安华金和数据库脱敏系统(DBMasker)

保障医疗数据安全，提升医疗数据价值北京安华金和科技有限公司目录01数据流动，创造价值02医疗数据安全现状及形势03构建以患者为核心的数据安全防御体系04医疗数据安全治理实践数据流动，创造价值01数据只有流动才会产生价值，才能实现数据融合后更大的增值效益。

数据利用——医院信息化进入3.0时代•以实现业务系统的数字化为主要任务，解决业务系统本身的执行问题，然而系统之间的整合。

1.0时代（业务数字化）•通过数据集成，业务流程可以实现闭环管理，同时，用户也可以基于数据做度量分析和科学研究。

2.0时代（数据融合）•信息从产生到聚集，整合信息生命周期，实现数据挖掘和分析，数据在流动中产生价值。

3.0时代（数据价值）数据，正变得越来越重要。

因为无论哪种进化，都是以数据为基础。

以数据为核心的医疗信息化以患者为核心的临床数据中心建设。

临床大数据中心建立当下的智慧医疗体系推进智慧医疗体系建设人工智能的应用临床决策智能化、科研数据挖掘分析、智能化个体给药互联网数据接入区域医疗、医联体建设、社区胸痛中心建设、便民服务体系、数据互联互通医疗数据在流动中提升价值•保险风险控制欺诈防范•医疗服务质量评估•药品个性研发•药品临床应用•人口统计学分析•就诊行为分析•个人健康管理•慢病管理•治疗方案比较•临床决策支持•远程病人监控•医生培养•临床科研•疾病、疫情监管•新农合、社保基金分析•基本药物临床应用分析•医疗资源投放公共卫生医疗机构商业应用患者行为只有数据的开放与流动，让更多机构和企业进行利用，这样才能发挥数据的价值02医疗数据安全现状及形势老问题数据库自身安全性，新挑战大数据时代下新的系统架构对于数据安全的冲击。

医疗行业信息泄露事件频发2017年的医疗界有些不平静，近期因黑客攻击而引发的医疗信息安全事件就有：5月，黑客倒卖医院数据落网引发广州医药圈震荡；9月，某部委医疗服务信息系统遭“黑客”入侵，超过7亿条公民信息遭泄露，8000余万条公民信息被贩卖；10月，Petya网络攻击事件使香港宫颈癌疫苗断货；10月，伦敦一知名整形医院遭网络攻击，黑客称名单中有皇室成员；国家层面开始关注医疗数据安全2009年•2009年2月《刑法》修正案中，增加侵犯公民个人信息犯罪行为。

安华金和数据库漏洞扫描系统产品简介安华金和数据库漏洞扫描系统xSecure-DBScan一款帮助用户对当前的数据库系统进行自动化安全评估的专业软件，能有效暴露当前数据库系统的安全问题，提供对数据库的安全状况进行持续化监控，帮助用户保持数据库的安全健康状态。

一、xSecure-DBScan的核心价值发现外部黑客攻击漏洞，防止外部攻击：实现非授权的从外到内的检测；模拟黑客使用的漏洞发现技术，在没有授权的情况下，对目标数据库的安全性作深入的探测分析；收集外部人员可以利用的数据库漏洞的详细信息。

分析内部不安全配置，防止越权访问：通过只读账户，实现由内到外的检测；提供现有数据的漏洞透视图和数据库配置安全评估；避免内外部的非授权访问。

监控数据库安全状况，防止数据库安全状况恶化：对于数据库建立安全基线，对数据库进行定期扫描，对所有安全状况发生的变化进行报告和分析。

二、xSecure-DBScan的竞争力（1）最大的DBMS安全漏洞知识库xSecure-DBScan支持1311个安全漏洞库；国内普通安全厂商的漏洞检测数在300个左右；专业数据库漏洞工具的检测数600-700个。

（2）最全面的数据库安全检查范围xSecure-DBScan支持4163个安全检测点；覆盖DBMS漏洞、管理员维护漏洞、程序代码漏洞和高危敏感数据检测四个方面的数据库安全检查。

（3）先进的数据库安全检查技术xSecure-DBScan支持多种数据库自动化检查技术；先进的网络数据库发现技术，不仅提供数据库服务器发现技术，还提供数据库实例发现技术；实现多种DBMS的密码生成技术，提供1万多个口令爆破库，实现快速的弱口令检测方法。

