合规安全检测 (5)2.2.2 发现数据库自身漏洞 (5)2.2.3 发现使用中安全隐患 (5)2.2.4 数据库安全状态监控 (6)2.3产品优势 (6)2.3.1 风险级别准确 (6)2.3.2 数据库安全检查范围全面 (6)2.3.3 数据库安全检查技术先进 (6)2.3.4 独特的数据库安全状况监控 (6)2.3.5 自身安全性高 (6)2.4适用场景 (7)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司(以下简称安华金和),2009年3月2日成立,长期专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商。
安华金和由长期致力于数据处理和信息安全的专业人士共同创造,作为中国“数据安全治理”体系框架的提出者,安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案;同时,安华金和作为独立的第三方云数据安全服务商(CDSP),为国内外各大云平台用户提供专业的数据安全保障;安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。
安华金和总部位于北京,分设北京营销中心与天津研发中心,下设11大分支机构,业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。
在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例,并取得了良好的信誉口碑。
安华金和数据库加密系统技术白皮书
安华⾦和数据库加密系统技术⽩⽪书安华⾦和数据库加密系统系统⽩⽪书⽬录安华⾦和数据库加密系统 (1)⽩⽪书 (1)⼀. 安华⾦和数据库加密系统产品简介 (3)⼆. 安华⾦和数据库加密系统应⽤背景 (3)2.1数据库安全已经成为信息安全焦点 (3)2.2数据库层⾯的泄密事件频发 (4)2.3数据安全相关政策与法律法规 (4)三. 安华⾦和数据库加密系统客户价值 (5)3.2防⽌由于明⽂存储引起的泄密 (5)3.3防⽌外部⾮法⼊侵窃取敏感数据 (6)3.4防⽌内部⾼权限⽤户数据窃取 (6)3.5防⽌合法⽤户违规数据访问 (6)四. 安华⾦和数据库加密系统功能特点 (7)4.1透明数据加密 (7)4.2⾼效数据检索 (7)4.3⾝份鉴别增强 (7)4.4增强访问控制 (7)4.5真正应⽤安全 (8)4.6敏感数据审计 (8)4.7⾼可⽤性 (8)4.8可维护性 (9)⼀. 安华⾦和数据库加密系统产品简介安华⾦和数据库加密系统系统(简称DBCoffer)(以下称:安华⾦和数据库加密系统)是⼀款基于透明加密技术的数据库安全加固系统,该产品能够实现对数据库中对的加密存储、访问控制增强、应⽤访问安全、安全审计以及三权分⽴等功能。
安华⾦和数据库加密系统基于主动防御机制,可以防⽌明⽂存储引起的数据泄密、突破边界防护的外部⿊客攻击、来⾃于内部⾼权限⽤户的数据窃取、防⽌绕开合法应⽤系统直接访问数据库,从根本上解决数据库敏感数据泄漏问题。
安华⾦和数据库加密系统利⽤数据库⾃⾝扩展机制,通过独创的、已获专利的三层视图技术和密⽂索引等核⼼技术,突破了传统数据库安全加固产品的技术瓶颈,真正实现了数据⾼度安全、应⽤完全透明、密⽂⾼效访问。
安华⾦和数据库加密系统当前⽀持Windows、AIX、Linux、Solaris等多个平台,提供基于加密硬件的企业版和纯软件的标准版,⽀持主、从、应急等⾃⾝⾼可⽤模式,可以满⾜⽤户的多种部署需求。
揭秘国内唯一成熟的数据库加密产品
揭秘国内唯一成熟的数据库加密产品作者:安华金和孙峥近年来,伴随数据泄露事件频发,人们对于数据库安全的重视程度与日俱增。
在政府、机关部委、金融、能源等行业的信息安全建设中,数据库审计、数据库防火墙等安全设备纷纷被定义为“必需品”,然而部署于网络层的安全设备终究鞭长莫及,面对来自存储层的数据文件泄密,依然无能为力。
在对数据库的纵深安全防护体系中,对存储层进行加密的数据库加密产品作为数据库“底线防守”的最有效手段,从存储层对敏感数据进行有效加密保护。
这样,从根本上解决了诸如数据文件窃取、高权限特权用户直接登录数据库主机批量检索篡改数据等安全问题。
一. 成熟而可靠的数据库加密产品应当安全而无感既然作为数据库存储层加密的数据库加密产品如此重要,为什么大多数用户只是选择部署数据库数据库审计、数据库防火墙等网络防护手段,却没有真正实施数据库加密呢?举例来说:如果说网络层数据库安全防护产品是给裸露的数据库穿上衣服,那么数据库加密就是为存在安全漏洞的数据库进行一场精密的心脏搭桥手术,如同病人大多对心脏手术的风险存在疑虑,用户对于数据库加密可能造成的业务风险同样担心。
除去加密强度和权限划分这些基本要素之外,用户的担心来自以下几个方面1. 数据库加密后,我的应用程序和运维习惯会不会被迫大幅度更改。
