安华金和数据水印系统(DWS)

■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属安华金和所有，受到有关产权及版权法保护。

任何个人、机构未经安华金和的书面授权许可，不得以任何方式复制或引用本文的任何片断。

保险行业数据库安全解决方案■文档编号■密级■版本编号v1.0■日期2019.1©2019安华金和目录保险行业数据库安全 (1)解决方案 (1)一.背景概述 (4)二.保险业务与威胁分析 (6)2.1系统分析 (6)2.1.1外网业务系统 (6)2.1.2内网业务系统 (6)2.2人员分析 (6)2.3安全威胁分析 (7)2.3.1数据库系统具有脆弱性 (7)2.3.2敏感信息存在泄密威胁 (8)2.3.3外部SQL注入攻击威胁 (8)2.3.4违规操作非法篡改风险 (8)2.3.5安全职责无法准确界定 (8)2.3.6管理流程缺乏有效手段 (9)2.3.7出现安全事件取证困难 (9)三.数据库安全防护方案 (9)3.1主动防御 (9)3.1.1细粒度访问控制 (9)3.1.2网络可信接入 (10)3.1.3应用身份识别 (10)3.1.4抵御SQL注入 (10)3.1.5阻断漏洞攻击 (11)3.1.6行为有效监控，违规无法抵赖 (11)3.2底线防守 (11)3.2.1防止明文存储引起的数据泄密 (11)3.2.2防止高权限用户进行数据泄密 (11)3.2.3防止利用合法用户的身份，进行违规数据访问 (12)四.方案优势 (12)4.1周期防护构建纵深 (12)4.2主动防御减少威胁 (12)4.3权限控制解决拖库 (13)4.4透明部署零改应用 (13)4.5政策合规满足标准 (13)一.背景概述2016年12月，保监会《网络与安全通报》第五期对保险行业相关单位存在的问题进行了通报：某外资寿险公司核心业务系统和保单系统存在漏洞，涉及大量车险用户详细数据和证件照信息泄露；某寿险公司存在高危漏洞，上千万交易记录和数百万用户信息，保单记录和支付信息存在泄露的风险；某互联网保险公司网站存在源码泄露，可直接访问数据库，大量敏感信息泄露的风险；某小型寿险公司系统存在命令执行漏洞，可能泄露数百万客户信息等。

安华金和数据库安全电子政务外网解决方案4安华金和数据库安电子政务外网解决方案中国软件测评中心(中国国家工业和信息化部下属单位)2014年12月3日发布《2014年中国政府网站绩效评估总报告》显示，今年评估的900余家政府网站当中，超过93%的网站存在着本级的安全漏洞，其中97%的区县网站被监测到有安全隐患，接受评估的网站包括部委网站、省级政府网站、副省级政府网站、地市政府网站及区县政府网站。

这个也给政府的形象带来了很不利的影响，甚至给政府工作的正常运行带来了严重的威胁。

由于人们对互联网的依赖性日益增强，互联网数据资产所蕴含的经济价值更加巨大。

以CSDN 600万用户信息泄露开始，中国互联网接连爆发的信息泄露为“互联网之殇”再添一笔。

近年来，因为互联网技术漏洞导致用户信息泄露的事件时有发生，2014年5月小米论坛疑似被“拖库”，该漏洞影响约有800万左右小米论坛用户，2014年3月，携程网也曾连续爆发安全漏洞，导致部分携程用户的银行卡信息被泄露并被利用，未来针对隐私信息的破解和攻击会愈演愈烈。

如何确保信息安全，加强信息保障工作，将是政务外网建设关注的重中之重。

一、政务外网敏感数据泄漏问题分析真正有效的解决网络信息的安全问题，首先就需要分析批量个人隐私信息数据泄密、篡改途径，包括来自于外部攻击者，第三方运维人员、开发人员等内部人员的各种可能性。