（4）持续的数据库安全状况监控突破传统的漏扫产品仅作为数据库漏洞检查工具的限制，实现对数据库运维安全状况的监控，包括相关安全配置、连接状况、用户变更状况、权限变更状况、代码变更状况等全方面的安全状况评估；建立安全基线，实现安全变化状况报告与分析。

数据脱敏系统和数据脱敏方法一、数据脱敏系统介绍数据脱敏系统是一种用于保护敏感数据的安全工具，通过对敏感数据进行加密、替换或者删除等处理，以保护数据的隐私和安全性。

数据脱敏系统主要用于在数据共享、数据分析和数据备份等场景中，确保敏感数据不被未授权的人员或者系统访问。

二、数据脱敏系统的功能1. 数据脱敏数据脱敏系统能够对敏感数据进行脱敏处理，包括加密、替换和删除等方式。

加密可以使用对称加密算法或者非对称加密算法，确保数据在传输和存储过程中的安全性。

替换可以将敏感数据替换为伪造的数据，保护真实数据的隐私。

删除可以将敏感数据从系统中彻底删除，避免数据泄露的风险。

2. 数据保护数据脱敏系统能够对敏感数据进行访问控制，惟独经过授权的用户才干够访问脱敏后的数据。

系统可以设置角色和权限，限制不同用户对敏感数据的访问权限，确保数据的安全性。

3. 数据追踪数据脱敏系统能够对数据的使用进行追踪和监控，记录敏感数据的访问和操作情况。

系统可以生成日志和审计报告，匡助管理员监控数据的使用情况，及时发现异常操作和数据访问的风险。

4. 数据恢复数据脱敏系统提供数据恢复功能，可以在需要时将脱敏后的数据还原为原始数据。

恢复操作需要经过授权和审批，确保数据的安全性和合规性。

三、常用的数据脱敏方法1. 加密脱敏加密脱敏是将敏感数据使用加密算法进行加密，惟独授权的用户才干够解密并查看真实数据。

加密脱敏可以采用对称加密算法，如AES算法，也可以采用非对称加密算法，如RSA算法。

加密脱敏可以保证数据在传输和存储过程中的安全性，但解密操作需要授权和密钥管理，增加了系统的复杂性。

2. 替换脱敏替换脱敏是将敏感数据替换为伪造的数据，保护真实数据的隐私。

替换脱敏可以使用随机生成的数据或者规则生成的数据进行替换。

例如，将身份证号替换为随机生成的身份证号或者将手机号替换为规则生成的手机号。

替换脱敏可以保护数据的隐私，但可能会导致数据的完整性和可用性问题。

安华金和数据库安全评估系统（DSAS）©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属安华金和所有，受到有关产权及版权法保护。

任何个人、机构未经安华金和的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录安华金和数据库安全评估系统（DSAS） (1)目录 (2)一. 关于安华金和 (3)1.1发展历史 (3)1.2产品路标 (4)二. 数据库安全评估系统（DSAS） (5)2.1产品概述 (5)2.2客户价值 (5)2.2.1 满足合规安全检测 (5)2.2.2 发现数据库自身漏洞 (5)2.2.3 发现使用中安全隐患 (5)2.2.4 数据库安全状态监控 (6)2.3产品优势 (6)2.3.1 风险级别准确 (6)2.3.2 数据库安全检查范围全面 (6)2.3.3 数据库安全检查技术先进 (6)2.3.4 独特的数据库安全状况监控 (6)2.3.5 自身安全性高 (6)2.4适用场景 (7)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司（以下简称安华金和），2009年3月2日成立，长期专注于数据安全领域，是中国专业的数据安全产品及解决方案提供商。

安华金和由长期致力于数据处理和信息安全的专业人士共同创造，作为中国“数据安全治理”体系框架的提出者，安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案；同时，安华金和作为独立的第三方云数据安全服务商（CDSP），为国内外各大云平台用户提供专业的数据安全保障；安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。

安华金和总部位于北京，分设北京营销中心与天津研发中心，下设11大分支机构，业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。

在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例，并取得了良好的信誉口碑。

安华金和数据库监控与审计系统（DBAudit）一. 产品概述安华金和数据库监控与审计系统（简称DBAudit），是一款面向数据库运维和安全管理人员，提供安全、诊断与维护能力为一体的安全管理工具；DBAudit实现了数据库访问的全面精确审计，100%准确应用用户关联审计；DBAudit具备风险状况、运行状况、性能状况、语句分布的实时监控能力。