2. 数据库加密后,性能会不会产生大幅度下降3. 加密后会否引入新的故障点,产品的稳定性和容灾机制是否值得信赖这种担心透露出用户对于数据库加密产品的要求,那就是安全提升的同时,不应以牺牲性能和可用性为代价,好的数据库加密产品,要足够成熟可靠,尽可能做到安全但无感,不对用户产生任何额外负担。
二. 何为国内唯一真正成熟的数据库加密产品在目前国内的数据库加密市场中,普遍是基于网络层、应用层加密技术或前置代理方案衍生的各类产品,而真正成熟可靠的产品应当满足以下几点:1. 完美解决数据库使用者的透明性问题2. 能充分利用数据库自身功能特性做到性能无损、安全无感。
安华金和数据库漏洞扫描系统介绍
安华金和数据库漏洞扫描系统产品简介安华金和数据库漏洞扫描系统xSecure-DBScan一款帮助用户对当前的数据库系统进行自动化安全评估的专业软件,能有效暴露当前数据库系统的安全问题,提供对数据库的安全状况进行持续化监控,帮助用户保持数据库的安全健康状态。
一、xSecure-DBScan的核心价值发现外部黑客攻击漏洞,防止外部攻击:实现非授权的从外到内的检测;模拟黑客使用的漏洞发现技术,在没有授权的情况下,对目标数据库的安全性作深入的探测分析;收集外部人员可以利用的数据库漏洞的详细信息。
分析内部不安全配置,防止越权访问:通过只读账户,实现由内到外的检测;提供现有数据的漏洞透视图和数据库配置安全评估;避免内外部的非授权访问。
监控数据库安全状况,防止数据库安全状况恶化:对于数据库建立安全基线,对数据库进行定期扫描,对所有安全状况发生的变化进行报告和分析。
二、xSecure-DBScan的竞争力(1)最大的DBMS安全漏洞知识库xSecure-DBScan支持1311个安全漏洞库;国内普通安全厂商的漏洞检测数在300个左右;专业数据库漏洞工具的检测数600-700个。
(2)最全面的数据库安全检查范围xSecure-DBScan支持4163个安全检测点;覆盖DBMS漏洞、管理员维护漏洞、程序代码漏洞和高危敏感数据检测四个方面的数据库安全检查。
(3)先进的数据库安全检查技术xSecure-DBScan支持多种数据库自动化检查技术;先进的网络数据库发现技术,不仅提供数据库服务器发现技术,还提供数据库实例发现技术;实现多种DBMS的密码生成技术,提供1万多个口令爆破库,实现快速的弱口令检测方法。
(4)持续的数据库安全状况监控突破传统的漏扫产品仅作为数据库漏洞检查工具的限制,实现对数据库运维安全状况的监控,包括相关安全配置、连接状况、用户变更状况、权限变更状况、代码变更状况等全方面的安全状况评估;建立安全基线,实现安全变化状况报告与分析。
安华金和数据库平安银行行业解决方案4.doc
安华金和数据库安全银行行业解决方案4 安华金和数据库安全银行行业解决方案一. 客户需求与挑战某商行信息化高速发展的时代背景下,各银行积累的客户数据、交易记录、管理数据等呈爆炸性增长,海量数据席卷而来,海量的业务数据不但成为金融业的命脉,也成为不法分子窥探的目标,因此也意味着面临了海量的风险。
目前国家和商行内部对数据的安全管控提出了以下要求:1) 随着客户的增加,数据库信息价值不断提升,使得数据库面对来自内部和外部的安全风险大大增加;2) 内部违规越权操作、外部恶意入侵等行为,事后却无法有效追溯和审计;3) 业务访问数据库过程过慢,SQL访问性能无法了解并改善;4) 国家等级保护相关标准中要求等保二级以上信息系统中的网络层面、主机层面和应用层面均要求进行安全审计、安全控制,同时也明确要求了审计和控制的范围、内容等,粒度要求到用户级、数据表、字段级。
5) 银监会19号文中也明确提出“控制所有生产系统的活动日志,以支持有效的审计、安全论证分析和预防欺诈”。
6) 国外信息安全方面的标准或最佳实践(如ISO13335、ISO27001、SP800)等也要求对用户行为、系统、数据操作行为进行控制和审计。
特别是2014年9月银监会39号文,《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(简称意见),特别在操作系统、数据库等领域要加大探索和尝试力度;从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比该指导意见的发布是我国进一步重视银行业数据安全的表现。
二. 解决方案概述及要点描述某商行核心数据库在全行范围内是负责银行数据存储和处理核心设施,经过评估一旦核心数据机密性、完整性、可用性遭受损失,将会给社会秩序甚至国家安全造成严重损害。
银行因此委托了专业的数据库安全厂商,提出了以下4点安全目标:1)向合法用户提供可靠信息服务;2)拒绝非法用户对数据库的访问;3)拒绝对数据库执行高危操作4)跟踪数据库使用记录,为合规性、安全责任审查提供证据。
安华金和,用技术实力创造高价值安全产品
安华金和,用技术实力创造高价值安全产品凭借在数据库安全领域多年技术积累和对用户需求的充分满足,安华金和在“2016中国IT运维大会大型评选”活动中两款入围产品一举拿下两项获奖荣誉——数据库安全管控平台DBController荣获“2016中国IT运维最佳技术突破奖”;数据库脱敏系统DBMasker荣获“2016中国IT运维管理最佳产品奖”,向市场交付更具使用价值的产品是安华金和的自我驱动力,两个奖项代表了市场对安华金和的高度认可。