从系统安全体系的角度来分析，然后找出可行的技术手段，才能真正从全方位保证网络信息安全。

核心数据安全是针对核心敏感数据的保护，处于整个安全体系的核心位置！经过对诸多网络信息安全事件的分析，发现信息泄密及篡改的最大威胁来自于外部黑客、内部运维人员及数据库管理员DBA、以及第三方服务外包人员。

外部：黑客攻击者黑客攻击者一般有两种手段进行数据的窃取：一是入侵到网络后，能够直接访问数据库服务器，进行刷库直接拷贝数据文件，利用主流数据库明文存储的缺陷，直接进行异地的数据还原，即可获得所有数据。

安华金和数据库安全银行行业解决方案4 安华金和数据库安全银行行业解决方案一. 客户需求与挑战某商行信息化高速发展的时代背景下，各银行积累的客户数据、交易记录、管理数据等呈爆炸性增长，海量数据席卷而来，海量的业务数据不但成为金融业的命脉，也成为不法分子窥探的目标，因此也意味着面临了海量的风险。

目前国家和商行内部对数据的安全管控提出了以下要求：1) 随着客户的增加，数据库信息价值不断提升，使得数据库面对来自内部和外部的安全风险大大增加；2) 内部违规越权操作、外部恶意入侵等行为，事后却无法有效追溯和审计；3) 业务访问数据库过程过慢，SQL访问性能无法了解并改善；4) 国家等级保护相关标准中要求等保二级以上信息系统中的网络层面、主机层面和应用层面均要求进行安全审计、安全控制，同时也明确要求了审计和控制的范围、内容等，粒度要求到用户级、数据表、字段级。

5) 银监会19号文中也明确提出“控制所有生产系统的活动日志，以支持有效的审计、安全论证分析和预防欺诈”。

6) 国外信息安全方面的标准或最佳实践（如ISO13335、ISO27001、SP800）等也要求对用户行为、系统、数据操作行为进行控制和审计。

特别是2014年9月银监会39号文，《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》（简称意见），特别在操作系统、数据库等领域要加大探索和尝试力度；从2015年起，各银行业金融机构对安全可控信息技术的应用以不低于15％的比例逐年增加，直至2019年达到不低于75％的总体占比该指导意见的发布是我国进一步重视银行业数据安全的表现。

二. 解决方案概述及要点描述某商行核心数据库在全行范围内是负责银行数据存储和处理核心设施，经过评估一旦核心数据机密性、完整性、可用性遭受损失，将会给社会秩序甚至国家安全造成严重损害。

银行因此委托了专业的数据库安全厂商，提出了以下4点安全目标：1）向合法用户提供可靠信息服务；2）拒绝非法用户对数据库的访问；3）拒绝对数据库执行高危操作4）跟踪数据库使用记录，为合规性、安全责任审查提供证据。

ESA2000电子印章系统产物白皮书北京安证通信息技术目录一、ESA2000电子签章系统概述 (3)二、ESA 2000电子印章办理系统 (4)三、ESA2000电子签名认证系统 (6)四、客户端电子签章系列软件 (7)五、ESA2000信息加密中间件 (10)六、ESA2000安然登录身份认证系统 (11)七、ESA2000电子签章系统应用领域 (13)八、NetSign网络签章办理信息系统 (13)一、ESA2000电子签章系统概述1、ESA2000电子签章系统整体架构ESA 2000电子签章系列产物是以PKI公共密钥体系为技术根底的信息安然产物，主要为电子政务和电子商务系统提供全面的集成的身份认证、电子签名、电子签章以及电子印章办理中心解决方案。

ESA 2000电子签章系统总体架构由三大局部构成，即：电子印章制作办理系统、电子签章认证效劳系统和客户端电子签章系列软件。

ESA2000电子签章系统总体架构（1）电子印章制作办理系统：主要负责电子印章的申请、审批、制作、发放、挂掉和销毁等办理，是专门为电子印章的颁布和办理机构使用而开发的。