DBAudit通过数据库化的界面语言、智能化的协议识别、可视化的运行状况呈现、可交互可下钻的风险追踪能力，完美实现免实施、免培训、免维护的二代数据库审计产品。

二. 产品价值2.1 安全事件追查提供语句、会话、IP、数据库用户、业务用户、响应时间、影响行等多种维度的数据库操作记录和事后分析能力，成为安全事件后最为可靠的追查依据和来源。

通过SQL行为与业务用户的准确关联，使数据库访问行为有效定位到业务工作人员，可有效追责、定责。

2.2 数据库性能诊断实时显示数据库的运行状况、数据库访问流量、并发吞吐量、SQL语句的响应速度；提供最慢语句、访问量最大语句的分析，帮助运维人员进行性能诊断。

2.3 发现程序后门系统提供SQL学习和SQL白名单能力，实现对业务系统的SQL建模；通过合法系统行为的建模，使隐藏在软件系统中的后门程序在启动时，提供实时的告警能力，降低数据泄漏损失。

2.4 数据库攻击响应系统提供数据库风险告警能力，对于SQL注入、数据库漏洞攻击、过量数据下载、危险SQL语句（如No where delete)等风险行为的策略制定能力，提供实时告警能力。

提供短信、邮件、SNMP、Syslog等多种告警方式。

三. 产品优势3.1 全面审计（全）挑战：基于网络流量镜像的数据库审计产品，无法有效实现加密通道下的审计、无法实现对数据库主机上的操作行为的审计、在网络流量过载时容易丢包，从而导致审计信息缺失，给入侵者提供了绕开审计设备的途径。

优势：DBAudit在网络镜像技术基础上，通过可配置的主机探针技术实现了数据库主机的流量捕获，从而实现了对数据库访问流量的全捕获。

安华金和，用技术实力创造高价值安全产品凭借在数据库安全领域多年技术积累和对用户需求的充分满足，安华金和在“2016中国IT运维大会大型评选”活动中两款入围产品一举拿下两项获奖荣誉——数据库安全管控平台DBController荣获“2016中国IT运维最佳技术突破奖”；数据库脱敏系统DBMasker荣获“2016中国IT运维管理最佳产品奖”，向市场交付更具使用价值的产品是安华金和的自我驱动力，两个奖项代表了市场对安华金和的高度认可。

放下荣誉，聚焦产品，今天为大家介绍下数据库安全管控平台（DBController）和数据库脱敏系统（DBMasker）这两款明星产品。

一. 明星产品之数据库安全管控平台DBController名副其实的运维管控利器，运维主管安心睡好觉安华金和作为数据库安全领域唯一掌握大型数据库的内核技术和架构原理的厂商，能够提供全系列领先数据库安全产品解决方案，覆盖数据库的检查预警、主动防御、底线防守、事后追查等各个环节。

在主动防御环节，安华金和专门针对运维侧的管理研发出数据库安全管控平台——DBController。

网络安全防护手段往往忽略了对数据库运维侧的管控，运维人员拥有很大的数据库操作权限，数据库口令暴露、高危操作、用户身份不清等数据库运维安全隐患越发清晰可见。

这种状况显然是企业构建全面数据库安全防护体系所应包含的一个重要方面。

安华金和挖掘运维安全的棘手之处，以治标治本的思路研发出的数据库运维管控平台专门针对安全运维需求制定运维行为规范制度，从身份识别、访问审批、流程管理三个层面对不合规操作加以阻挡，运用策略展示和访问审计技术，建立了包含操作申请、操作审批流程的审批流程管理制度。

数据库安全管控平台产品架构数据库安全管控平台工作步骤1、无权限操作被拒。

运维人员使用任意客户端建立连接，无操作码或执行未申请的操作，会直接被拒绝。

2、运维人员提交操作申请。

操作申请需要包含操作的具体内容、操作行为发生的起始时间和截止时间，操作的目标数据库以及具体操作对象。

安华金和数据库加密系统(DES)©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属安华金和所有，受到有关产权及版权法保护。