放下荣誉,聚焦产品,今天为大家介绍下数据库安全管控平台(DBController)和数据库脱敏系统(DBMasker)这两款明星产品。
一. 明星产品之数据库安全管控平台DBController名副其实的运维管控利器,运维主管安心睡好觉安华金和作为数据库安全领域唯一掌握大型数据库的内核技术和架构原理的厂商,能够提供全系列领先数据库安全产品解决方案,覆盖数据库的检查预警、主动防御、底线防守、事后追查等各个环节。
在主动防御环节,安华金和专门针对运维侧的管理研发出数据库安全管控平台——DBController。
网络安全防护手段往往忽略了对数据库运维侧的管控,运维人员拥有很大的数据库操作权限,数据库口令暴露、高危操作、用户身份不清等数据库运维安全隐患越发清晰可见。
这种状况显然是企业构建全面数据库安全防护体系所应包含的一个重要方面。
安华金和挖掘运维安全的棘手之处,以治标治本的思路研发出的数据库运维管控平台专门针对安全运维需求制定运维行为规范制度,从身份识别、访问审批、流程管理三个层面对不合规操作加以阻挡,运用策略展示和访问审计技术,建立了包含操作申请、操作审批流程的审批流程管理制度。
数据库安全管控平台产品架构数据库安全管控平台工作步骤1、无权限操作被拒。
运维人员使用任意客户端建立连接,无操作码或执行未申请的操作,会直接被拒绝。
2、运维人员提交操作申请。
操作申请需要包含操作的具体内容、操作行为发生的起始时间和截止时间,操作的目标数据库以及具体操作对象。
安华金和数据库加密系统(DES)
安华金和数据库加密系统(DES)©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。
任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录安华金和数据库加密系统(DES) (1)目录 (2)一. 关于安华金和 (3)1.1发展历史 (3)1.2产品路标 (4)二. 数据库加密系统(DES) (5)2.1产品概述 (5)2.2客户价值 (5)2.2.1 防止由于明文存储引起的泄密 (5)2.2.2 防止外部非法入侵窃取敏感数据 (5)2.2.3 防止内部高权限用户数据窃取 (6)2.2.4 防止合法用户违规访问数据 (6)2.3产品优势 (6)2.3.1 透明数据加密 (6)2.3.2 高效数据检索 (7)2.3.3 增强访问控制 (7)2.3.4 应用身份安全 (7)2.3.5 高可用易维护 (7)2.4适用场景 (8)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司(以下简称安华金和),2009年3月2日成立,长期专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商。
安华金和由长期致力于数据处理和信息安全的专业人士共同创造,作为中国“数据安全治理”体系框架的提出者,安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案;同时,安华金和作为独立的第三方云数据安全服务商(CDSP),为国内外各大云平台用户提供专业的数据安全保障;安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。
安华金和总部位于北京,分设北京营销中心与天津研发中心,下设11大分支机构,业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。
在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例,并取得了良好的信誉口碑。
安华金和数据安全产品手册
安华金和数据安全产品手册©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。
任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录安华金和数据安全产品手册 (1)目录 (2)一. 关于安华金和 (4)1.1发展历史 (4)1.2产品路标 (5)二. 数据库安全产品系列 (6)2.1数据库安全评估系统(DSAS) (6)2.1.1 产品概述 (6)2.1.2 客户价值 (6)2.1.3 产品优势 (7)2.1.4 适用场景 (8)2.2数据资产梳理系统(DACS) (8)2.2.1 产品概述 (8)2.2.2 客户价值 (9)2.2.3 产品优势 (10)2.2.4 适用场景 (10)2.3数据库安全审计系统(DAS) (11)2.3.1 产品概述 (11)2.3.2 客户价值 (11)2.3.3 产品优势 (12)2.3.4 适用场景 (13)2.4数据库安全防护系统(DPS) (14)2.4.1 产品概述 (14)2.4.2 客户价值 (14)2.4.3 产品优势 (15)2.4.4 适用场景 (17)2.5数据库运维管理系统(DOMS) (17)2.5.1 产品概述 (17)2.5.2 客户价值 (18)2.5.3 产品优势 (19)2.5.4 适用场景 (19)2.6数据脱敏系统(DMS) (20)2.6.1 产品概述 (20)2.6.2 客户价值 (20)2.6.3 产品优势 (21)2.6.4 适用场景 (22)2.7数据库加密系统(DES) (23)2.7.1 产品概述 (23)2.7.2 客户价值 (24)2.7.3 产品优势 (25)2.7.4 适用场景 (26)2.8数据水印系统(DWS) (26)2.8.1 产品概述 (26)2.8.2 客户价值 (27)2.8.3 产品优势 (27)2.8.4 适用场景 (28)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司(以下简称安华金和),2009年3月2日成立,长期专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商。
安华金和数据库安全审计系统(DAS)
安华金和数据库安全审计系统(DAS)©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。
任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录安华金和数据库安全审计系统(DAS) (1)目录 (2)一. 关于安华金和 (3)1.1发展历史 (3)1.2产品路标 (4)二. 数据库安全审计系统(DAS) (5)2.1产品概述 (5)2.2客户价值 (5)2.2.1 满足合规需求 (5)2.2.2 面临安全挑战 (5)2.3产品优势 (6)2.3.1 全面审计记录 (6)2.3.2 数据库行为建模 (6)2.3.3 对象统计 (7)2.3.4 应用关联审计 (7)2.4适用场景 (7)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司(以下简称安华金和),2009年3月2日成立,长期专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商。
安华金和由长期致力于数据处理和信息安全的专业人士共同创造,作为中国“数据安全治理”体系框架的提出者,安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案;同时,安华金和作为独立的第三方云数据安全服务商(CDSP),为国内外各大云平台用户提供专业的数据安全保障;安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。
安华金和总部位于北京,分设北京营销中心与天津研发中心,下设11大分支机构,业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。
在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例,并取得了良好的信誉口碑。
安华金和以“让数据使用更安全”为最高使命,立志成为世界级数据安全厂商。
围绕该愿景,安华金和主营业务方向分为三大部分:1、围绕数据库的安全,安华金和推出全线数据库安全产品及解决方案;2、以整体数据库安全产线为技术支撑,安华金和推出数据安全治理解决方案,面向重点行业推广与实践;3、基于公有云和私有云环境特征,安华金和推出公有云数据安全服务和私有云数据安全解决方案。
安华金和数据脱敏系统(DMS)
安华金和数据脱敏系统(DMS)©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。
任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录安华金和数据脱敏系统(DMS) (1)目录 (2)一. 关于安华金和 (3)1.1发展历史 (3)1.2产品路标 (4)二. 数据脱敏系统(DMS) (5)2.1产品概述 (5)2.2客户价值 (5)2.2.1 实现隐私数据管理的政策合规 (5)2.2.2 防止生产库中敏感数据泄露 (5)2.2.3 提高数据维护和共享安全性 (5)2.3产品优势 (6)2.3.1 静态脱敏技术实用全面 (6)2.3.2 动态脱敏技术实时保护 (7)2.4适用场景 (7)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司(以下简称安华金和),2009年3月2日成立,长期专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商。
安华金和由长期致力于数据处理和信息安全的专业人士共同创造,作为中国“数据安全治理”体系框架的提出者,安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案;同时,安华金和作为独立的第三方云数据安全服务商(CDSP),为国内外各大云平台用户提供专业的数据安全保障;安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。