同时提供电子签章的签章日志审计，以便于了解何人何时在哪个文件上加盖过电子印章。

（2）电子签名认证效劳系统：在进行电子签章时，客户端软件首先会提交认证请求到电子签章认证效劳系统去进行认证，以确保电子签章的安然性和严密性，ESA2000电子签章系统中的所有客户端签章软件共享统一的认证效劳器，以包管系统布局的简便性和易维护性。

（3）客户端电子签章系列软件：实现对具体的文档或信息内容进行电子签章和验证工作，ESA2000电子签章系统包罗了一系列的客户端签章软件，按照产物形态可以分为三大类：文档电子签章软件〔撑持Word、Excel、Wps、RedOffice、永中Office、PDF和DWG图形文件格式等各类文档〕，网页签章控件和表单签章控件。

2、ESA2000 电子签章系统技术特点●合法性：严格遵循国家电子签名法关于电子签章的尺度，同时撑持RSA算法和国秘办SFF33算法，符合国家安然尺度，通过公安部信息安然产物检测并作为电子签章产物获得公安部信息安然产物发卖许可证。

安华金和数据库安全教育行业解决方案4 安华金和数据库安全教育行业解决方案一. 行业需求与挑战教育行业学院信息中心的招生咨询、学员管理、网络课件等数据都属于学院内部极其重要的数据，作为核心数据载体——数据库，一旦发生来自于应用用户越权操作、程序开发人员和数据库运维人员的数据泄露和篡改，都将造成巨大的损失。

近年，学院信息中心在信息化安全建设上投入明显，已经采购了网络防火墙、入侵防护系统和主机安全检测系统等网络安全产品，可以完善地防护突破边界造成的外部入侵。

然而这些只能防止外部黑客入侵，但对于存储核心“数据资产”的数据库却缺乏有效安全防护措施。

当前，在系统中至少存在以下重要数据库安全威胁，能够直接导致百利留学敏感信息等重要数据的泄密发生：（1）网络管理员等：解析数据库文件获取明文数据库是系统的核心，提高信息中心数据库安全是百利留学数据安全管理工作的重要部分。

由于数据库在操作系统下都是以文件形式进行管理的，当窃取数据库文件解析后即可得到明文的敏感数据。

对数据库中的敏感数据进行加密处理，是堵塞这一通向DBMS 的“隐秘通道”的有效手段。

（2）维护人员：权限过高批量导出敏感数据负责数据库的维护管理，直接掌握数据库高权限账户的维护人员既负责各项管理工作，例如资源分配、用户授权、系统审计等，又可以查询数据库中的一切信息；这些人员的帐户被他人利用，完全可以随时登陆数据库，从而导致敏感信息泄密。

（3）业务人员：“越权操作”敏感信息目前百利留学信息系统的教职工帐户，业务功能应因岗位而异，数据应因部门级别而异，操作权限应因层次而异，既要保证合法使用者的正常使用，又要防止越权获得信息、篡改信息的行为。

（4）程序开发人员等：利用数据库账户窃取数据程序开发和测试人员知道数据库账户信息，利用这些账户一方面可以在生产系统中加入后门程序，通过这些后门程序从数据库中窃取数据，另一方面测通过测试系统接触真实数据导致敏感信息泄密。

二. 方案概述2.1 解决方案概述及要点描述本方案从存储层、数据库访问层、应用访问层三个层面对数据库面临的安全威胁进行分析，以学院信息中心敏感数据的主动预防为目标，提出整体的数据库安全加固解决方案。

安华金和数据安全产品手册©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属安华金和所有，受到有关产权及版权法保护。