任何个人、机构未经安华金和的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录安华金和数据库加密系统(DES) (1)目录 (2)一. 关于安华金和 (3)1.1发展历史 (3)1.2产品路标 (4)二. 数据库加密系统(DES) (5)2.1产品概述 (5)2.2客户价值 (5)2.2.1 防止由于明文存储引起的泄密 (5)2.2.2 防止外部非法入侵窃取敏感数据 (5)2.2.3 防止内部高权限用户数据窃取 (6)2.2.4 防止合法用户违规访问数据 (6)2.3产品优势 (6)2.3.1 透明数据加密 (6)2.3.2 高效数据检索 (7)2.3.3 增强访问控制 (7)2.3.4 应用身份安全 (7)2.3.5 高可用易维护 (7)2.4适用场景 (8)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司（以下简称安华金和），2009年3月2日成立，长期专注于数据安全领域，是中国专业的数据安全产品及解决方案提供商。

安华金和由长期致力于数据处理和信息安全的专业人士共同创造，作为中国“数据安全治理”体系框架的提出者，安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案；同时，安华金和作为独立的第三方云数据安全服务商（CDSP），为国内外各大云平台用户提供专业的数据安全保障；安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。

安华金和总部位于北京，分设北京营销中心与天津研发中心，下设11大分支机构，业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。

在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例，并取得了良好的信誉口碑。

安华金和数据库防火墙系统（DBFirewall）一. 产品概述安华金和数据库防火墙系统（简称DBFirewall），是一款基于数据库协议分析与控制技术的数据库安全防护系统。

DBFirewall基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。

二. 产品价值2.1 防止外部黑客攻击威胁：黑客利用Web应用漏洞，进行SQL注入；或以Web应用服务器为跳板，利用数据库自身漏洞攻击和侵入。

防护：通过虚拟补丁技术捕获和阻断漏洞攻击行为，通过SQL注入特征库捕获和阻断SQL 注入行为。

2.2 防止内部高危操作威胁：系统维护人员、外包人员、开发人员等，拥有直接访问数据库的权限，有意无意的高危操作对数据造成破坏。

防护：通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate 等高危操作避免大规模损失。

2.3 防止敏感数据泄漏威胁：黑客、开发人员可以通过应用批量下载敏感数据，内部维护人员远程或本地批量导出敏感数据。

防护：限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。

2.4 审计追踪非法行为威胁：业务人员在利益诱惑下，通过业务系统提供的功能完成对敏感信息的访问，进行信息的售卖和数据篡改。

防护：提供对所有数据访问行为的记录，对风险行为进行Syslog、邮件、短信等方式的告警，提供事后追踪分析工具。

三. 产品优势3.1 全面的入侵防御技术提供业界最为全面的数据库攻击行为检测和阻断技术：虚拟补丁技术：针对CVE公布的漏洞库，提供漏洞特征检测技术。

高危访问控制技术：提供对数据库用户的登录、操作行为，提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为。

SQL注入禁止技术：提供SQL注入特征库。

返回行超标禁止技术：提供对敏感表的返回行数控制。

SQL黑名单技术：提供对非法SQL的语法抽象描述。

3.2 应用“零”误报技术对于IPS类产品最重要的是在保持“低漏报率”的同时维护“低误报率”；对于数据库而言这点更为关键，一点点“误报”可能就会造成重大业务影响。

安华金和医疗行业解决方案--区域医疗数据保密构筑区域医疗数据保密基石一、区域医疗信息化巨增医疗数据安全威胁医疗行业经过十几年的信息化发展，积累了大量的数字信息；这些信息不仅记录着大量的医疗案例、财务数据、采购数据，同时也记录着大量的患者隐私信息和处方信息，是医院最重要的财富之一。

这些信息对医院和就诊患者意义都十分重大。

随着区域医疗系统的建设，数据共享的同时使得医疗数据更为集中，同时也使得医疗数据安全的威胁更加显现。

目前的医疗信息安全威胁主要有两方面：1) 患者信息保密：随着电子病历的实施，使患者的就诊信息更为集中地储存在一起，也使这些信息的采集和获取更为容易。

近年，医院患者信息“泄密门”事件一次次发生。

如何保证医院的数字财富不会丢失，如何保证患者的隐私不会泄露，成为当前医疗信息化不可避免的关键问题。

2) 商业目的的统方：“统方”是建立医药回扣黑链的重要一环，是国家和媒体关注的重要社会问题焦点。

目前，使用HIS系统的医务人员和数据库管理人员成为医药代表重点攻克的对象。

业内频繁发生“统方”信息泄密事件，甚至网上出现公开叫卖和交换“统方”信息的行为。

据美国隐私权交换所（Privacy Rights Clearinghouse）统计，在医疗信息化发达的美国，09年12起重大的泄密事件中有3起与医疗行业相关；其中最大的一起，涉及53万人，索要金额高达1000万美金。