安华金和总部位于北京,分设北京营销中心与天津研发中心,下设11大分支机构,业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。
在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例,并取得了良好的信誉口碑。
安华金和以“让数据使用更安全”为最高使命,立志成为世界级数据安全厂商。
围绕该愿景,安华金和主营业务方向分为三大部分:1、围绕数据库的安全,安华金和推出全线数据库安全产品及解决方案;2、以整体数据库安全产线为技术支撑,安华金和推出数据安全治理解决方案,面向重点行业推广与实践;3、基于公有云和私有云环境特征,安华金和推出公有云数据安全服务和私有云数据安全解决方案。
不用发送比特币,安华让你的数据库免受勒索
不用发送比特币,安华让你的数据库免受勒索上个月,安华金和关注比特币勒索事件,分析数据库被勒索的原理,下一次,也许不是比特币。
数据库勒索事件,安华金和有对策。
背景数据勒索这一黑客技术在2013年开始爆发,无数用户深受其害,勒索软件将用户的数据文件进行加密,如果不缴纳赎金这些文件将无法使用。
然而,一波未平,一波又起。
勒索软件已经将魔掌伸向了数据库。
近日,诸多企业DBA发现他们所管理的Oracle数据库无法访问,并且在报错页面上提示着“您的数据库已经被锁定,如需恢复请发送5个比特币到指定账户”。
从提示中,我们可以很清晰的看出,这并不是数据库发生的常规故障,而是被专业黑客将数据库锁定了!安华金和针对本次数据库勒索事件进行了全面分析,将整个勒索的过程进行了还原,我们发现整个勒索过程分为以下几个步骤:1、风险散播整个勒索过程的源头是黑客组织向互联网各大技术论坛投放了经过“改动”的PL SQL Developer软件程序,该程序是做Oracle运维必备的客户端工具,只要安装了该经“改动”版本的PL SQL Developer程序,那么就预示着你已经成为了被索的对象。
2、风险潜伏经过“改动”的PL SQL Developer软件程序内置一些恶意的脚本,这些恶意代码不会马上爆发,而是一直潜伏在数据库运维人员的终端环境中。
这些恶意代码会判断当前受感染的数据库实例从创建时间那天到现在是否大于1200天,如果不满足则一直潜伏,如果满足则执行勒索代码。
(时间越长,数据就越多,用户就越心切)3、风险爆发勒索爆发后,会根据当前一系列条件判断采用哪种攻击方式,一种是将tab$表内容清空,一种是将USER表内容清空,而结果都是一样的,数据库无法正常连接了!解决思路通过上述分析,我们可以得出结论,即:受感染的PL SQL Developer向数据库发起数据清除指令,从而导致数据库无法正常连接。
通过互联网搜索此类攻击行为如何解决,给出的答案基本都是采用官方的PL SQL Developer 程序进行运维,但我们非常清楚,这种情况我们是无法规避的,那么如何从技术角度有效的将这类问题规避呢?安华金和认为要解决这类数据库勒索行为,在解决眼下问题的同时,还需通过技术手段防止勒索事件的再次袭击,所以应该分两步走:风险铲除和防御布局。
安华金和数据库脱敏系统(DBMasker)
安华金和数据库脱敏系统(DBMasker)一. 产品概述安华金和数据库脱敏系统(简称DBMasker)是一款面向生产数据进行数据抽取、数据漂白和动态掩码的专业数据脱敏产品。
DBMasker可以满足测试、开发、培训和数据共享场景的敏感数据保护需求。
DBMasker符合金融、运营商、能源、政府等行业敏感数据防护的政策合规性需求。
二. 产品价值2.1 防止生产库中敏感数据泄露DBMasker通过对生产库中的身份、地址、银行卡号、电话号码等敏感数据进行混淆、扰乱后再提供给第三方使用,防止生产库中的敏感数据泄露;DBMasker通过对生产或漂白后的数据进行局部数据抽取,实现非生产环境下数据集合最小化。
2.2 提升测试、开发和培训数据质量DBMasker通过内置策略和算法,保证脱敏数据有效性(保持原有数据类型和业务格式)、完整性(保证长度不变、数据内涵不丢失)、关系性(保持表间、表内数据关联关系),以提升在测试、开发和培训环节的真实有效性。
2.3 提高数据维护和数据共享安全性DBMasker通过对生产数据库访问者用户名、IP、工具类型、时间等多个身份维度,控制对生产数据访问结果的差异化;返回结果可以为真实数据或掩码数据,或进行阻断、返回行数限定。
通过对访问者的不同策略,满足细粒度的生产数据访问需求。
比如:DBA可维护,但看不到敏感数据;业务系统访问真实数据,BI系统看到扰乱后用户身份信息。
2.4 实现隐私数据管理的政策合规性通过DBMasker脱敏产品,可以帮助组织满足国际标准、行业监管政策中,对测试和开发环节的敏感数据保护需求。