任何个人、机构未经安华金和的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录安华金和数据安全产品手册 (1)目录 (2)一. 关于安华金和 (4)1.1发展历史 (4)1.2产品路标 (5)二. 数据库安全产品系列 (6)2.1数据库安全评估系统（DSAS） (6)2.1.1 产品概述 (6)2.1.2 客户价值 (6)2.1.3 产品优势 (7)2.1.4 适用场景 (8)2.2数据资产梳理系统(DACS) (8)2.2.1 产品概述 (8)2.2.2 客户价值 (9)2.2.3 产品优势 (10)2.2.4 适用场景 (10)2.3数据库安全审计系统(DAS) (11)2.3.1 产品概述 (11)2.3.2 客户价值 (11)2.3.3 产品优势 (12)2.3.4 适用场景 (13)2.4数据库安全防护系统(DPS) (14)2.4.1 产品概述 (14)2.4.2 客户价值 (14)2.4.3 产品优势 (15)2.4.4 适用场景 (17)2.5数据库运维管理系统(DOMS) (17)2.5.1 产品概述 (17)2.5.2 客户价值 (18)2.5.3 产品优势 (19)2.5.4 适用场景 (19)2.6数据脱敏系统(DMS) (20)2.6.1 产品概述 (20)2.6.2 客户价值 (20)2.6.3 产品优势 (21)2.6.4 适用场景 (22)2.7数据库加密系统(DES) (23)2.7.1 产品概述 (23)2.7.2 客户价值 (24)2.7.3 产品优势 (25)2.7.4 适用场景 (26)2.8数据水印系统(DWS) (26)2.8.1 产品概述 (26)2.8.2 客户价值 (27)2.8.3 产品优势 (27)2.8.4 适用场景 (28)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司（以下简称安华金和），2009年3月2日成立，长期专注于数据安全领域，是中国专业的数据安全产品及解决方案提供商。

安华金和数据库安全审计系统(DAS)©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属安华金和所有，受到有关产权及版权法保护。

任何个人、机构未经安华金和的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录安华金和数据库安全审计系统(DAS) (1)目录 (2)一. 关于安华金和 (3)1.1发展历史 (3)1.2产品路标 (4)二. 数据库安全审计系统(DAS) (5)2.1产品概述 (5)2.2客户价值 (5)2.2.1 满足合规需求 (5)2.2.2 面临安全挑战 (5)2.3产品优势 (6)2.3.1 全面审计记录 (6)2.3.2 数据库行为建模 (6)2.3.3 对象统计 (7)2.3.4 应用关联审计 (7)2.4适用场景 (7)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司（以下简称安华金和），2009年3月2日成立，长期专注于数据安全领域，是中国专业的数据安全产品及解决方案提供商。

安华金和由长期致力于数据处理和信息安全的专业人士共同创造，作为中国“数据安全治理”体系框架的提出者，安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案；同时，安华金和作为独立的第三方云数据安全服务商（CDSP），为国内外各大云平台用户提供专业的数据安全保障；安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。

安华金和总部位于北京，分设北京营销中心与天津研发中心，下设11大分支机构，业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。

在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例，并取得了良好的信誉口碑。

安华金和以“让数据使用更安全”为最高使命，立志成为世界级数据安全厂商。

围绕该愿景，安华金和主营业务方向分为三大部分：1、围绕数据库的安全，安华金和推出全线数据库安全产品及解决方案；2、以整体数据库安全产线为技术支撑，安华金和推出数据安全治理解决方案，面向重点行业推广与实践；3、基于公有云和私有云环境特征，安华金和推出公有云数据安全服务和私有云数据安全解决方案。

安华金和数据库安全电子政务内网解决方案4安华金和数据库安电子政务内网解决方案一. 方案概述电子政府内网中的诸多数据均属机密数据，需要严格的保护，防止信息的泄漏和篡改，同时对数据的访问踪迹实现完全可追踪化。

由于历史的原因，信息中心的诸多核心系统主要使用的是Oracle和SQL Server为代表的国外数据库产品，同时由于数据库技术的复杂性，短期内难以替代。

斯诺登事件的发生，证明了我国的机密数据放在国外数据库中，若是不采用国产自主可控的数据库安全技术进行加固，数据库中的涉密信息将有很大的泄漏风险。

即使在实现了国产化数据库系统的涉密信息系统中，当前也存在数据库运维的三元分立、防止SQL注入、漏洞攻击和全部操作要审计等诸多数据库安全需求，因此，数据库安全加固方案具有普遍意义。