2003年来，计算机文件泄密、硬件资产丢失在各地医疗行业中频繁发生，如：2008年4月25日，香港屯门儿童体重智力测验中心及联合医院发生两宗遗失病人资料事件，涉及病人700人，造成重大损失及严重后果。

2008年5月5日，香港医管局行政总裁苏利民公布，过去一年有5家医院共发生9宗遗失病人资料事件，涉及6000名病人。

2008年8月深圳全市的孕产妇信息库发生泄露，并且为每月“滚动更新”泄露，累计每年泄露的孕产妇个人信息达10万余例。

2005-2008年海宁某医院信息科信息管理员王力，通过医生用药数据库中的药品及医疗设备的采购资料、医生用药量等信息资料，向药品经销商沈某、方某等人出售“统方”信息，共获得14万元。

安华金和数据库安全审计系统(DAS)©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属安华金和所有，受到有关产权及版权法保护。

任何个人、机构未经安华金和的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录安华金和数据库安全审计系统(DAS) (1)目录 (2)一. 关于安华金和 (3)1.1发展历史 (3)1.2产品路标 (4)二. 数据库安全审计系统(DAS) (5)2.1产品概述 (5)2.2客户价值 (5)2.2.1 满足合规需求 (5)2.2.2 面临安全挑战 (5)2.3产品优势 (6)2.3.1 全面审计记录 (6)2.3.2 数据库行为建模 (6)2.3.3 对象统计 (7)2.3.4 应用关联审计 (7)2.4适用场景 (7)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司（以下简称安华金和），2009年3月2日成立，长期专注于数据安全领域，是中国专业的数据安全产品及解决方案提供商。

安华金和由长期致力于数据处理和信息安全的专业人士共同创造，作为中国“数据安全治理”体系框架的提出者，安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案；同时，安华金和作为独立的第三方云数据安全服务商（CDSP），为国内外各大云平台用户提供专业的数据安全保障；安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。

安华金和总部位于北京，分设北京营销中心与天津研发中心，下设11大分支机构，业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。

在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例，并取得了良好的信誉口碑。

安华金和以“让数据使用更安全”为最高使命，立志成为世界级数据安全厂商。

围绕该愿景，安华金和主营业务方向分为三大部分：1、围绕数据库的安全，安华金和推出全线数据库安全产品及解决方案；2、以整体数据库安全产线为技术支撑，安华金和推出数据安全治理解决方案，面向重点行业推广与实践；3、基于公有云和私有云环境特征，安华金和推出公有云数据安全服务和私有云数据安全解决方案。

安华金和数据脱敏系统(DMS)©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属安华金和所有，受到有关产权及版权法保护。

任何个人、机构未经安华金和的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录安华金和数据脱敏系统(DMS) (1)目录 (2)一. 关于安华金和 (3)1.1发展历史 (3)1.2产品路标 (4)二. 数据脱敏系统(DMS) (5)2.1产品概述 (5)2.2客户价值 (5)2.2.1 实现隐私数据管理的政策合规 (5)2.2.2 防止生产库中敏感数据泄露 (5)2.2.3 提高数据维护和共享安全性 (5)2.3产品优势 (6)2.3.1 静态脱敏技术实用全面 (6)2.3.2 动态脱敏技术实时保护 (7)2.4适用场景 (7)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司（以下简称安华金和），2009年3月2日成立，长期专注于数据安全领域，是中国专业的数据安全产品及解决方案提供商。

安华金和由长期致力于数据处理和信息安全的专业人士共同创造，作为中国“数据安全治理”体系框架的提出者，安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案；同时，安华金和作为独立的第三方云数据安全服务商（CDSP），为国内外各大云平台用户提供专业的数据安全保障；安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。

安华金和总部位于北京，分设北京营销中心与天津研发中心，下设11大分支机构，业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。