三. 产品优势3.1 漂白只是开始,完备脱敏解决方案DBMasker具备全面的数据漂白能力,同时DBMasker具备以下能力:1)数据间关系保持:实现表间关系、同表列间关系、数据分布关系保持;2)数据子集抽取:实现基于百分比、时间或其它条件的数据抽取;3)实时动态数据脱敏:不需要数据转换存储,实时数据掩码或访问控制。
安华金和数据库安全电子政务内网解决方案4.doc
安华金和数据库安全电子政务内网解决方案4安华金和数据库安电子政务内网解决方案一. 方案概述电子政府内网中的诸多数据均属机密数据,需要严格的保护,防止信息的泄漏和篡改,同时对数据的访问踪迹实现完全可追踪化。
由于历史的原因,信息中心的诸多核心系统主要使用的是Oracle和SQL Server为代表的国外数据库产品,同时由于数据库技术的复杂性,短期内难以替代。
斯诺登事件的发生,证明了我国的机密数据放在国外数据库中,若是不采用国产自主可控的数据库安全技术进行加固,数据库中的涉密信息将有很大的泄漏风险。
即使在实现了国产化数据库系统的涉密信息系统中,当前也存在数据库运维的三元分立、防止SQL注入、漏洞攻击和全部操作要审计等诸多数据库安全需求,因此,数据库安全加固方案具有普遍意义。
本方案对电子政务内网门户、内网办公和纵向内网业务三大类信息系统,后台的数据库系统面临的安全风险、核心安全需求进行认真分析,并提出了通过事前诊断、事中控制和事后审计实现全防护时机的数据库安全解决方案,以满足对国内外数据库的安全加固要求。
二.安全需求分析2.1业务驱动需求当前电子政务内网信息系统中的涉密数据在数据库集中存储,传统的信息安全解决方案主要是通过网络传输通道加密、PKI 或增强身份认证、防火墙、IPS、堡垒机等技术构成综合的信息安全应对策略,但这些方案在现实中变得弱不禁风,大量信息泄露事件频繁爆发。
(1)传统解决方案对应用访问和数据库访问协议没有任何控制能力,比如:SQL注入就是一个典型的数据库黑客攻击手段;(2)数据泄露常常发生在内部,大量的运维人员直接接触敏感数据,传统以防外为主的网络安全解决方案失去了用武之地;(3)由于数据库漏洞被攻击破坏将可能牵连多个部门的系统的数据库不能使用,导致被刷库后数据集中泄密;(4)缺乏数据库安全管控手段,需要实现精细控制,当前的技术手段下,信息中心无法控制和追踪数据库管理员对敏感数据的访问;(5)数据库的存储文件解析后为明文,主流的大型数据库数据文件的组织结构主动或被动公开化,只要得到这些数据文件,存储的数据其实就是透明的。
安华金和数据库安全电子政务外网解决方案
安华金和数据库安电子政务外网解决方案中国软件测评中心(中国国家工业和信息化部下属单位)2014年12月3日发布《2014年中国政府网站绩效评估总报告》显示,今年评估的900余家政府网站当中,超过93%的网站存在着本级的安全漏洞,其中97%的区县网站被监测到有安全隐患,接受评估的网站包括部委网站、省级政府网站、副省级政府网站、地市政府网站及区县政府网站。
这个也给政府的形象带来了很不利的影响,甚至给政府工作的正常运行带来了严重的威胁。
由于人们对互联网的依赖性日益增强,互联网数据资产所蕴含的经济价值更加巨大。
以CSDN 600万用户信息泄露开始,中国互联网接连爆发的信息泄露为“互联网之殇”再添一笔。
近年来,因为互联网技术漏洞导致用户信息泄露的事件时有发生,2014年5月小米论坛疑似被“拖库”,该漏洞影响约有800万左右小米论坛用户,2014年3月,携程网也曾连续爆发安全漏洞,导致部分携程用户的银行卡信息被泄露并被利用,未来针对隐私信息的破解和攻击会愈演愈烈。
如何确保信息安全,加强信息保障工作,将是政务外网建设关注的重中之重。
一、政务外网敏感数据泄漏问题分析真正有效的解决网络信息的安全问题,首先就需要分析批量个人隐私信息数据泄密、篡改途径,包括来自于外部攻击者,第三方运维人员、开发人员等内部人员的各种可能性。
从系统安全体系的角度来分析,然后找出可行的技术手段,才能真正从全方位保证网络信息安全。
核心数据安全是针对核心敏感数据的保护,处于整个安全体系的核心位置!经过对诸多网络信息安全事件的分析,发现信息泄密及篡改的最大威胁来自于外部黑客、内部运维人员及数据库管理员DBA、以及第三方服务外包人员。
外部:黑客攻击者黑客攻击者一般有两种手段进行数据的窃取:一是入侵到网络后,能够直接访问数据库服务器,进行刷库直接拷贝数据文件,利用主流数据库明文存储的缺陷,直接进行异地的数据还原,即可获得所有数据。
二是利用数据库自身的一系列缺省端口号、缺省用户密码、权限提升等漏洞,轻松获取DBA身份的高权限用户,直接导出数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安华金和数据库脱敏系统白皮书目录安华金和数据库脱敏系统 (1)白皮书 (1)一. 产品简介 (3)二. 应用背景 (3)2.1数据库安全已经成为信息安全焦点 (3)2.2企业需要安全的使用隐私数据 (4)2.3越发复杂的敏感数据使用场景 (4)2.4数据安全相关政策与法律法规 (4)三. 客户价值 (5)3.1保护隐私数据,满足合规性 (5)3.2保证业务可靠运行 (5)3.3实时动态保护生产系统数据 (6)3.4敏感数据统一管理 (8)四. 功能特点 (8)4.1自动识别敏感数据 (8)4.2灵活的策略和方案管理 (8)4.3内置丰富脱敏算法 (9)4.4数据子集管理 (9)4.5脱敏任务管理 (9)4.6脱敏数据验证 (10)4.7动态数据脱敏 (10)五. 联系我们 ............................................................................................................. 错误!未定义书签。