本方案对电子政务内网门户、内网办公和纵向内网业务三大类信息系统，后台的数据库系统面临的安全风险、核心安全需求进行认真分析，并提出了通过事前诊断、事中控制和事后审计实现全防护时机的数据库安全解决方案，以满足对国内外数据库的安全加固要求。

二.安全需求分析2.1业务驱动需求当前电子政务内网信息系统中的涉密数据在数据库集中存储，传统的信息安全解决方案主要是通过网络传输通道加密、PKI 或增强身份认证、防火墙、IPS、堡垒机等技术构成综合的信息安全应对策略，但这些方案在现实中变得弱不禁风，大量信息泄露事件频繁爆发。

（1）传统解决方案对应用访问和数据库访问协议没有任何控制能力，比如:SQL注入就是一个典型的数据库黑客攻击手段；（2）数据泄露常常发生在内部，大量的运维人员直接接触敏感数据，传统以防外为主的网络安全解决方案失去了用武之地；（3）由于数据库漏洞被攻击破坏将可能牵连多个部门的系统的数据库不能使用，导致被刷库后数据集中泄密；（4）缺乏数据库安全管控手段，需要实现精细控制，当前的技术手段下，信息中心无法控制和追踪数据库管理员对敏感数据的访问；（5）数据库的存储文件解析后为明文，主流的大型数据库数据文件的组织结构主动或被动公开化，只要得到这些数据文件，存储的数据其实就是透明的。

Micr ocomputer Applica tions V ol.27,No.2,2011研究与设计微型电脑应用2011年第27卷第2期文章编号：1007-757X(2011)02-0014-03基于RTX钞纸喷码识别实时系统的研究杨武，任德均，杨亮摘要：为了便于印钞行业进行质量跟踪管理，满足企业产品数字化，信息化要求，研发了一种钞纸在线喷码识别系统。

该系统以普通PC，商用运动控制卡和工业相机等为硬件平台，采用基于Windows的RTX模块进行实时扩展。

详细阐述了系统的随动跟踪、字符识别和数据管理等功能模块。

能实时跟踪补偿钞纸横向位置偏移，并对高速钞纸进行在线喷码与识别。

该系统已成功应用在国内某印钞厂，喷码质量能满足企业后续工艺要求。

关键词：RTX；实时；随动跟踪；喷码；字符识别中图分类号：TP-273文献标志码：A0引言人民币生产是一个十分复杂的过程，从造纸到钞票检封完毕，要经过几十道工序，为了便于钞纸管理，需要在每大张钞纸上喷一串字符编码，作为后续质量管理依据。

为了不影响原来生产线结构，同时简化生产工艺，提高效率。

提出了钞纸在线喷码识别方案，将喷码工序安排在钞纸烘干之后，卷筒之前。

但是由于现场机械部分振动以及钞纸热胀冷缩等不确定因素影响，高速运动的钞纸在这一阶段横向(垂直于运动方向)抖动比较明显。

如何对抖动进行实时跟踪补偿，保证每次所喷字符对应钞纸固定区域，将直接影响喷码的质量。

另外，纸张到达识别位置之后，需要实时触发相机采集图像。

要完成上述实时任务，传统方法采用专用硬件系统完成。

但是，专用硬件必须根据实际需要进行定制，通用性不强，且成本较高。

在实时性要求不高的场合，数据采集卡也得到广泛应用，但是，采集卡必须要有实时软件配合才能保证实时精度，并且需要编写底层硬件驱动程序，开发过程较为复杂[1]。

普通PC平台在系统柔性、通讯能力、系统集成和成本方面具有突出优势，但实时性仅能满足一般要求[2]，针对这些不足，Ardence公司推出了实时操作系统(RTX)作为Windows实时硬件抽象层的扩展，具有独立的内核结构，可以提供优秀的实时控制性能，具有较强的扩展性以及稳定性。

安华金和数据库保险箱系统(DBCoffer)一. 产品概述安华金和数据库保险箱(简称DBCoffer) 是一款基于透明加密技术的数据库防泄漏产品，该产品能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、安全审计以及三权分立功能。