在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例，并取得了良好的信誉口碑。

安华金和以“让数据使用更安全”为最高使命，立志成为世界级数据安全厂商。

围绕该愿景，安华金和主营业务方向分为三大部分：1、围绕数据库的安全，安华金和推出全线数据库安全产品及解决方案；2、以整体数据库安全产线为技术支撑，安华金和推出数据安全治理解决方案，面向重点行业推广与实践；3、基于公有云和私有云环境特征，安华金和推出公有云数据安全服务和私有云数据安全解决方案。

安华金和数据库安全等保行业解决方案一. 方案概述在等级保护中，数据库安全建设的总体目标，一是要保证核心数据库自身的安全性，确保数据库不会受到攻击造成业务系统的瘫痪；二是要求保证数据的保密性和完整性，对核心数据库中的敏感数据进行有效的安全防护，确保关键数据不泄密，不被违规篡改；三是在数据库使用过程中及时发现安全问题，防患于未然，按修复建议进行安全加固。

信息系统的核心数据存在数据库中的，数据库作为核心数据资产载体，一旦发生无意识危险操作、信息泄露、恶意篡改，都将造成最为惨痛的损失。

据Verizon 2012数据泄露调查报告，数据库服务器占泄露记录总数的96%，成为头号可能的泄露数据源。

随着当前业务系统及数据库的部署规模、访问人员和密集度的不断增加，来自于外部攻击者、第三方运维和开发人员、内部维护人员的威胁访问，给企业数据安全带来了严峻的挑战。

安华金和等保数据库安全解决方案对应等保安全要求的数据库防护思路如下表：1.1 安全威胁分析◆外部威胁目前已知的来自外部黑客常见的攻击手段和漏洞包括：SQL注入、缓冲区溢出、拒绝服务、提权等，也有利用未及时安装补丁、缺省安装漏洞、程序后门和危险代码破坏权限体系，导致数据库服务终止和敏感数据泄密；◆内部运维人员和DBA明文存储的安全威胁，使得数据文件、备份文件被拷贝后，可以轻易恢复。

DBA等高权限用户可以随时任意地访问门能干数据；弱口令的存在，使得容易被人暴力破解或尝试成功，访问敏感数据导致泄密和篡改；◆第三方运维和开发人员知道数据库管理员账号，主要威胁在于假冒正常应用账户、合法DB用户绕过应用程序使用命令行工具访问数据库、通过数据库客户端批量导出敏感信息导致泄密。

◆管理内部人员、第三方维护人员的误操作、维护操作、越权操作和恶意操作，多人共用一个账号，责任难以分清，超级管理员操作难以监管和审计。

1.2 等级保护对数据库安全的要求在等级保护《基本要求》中的位置数据库安全是主机安全的一个部分，数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。

安华金和数据库脱敏系统（DBMasker）一. 产品概述安华金和数据库脱敏系统（简称DBMasker）是一款面向生产数据进行数据抽取、数据漂白和动态掩码的专业数据脱敏产品。

DBMasker可以满足测试、开发、培训和数据共享场景的敏感数据保护需求。

DBMasker符合金融、运营商、能源、政府等行业敏感数据防护的政策合规性需求。

二. 产品价值2.1 防止生产库中敏感数据泄露DBMasker通过对生产库中的身份、地址、银行卡号、电话号码等敏感数据进行混淆、扰乱后再提供给第三方使用，防止生产库中的敏感数据泄露；DBMasker通过对生产或漂白后的数据进行局部数据抽取，实现非生产环境下数据集合最小化。

2.2 提升测试、开发和培训数据质量DBMasker通过内置策略和算法，保证脱敏数据有效性（保持原有数据类型和业务格式）、完整性（保证长度不变、数据内涵不丢失）、关系性（保持表间、表内数据关联关系），以提升在测试、开发和培训环节的真实有效性。

2.3 提高数据维护和数据共享安全性DBMasker通过对生产数据库访问者用户名、IP、工具类型、时间等多个身份维度，控制对生产数据访问结果的差异化；返回结果可以为真实数据或掩码数据，或进行阻断、返回行数限定。

通过对访问者的不同策略，满足细粒度的生产数据访问需求。

比如：DBA可维护，但看不到敏感数据；业务系统访问真实数据，BI系统看到扰乱后用户身份信息。

2.4 实现隐私数据管理的政策合规性通过DBMasker脱敏产品，可以帮助组织满足国际标准、行业监管政策中，对测试和开发环节的敏感数据保护需求。

三. 产品优势3.1 漂白只是开始，完备脱敏解决方案DBMasker具备全面的数据漂白能力，同时DBMasker具备以下能力：1）数据间关系保持：实现表间关系、同表列间关系、数据分布关系保持；2）数据子集抽取：实现基于百分比、时间或其它条件的数据抽取；3）实时动态数据脱敏：不需要数据转换存储，实时数据掩码或访问控制。