一. 产品简介安华金和数据库脱敏系统(简称DBMasker)是一款高性能、高扩展性的数据屏蔽和脱敏产品,采用专门的脱敏算法对敏感数据进行变形、屏蔽、替换、随机化、加密,将敏感数据转化为虚构数据,隐藏了真正的隐私信息,为数据的安全使用提供了基础保障。
同时脱敏后的数据可以保留原有数据的特征和分布,无需改变相应的业务系统逻辑,实现了企业低成本、高效率、安全的使用生产的隐私数据。
安华金和数据库脱敏系统脱敏产品,实现了自动识别敏感数据和管理敏感数据,提供灵活的策略和脱敏方案配置,高效可并行的脱敏能力,帮助企业快速实施敏感数据脱敏处理,同时保证数据的有效性和可用性,使脱敏后的数据能够安全的应用于测试、开发、分析,和第三方使用环境中。
安华金和数据库脱敏系统脱敏产品提供了具有极高附加价值的数据动态脱敏功能,该功能在数据库通讯协议层面,通过SQL代理技术,实现了完全透明的、实时的敏感数据掩码能力;在不需要对生产数据库中的数据进行任何改变的情况下,依据用户的角色、职责和其他IT定义规则,动态的对生产数据库返回的数据进行专门的屏蔽、加密、隐藏和审计,确保业务用户、外包用户、兼职雇员、合作伙伴、数据分析、研发和测试团队及顾问能够恰如其分地访问生产环境的敏感数据。
安华金和数据库脱敏系统支持Oracle、MSSQL、Informix等主流数据库,支持Windows、Linux、AIX、Solaris等多个主流数据库应用平台,提供灵活的脱敏规则配置及脱敏规则扩展。
安华金和数据库脱敏系统产品广泛适用于银行、证券、保险等金融机构,同时在政府部门、涉密单位也有良好适用场景。
产品在国家等级保护、分级保护等领域均具有很强的政策合规性。
二. 应用背景2.1 数据库安全已经成为信息安全焦点在企业和金融机构的后台数据库中,储存着大量的敏感信息,无论是从商业惯例还是数据安全角度,这些敏感信息都应得到有效的保护,一旦发生信息泄密行为,不仅会造成重大的财产损失,也会对企业的名誉造成严重影响。
当前,数据库的安全防护作为信息安全防护任务的“最后一公里”,其重要性已经被越来越多的部门所认可。
据国际权威机构verizon2014统计报告分析,当前96%数据攻击行为是针对数据库进行的;就“核心数据是如何丢失的”的市场调查表明,75%的数据丢失情况来自于数据库,数据库已经成为入侵者最主要的攻击目标和泄密源。
2.2 企业需要安全的使用隐私数据企业需要使用海量数据来支撑业务和辅助决策,今天这些数据在创造着巨大的商业价值。
但是,诸如身份信息、银行帐户信息、位置信息、医疗信息等重要的隐私信息在使用的过程中存在严重的安全风险。
企业需要低成本、高效率,同时又要安全的、可控的使用隐私数据;需要减少敏感隐私数据被非法使用和获得的可能性,消除对敏感数据不必要的访问和复制;需要降低业务风险,在保留业务数据有效性的同时,隐藏敏感信息。
2.3 越发复杂的敏感数据使用场景在银行及金融机构等环境中,针对敏感信息及个人信息的安全保护,需要根据数据使用者的职能限制数据使用权限。
不过在公司或机构内部全面执行这一政策并非易事,尤其是在包括了外部用户以及外包和兼职雇员的环境下。
在大多数环境下,针对打包和内部开发应用程序以及开发和DBA 工具中的敏感信息限制访问权限的成本异常高昂,而且极为耗时。
许多数据库访问监控(DAM)解决方案能够审核用户访问记录,并在发生数据泄漏问题后帮助进行识别,但它们无法对敏感信息进行匿名化处理,以便防患于未然。
其他技术则要求进行大规模的应用程序变更,导致不可接受的性能问题,且无法为所有需要保护的多种个人信息提供保护。
2.4 数据安全相关政策与法律法规各国家和组织都制定了相关的法案法规,要求解决生产数据在非安全环境中使用的数据遮蔽脱敏问题,以对商业信息、企业信息和个人隐私信息进行有效保护。
美国相继出台了Sarbanes-Oxley法案、HIPAA法案、GLBA法案等,日本出台了个人信息保护法案,支付卡产业安全标准委员会制定了PCI数据安全标准、欧盟出台了《隐私和电子通信指令》,香港特区也出台了政府安全规定。
在这些法规中都对数据的安全,从管理和技术上都进行了有效约束。
而我国也相继出台了《中国银行业“十二五”信息科技发展规则监管指导意见》和《银监会信息科技风险现场检查指南》加强数据、文档的安全管理,逐步建立信息资产分类分级保护机制。
完善敏感信息存储和传输等高风险环节的控制措施,对数据、文档的访问应建立严格的审批机制。
对用于测试的生产数据应对相应数据进行脱敏、变形处理,严格防止敏感数据泄露。