DBCoffer能够防止明文存储引起的数据泄密、防止突破边界防护的外部黑客攻击、防止内部高权限用户的数据窃取，从根源上防止敏感数据泄漏。

DBCoffer通过独创的、专利的三层透明视图技术、密文索引技术和应用绑定技术，突破传统数据库安全加固产品的技术瓶颈，真正实现数据高度安全、应用完全透明、密文高效访问。

二. 产品价值2.1 全方位主动预防数据泄密预防外部黑客窃取数据威胁：数据库权限提升是当前数据库漏洞中黑客使用率最高的攻击手段，通过该手段黑客直接获得DBA身份，任意访问敏感数据。

防护：DBCoffer的密文访问控制体系，可以保证即使数据库自身的权限被突破，非授权用户仍然无法访问密文数据。

防止开发人员绕过合法应用威胁：业务系统的数据库账户常被开发或运维人员掌握，通过该账户这些人员可以直接访问数据库。

防护：DBCoffer的应用身份鉴别，确保第三方人员无法绕开合法的业务系统，直接访问敏感数据。

预防存储层明文泄密威胁：硬件设备、备份磁盘丢失，数据文件、备份文件的拷贝，都将引起机密数据泄漏。

防护：通过DBCoffer，将关键信息进行加密，加密后的数据在存储层以密文形态存在，保证他人即使拿到数据文件，也“看不懂”。

防止数据库运维人员操作敏感数据威胁：数据库的运维人员，往往有最高范围权限，一般为DBA，可看到数据库中的所有敏感信息，不符合安全管理要求。

防护：DBCoffer通过独立的二次权限控制、三权分立，保证即使是高权限运维用户，在得不到特殊授权时也无法访问敏感数据，同时不会影响其日常运维工作。

2.2 符合信息安全政策需求等级保护：要求三级以上系统应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。

安华金和数据库安全成功案例国家电网一. 项目背景当前，我国信息系统的基础性、全局性、全员性作用日益增强，信息安全作为信息化深入推进的重要保障，已成为国家安全战略的重要组成部分。

国内外信息安全形势日趋严峻，境内外敌对势力长期利用互联网络实施攻击、情报窃取等活动猖獗，手段隐蔽，技术不断出新，信息安全工作呈现长期性、艰巨性、复杂性的特点。

互联网的急速发展使得企业数据库信息的价值及可访问性得到了提升，数据库在国网公司各安全大区中都有大量业务系统应用，记录有大量的用户信息、用电信息、生产数据等关键数据或敏感信息，是最具有战略性的资产，数据库的安全稳定运行也直接决定着业务系统能否正常使用。

二. 系统概况电力市场交易系统由国网总部研发并统一分发至各网省，各网省中应用与数据库的逻辑架构保持一致。

该系统采用Weblogic提供web服务，同时搭建了集群保障web应用的高可用性。

应国网要求应用系统均已接入内部监控IMS系统，各网省的电力市场交易系统均采用统一认证平台ISC进行web登录认证，且认证过程用户名处于加密状态。

应用系统的详细描述如下表所示：表3：系统环境信息表1.1. 安全需求●电力市场交易外网系统面向互联网，等于间接将内网的数据库暴漏在互联网上，很容易遭受外部的恶意人员针对电力市场交易系统漏洞进行SQL注入攻击。

●电力市场交易系统的数据库遭受数据泄露、数据篡改时，无法及时的告警。

管理人员发现攻击事件存在滞后性。

●电力市场交易内网系统采用统一的安全认证平台，通过门户网站集中管理多个应用模块，当任意业务账户被窃取后将导致多个应用模块面临风险。

发生事件时需要快速定位业务账户和应用客户端IP地址，将损失控制到最小化。

三. 解决方案图2：系统逻辑拓扑图表4：部署描述表●在电力市场交易系统数据库服务器物理旁路部署DBAudit系统，交换机采用流量镜像的方式将访问数据库的通讯包复制给DBAudit一份，用于审计并分析所有针对电力市场交易系统数据库的SQL访问行为。