安华金和数据库安全防护系统(DPS)©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属安华金和所有，受到有关产权及版权法保护。

任何个人、机构未经安华金和的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录安华金和数据库安全防护系统(DPS) (1)目录 (2)一. 关于安华金和 (3)1.1发展历史 (3)1.2产品路标 (4)二. 数据库安全防护系统(DPS) (5)2.1产品概述 (5)2.2客户价值 (5)2.2.1 防止外部黑客攻击 (5)2.2.2 防止内部高危操作 (5)2.2.3 防止敏感数据泄露 (6)2.2.4 防止应用违规操作 (6)2.2.5 防止频次攻击 (6)2.3产品优势 (6)2.3.1 全面入侵检测 (6)2.3.2 高度应用兼容 (7)2.3.3 业务保持能力 (7)2.3.4 敏感数据防护 (7)2.3.5 应用关联防护能力 (7)2.3.6 学习期行为建模 (8)2.4适用场景 (8)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司（以下简称安华金和），2009年3月2日成立，长期专注于数据安全领域，是中国专业的数据安全产品及解决方案提供商。

安华金和由长期致力于数据处理和信息安全的专业人士共同创造，作为中国“数据安全治理”体系框架的提出者，安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案；同时，安华金和作为独立的第三方云数据安全服务商（CDSP），为国内外各大云平台用户提供专业的数据安全保障；安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。

安华金和总部位于北京，分设北京营销中心与天津研发中心，下设11大分支机构，业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。

在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例，并取得了良好的信誉口碑。

安华金和数据库保险箱系统(DBCoffer)一. 产品概述安华金和数据库保险箱(简称DBCoffer) 是一款基于透明加密技术的数据库防泄漏产品，该产品能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、安全审计以及三权分立功能。

DBCoffer能够防止明文存储引起的数据泄密、防止突破边界防护的外部黑客攻击、防止内部高权限用户的数据窃取，从根源上防止敏感数据泄漏。

DBCoffer通过独创的、专利的三层透明视图技术、密文索引技术和应用绑定技术，突破传统数据库安全加固产品的技术瓶颈，真正实现数据高度安全、应用完全透明、密文高效访问。

二. 产品价值2.1 全方位主动预防数据泄密预防外部黑客窃取数据威胁：数据库权限提升是当前数据库漏洞中黑客使用率最高的攻击手段，通过该手段黑客直接获得DBA身份，任意访问敏感数据。

防护：DBCoffer的密文访问控制体系，可以保证即使数据库自身的权限被突破，非授权用户仍然无法访问密文数据。

防止开发人员绕过合法应用威胁：业务系统的数据库账户常被开发或运维人员掌握，通过该账户这些人员可以直接访问数据库。

防护：DBCoffer的应用身份鉴别，确保第三方人员无法绕开合法的业务系统，直接访问敏感数据。

预防存储层明文泄密威胁：硬件设备、备份磁盘丢失，数据文件、备份文件的拷贝，都将引起机密数据泄漏。

防护：通过DBCoffer，将关键信息进行加密，加密后的数据在存储层以密文形态存在，保证他人即使拿到数据文件，也“看不懂”。

防止数据库运维人员操作敏感数据威胁：数据库的运维人员，往往有最高范围权限，一般为DBA，可看到数据库中的所有敏感信息，不符合安全管理要求。

防护：DBCoffer通过独立的二次权限控制、三权分立，保证即使是高权限运维用户，在得不到特殊授权时也无法访问敏感数据，同时不会影响其日常运维工作。

2.2 符合信息安全政策需求等级保护：要求三级以上系统应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。

安华金和数据库漏洞扫描系统(DBScan)一. 产品概述安华金和数据库漏洞扫描系统(简称DBScan)是一款帮助用户对当前的数据库系统进行自动化安全评估的专业软件，能有效暴露当前数据库系统的安全问题，对数据库的安全状况进行持续化监控，帮助用户保持数据库的安全健康状态。