三. 客户价值3.1 保护隐私数据,满足合规性通过安华金和数据库脱敏系统脱敏产品,可以有效防止企业内部对隐私数据的滥用,防止隐私数据在未经脱敏的情况下从企业流出。
满足企业既要保护隐私数据,同时又保持监管合规,满足企业合规性。
安华金和数据库脱敏系统提供了丰富的内置脱敏算法和灵活的、流程化的策略和方案管理能力,支持对多种数据源进行脱敏处理,帮助企业在不改变业务流程的前提下快速部署实施,有效的降低脱敏的复杂度和风险,控制脱敏成本。
3.2 保证业务可靠运行安华金和数据库脱敏系统脱敏产品提供了遵循“保证脱敏后数据可应用”规则的能力。
具体表现在产品在以下六个方面的支持:智能化,随着企业数据的增长和数据内容的不断丰富,敏感数据可能分散在成百上千张表和字段中,元数据的管理工作越发繁重;同时从业务系统抽取的敏感数据在格式和组织上存在很大随意性;因此脱敏产品应该具有很好的识别敏感数据的能力,能够不依赖元数据中对表和字段的定义,而是根据数据特征自动的识别敏感数据并进行有效脱敏。
例如身份证、地址、电话、邮件、银行卡号、车牌号、企业名称等。
可逆性,随着数据分析的流行和普及,第三方分析机构和内部经分团队需要将在脱敏后数据基础上分析的结果还原为业务数据,以形成真实的分析结果。
因此需要提供对脱敏后数据的可逆还原能力。
可重复和不可重复性,数据脱敏需要提供能够重复脱敏相同数据的能力,在不同轮次的脱敏中,保证相同的隐私数据脱敏后的数据也是相同的。
,从而保证数据在增量环境下能够被有效的关联。
另一方面,有些时候处于安全考虑,需要提供不可重复的脱敏能力,保证相同的数据在不同轮次的脱敏产生的数据是不同的,从而防止逆向工程还原数据。
数据有效性,为了保证业务测试系统和分析系统的正常运行,需要保证脱敏后的数据必须能够准确反应原始数据的业务属性和数据分布特征;对于原始数据中的姓名、地址、病症、企业名称等信息需要在脱敏后仍然具有可读性;脱敏后的数据满足业务系统的数据规则,能够正确的通过业务系统的数据有效性验证,如身份证号、银行卡号的校验码,生日数据的区间,有效的发卡行信息,年龄与出生日期的匹配等;数据完整性,脱敏后的数据需要保证是完整的,并且提供不改变原始数据尺寸,不包含无效信息的能力,防止敏感数据不符合目标数据的定义,造成无法顺利入库的情况。
数据关联性,脱敏后的数据应能满足业务系统的数据关系特征,严格保留原有的数据关系;例如身份证号在多个表中出现,需要保证这些数据经过脱敏后也是一样的。
另外,对于具有时间序列关系的数据,需要保证每个日期脱敏后仍然能够保持原有的时间序列。
通过对上述六个方面的支持,安华金和数据库脱敏系统有效保障了脱敏后的数据可以满足原始数据相同的业务规则,是能够代表了实际业务属性的虚构数据,能够使脱敏数据的使用者从体验上感觉数据是真实的,从而最终保证使用脱敏后的数据可以保证业务可靠运行。
3.3 实时动态保护生产系统数据安华金和数据库脱敏系统脱敏产品提供了具有高可靠性的动态掩码能力,采用代理部署方式,部署在业务应用系统、ETL、报表和开发、运维工具,和生产数据库之间;通过在数据库协议层的处理,实时的根据用户角色、和规则进行筛选,屏蔽敏感数据(脱敏)。
下图展示了典型的动态脱敏效果:左侧为业务经理,获得了授权可以访问真实数据;中间为兼职的系统管理雇员,仅能查看经过屏蔽的敏感数据,但不影响其完成系统管理任务;右侧为开发、测试或分析人员,需要以特定的格式来访问数据,而不依赖数据的真实性。
图1 实时动态数据脱敏效果通过部署该动态脱敏功能,能够帮助企业快速、低风险、平稳的提供生产数据库的实时隐私保护。
典型的应用场景体现在:1:保护生产环境对于电信、证券、保险、金融、能源大型复杂系统环境下,为了给客户提供高水平的服务,有时意味着开发人员、数据库管理员、设计人员、专业顾问和其他系统需要不受限制的访问生产数据,以便迅速解决重大问题和快速响应。
由此造成了对客户信息、银行帐户等隐私信息的违规访问途径。
动态数据脱敏可以有效解决这一风险,并且不会使企业丧失快速响应的能力。
2:降低外包风险对于大型企业系统,往往依赖大量的外包IT人员和企业来开展和维护业务,这些外包雇员能够通过应用程序,报表和开发、运维工具访问生产数据,这意味着隐私数据完全暴露在不可控的环境中;动态数据脱敏可以对不同用户和应用的访问进行实时的隐私数据屏蔽,帮助企业有效保护重要数据资产的访问。
3:保护通用帐户风险在很多企业中,经常使用类似“crm”、“billing”甚至强度更弱的通用密码,便于开发人员和DBA访问和监控生产数据库,便利的同时也为获取关键隐私数据开了方便之门。
通过动态数据掩码,一方面可以防止来自非生产环境的登录,并且可以根据规则向不同的登录用户和系统提供经过脱敏的数据。
3.4 敏感数据统一管理敏感数据自动发现。
安华金和数据库脱敏系统系统内置了大量的敏感数据发现算法,能够通过对数据的采样分析,自动发现系统中的敏感数据,包括姓名、证件号、银行账户、金额、日期、住址、电话号码、Email地址、车牌号、车架号、企业名称、工商注册号、组织机构代码、纳税人识别号等;同时提供了用户自定义敏感数据特征的扩充能力。