DBScan是国内首款：支持七种国际主流数据库和四种国产数据库漏洞扫描产品检测项达到4300个以上的数据库安全检测产品等保专用数据库风险等级评估检测工具二. 产品价值2.1 提升数据库使用安全系数主流数据库的自身漏洞逐步暴露，数量庞大；仅CVE公布的Oracle漏洞数已达1100多个；DBScan可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。

对检测出的漏洞，提供漏洞产生的原因分析，有针对性地给出修复建议，以及修复漏洞所需的命令、脚本、执行步骤等。

2.2 降低数据库黑客攻击风险据了解，1/2以上的生产业务数据库中都存在默认用户名/默认口令；若干黑客典型攻击手段，仅使用了最常规的数据库安全漏洞。

这些攻击都可通过基本的安全配置增强完成防护。

DBScan可以检测出在数据库使用过程中，由于人为疏忽造成的诸多安全隐患：低安全配置、弱口令、高危程序代码、权限宽泛等。

2.3 满足行业安全检测规范支持能源、运营商等行业性数据库安全检测规范，可用于检测单位的行业检测、以及用户单位的自检。

等保工具箱集成产品，提供等级保护专业检测报告，实现数据库安全合规。

三. 产品优势3.1 丰富的漏洞库支持1300个以上安全漏洞库；国内普通安全厂商的漏洞检测数在300个左右；专业数据库漏洞工具的检测数600-700个。

3.2 全面检测能力DBScan提供最为全面的检测库，仅Oracle就达到3019个检测项。

不仅支持常规产品具备的DBMS漏洞、缺省配置、弱口令、补丁包等漏洞；还支持敏感数据发现、程序代码漏洞、宽泛权限检测。

3.3 等级保护专用检测工具针对我国等级保护1、2、3、4级对数据库的安全检测要求，建立数据库等级保护检测工具集，实现等级保护检测扫描，生成等级保护检测报告。

数据脱敏数据脱敏是防止客户真实数据被泄露，通过数据脱敏系统将真实数据漂白例如：用相似的字符替代一些字段;用屏蔽字符(例如，‘x’)替代真实字符;用虚拟的姓氏替代真正的姓氏，以及在数据库数列中对数据进行仿真重组数据脱敏系统通过脱敏规则进行数据变形，实现敏感隐私数据的可靠保护。

在涉及客户安全数据或者一些商业性敏感数据的和在不违反系统规则条件下，对真实数据进行改造并提供测试使用，如身份证号、手机号、卡号、客户号等个人信息。

为了满足在信息系统开发、测试和维护,以及服务外包过程中加强对客户信息的保护,防止敏感信息的泄漏要求，需对开发环境和测试环境中的数据建立统一的管理规范，对于必须使用生产数据的系统开发、测试、维护等项目，生产数据必须经过脱密，才能被加载到开发、测试或维护环境。

在非生产环境中使用生产数据，就必须保证数据中涉及客户和生产的敏感信息不外泄。

例如：客户姓名、电话、住址、身份证号码等个人敏感信息；还有员工类和企业类的敏感信息等。

，采用数据脱敏技术，可以帮助企业提高安全性和保密等级，以防止其数据被滥用。

与此同时，数据脱敏技术也可帮助企业满足安全性的规范要求，以及由管理/审计机关所要求的隐私标准。

效果：1.数据仿真度2.数据关联关系3.业务规则关系4.可定制数据仿真度是指漂白过的数据看起来要像真实数据，并且具有真实数据的合法性。

例如：姓名漂白过之后，看起来还应该是一个姓名；如果变成一串无意义的字符串，会让使用者很不习惯。

数据关联关系指的是数据库内的数据关联关系，这种关联关系通常是可见的，能够从数据库中找到。

例如：主外键的关联关系。

在漂白的时候，须保证数据关联的完整性、一致性。

业务规则关系是指数据在数据库之外的业务约束关系，即业务上对数据的约束关系，这种约束关系由业务系统的设计方提供，数据库中不会有所体现。

例如：业务规则要求某个字段有一个检验字段，校验字段是通过一个算法计算出的值。

测试中心提交数据需求；2）将数据从生产环境的带库恢复到磁盘上，同时将数据文件加载到数据库中进行数据抽取；3）根据测试中心数据需求进行数据漂白；4）待数据漂白完成后将数据库导出成数据文件并将数据文件加密后发送给测试中心；5）测试中心将得到的数据文件进行装载。