数据安全防护产品

安华金和数据库安全审计产品能够针对外部SQL注入、缓冲区溢出、权限提升、拒绝服务攻击、内部高危操作等危险行为实时监控告警。帮助用户及时采取安全手段，防范安全风险。

安华金和数据库安全审计产品对于应用系统访问数据库的行为实时监控，追溯访问来源可定位终端的应用用户信息。 从应用系统的业务行为追溯数据库风险，关联分析应用操作行为（URL）和数据库操作行为（SQL）。

安华金和数据库安全审计产品界面简单易用、操作方便。提供SQL语句翻译能力，帮助非技术人员快速了解数据库访问情况。免实施、免培训，可快速掌握上手的数据库审计产品。

安华金和数据库安全审计产品全方位满足等、分保检查中的审计项要求，自动生成符合检查要求的审计报表。提供6个月以上的审计记录保存，确保行业检查中数据库审计项目不扣分。

安华金和数据库安全审计产品实现数据库访问流量全捕获，基于语义语法的精准SQL语句解析能力，具备100%应用关联技术，准确审计访问来源。实现100%无漏审，零误报。

安华金和数据库安全审计产品支持国际主流数据库：Oracle、SQL Server、MySQL、MariaDB、DB2、PostgreSQL、Sybase、Informix、CacheDB、GP、SAP HANA、Teradata等；支持国产数据库：SgrDB、DM、GBase、KingBase、Oscar等；非关系型数据库：支持MongoDB、Redis等数据库；支持Hive、HBase、Impala、Sentry、HDFS、ES等大数据组件。

基于数据库协议解析和专业的SQL语法、词法分析，具备全面的数据库访问审计能力，并且采集的流量全面，记录的日志信息全。

包括国际主流数据库，国内主流数据库，以及Hadoop大数据和非关系型数据库，产品支持中标麒麟、银河麒麟等国产操作系统。

通过以对象为维度的统计、分析，实现对数据库的敏感对象的操作统计、深度追踪，从而达到对敏感数据的实时监控。

中间件(支持应用关联审计): Tomcat、WebLogic、WebSphere、apache、东方通、Jboss等。获取应用会话中的应用用户信息、URL信息，当安全事件发生时，可根据告警信息，快速定位到网络中的用户端设备，进而分析出相关责任人。

作为数据库入侵防御产品，接入在应用服务器和数据库服务器之间，可防止外部黑客入侵

基于字段级“与/或”关联设置，建立敏感数据组，限定敏感数据的访问时间、地址和账户信息，并针对高危操作执行业务阻断和语句拦截。

通过限制系统表和敏感对象的访问权限、限定SQL更新和删除操作的影响行、限定No Where语句更新和删除操作、限定drop、truncate等高危操作，以避免大规模损失。

通过应用关联识别，捕获应用账号和应用IP等信息，结合风险行为管控机制，实现应用关联防护，阻断非法的应用登陆和操作行为。

提供全面的数据库攻击行为检测和防御技术；在拦截风险语句的同时，保持会话的正常通讯。

当外部系统利用数据库漏洞进行数据库 攻击时，系统可以实时捕获到对应的 SQL 语句及相关会话信息，及时阻断风险会话并发送告 警，帮助用户实时防护数据库漏洞攻击并有效追溯风险来源

支持多种网络部署模式，并不断完善“高可用容灾”机制，以增强数据库业务连续性保持能力，并在金融、互联网和物流等大型应用场景得到验证。

可针对数据库字段设置规则，并基于“与/或”关系的灵活排列组合，建立敏感数据组。针对不同种类的数据库结构，完善敏感对象的操作规则。

系统可对数据库通讯协议进行完全解析，将 SQL 语句归类成模板，并结合会话信息、应用关联信息，识别可能存在的异常行为并预定义风险规则

可捕获应用账户、应用登录IP、URL等业务信息，并且通过自定义操作规则，引用应用账户和应用登录IP等信息，建立并完善应用关联防。

安华金和动态数据脱敏产品无需对应用系统进行改造、无需修改数据库及存储数据，即可实现数据动态脱敏，满足《网络安全法》及国家、行业等相关规定要求。

安华金和动态数据脱敏产品部署在数据库前端，通过对敏感数据的访问控制，防止敏感数据泄露、敏感数据任意被篡改、删除的情况，从而避免导致核心资产发生无法挽回的损失。

安华金和动态数据脱敏产品能够有效区分应用用户、运维人员、和研发测试人员的身份，根据不同用户访问实现不同的脱敏效果。同时支持绑定应用URL定义数据脱敏规则，实现同一应用用户通过不同的应用界面访问敏感数据，查询效果不同。

安华金和动态数据脱敏产品具有应用用户与应用业务模块识别机制，脱敏规则控制细化到应用用户级别，可以根据不同的应用用户身份，不同业务模块对于敏感数据可见度与仿真度的不同需求，进行脱敏规则配置，以适应复杂环境下的敏感数据使用需求。

能够按照用户指定的一部分敏感数据或预定义的敏感数据特征，对数据库中的数据进行自动的识别，持续的发现新的敏感数据，并自动地根据规则对发现的敏感数据推荐匹配的脱敏算法。尽可能地减少人工繁琐操作带来的疏漏及错误。

根据不同数据特征，内置了丰富高效的脱敏算法，支持同义随机替换、数据遮蔽和同义确定性替换，用户可根据自身的数据特征和政策合规、应用系统等需要，定义专门的脱敏算法。同时为用户提供高自由度的自定义算法发挥空间，用户也可根据需求编写全新的脱敏算法。

具有应用用户与应用业务模块识别机制，脱敏规则控制细化到应用用户级别，可以根据不同的应用用户身份，不同业务模块对于敏感数据可见度与仿真度的不同需求，进行脱敏规则配置，以适应复杂环境下的敏感数据使用需求。

基于访问来源、时间、访问控制条件与动作、动态脱敏等多级管控手段，有效地保护敏感数据。

针对数据库的敏感对象定义防护规则，弥补堡垒机在运维管控上的不足；

对外开放接口，和第三方准入、堡垒机产品整合，构建完善统一的数据库运维管理平台；

构建数据库运维人员的审批流程，并进行细粒度管控，不仅能管控访问来源，更能对目标数据库的对象信息、应答信息进行管控；

满足数据库运维侧的其他日常办公需求，如数据库管理、系统用户管理、统一策略配置等日常运维工作，让运维人员从多平台、多模式的工作方式中解脱，通过深度整合办公流程，实现统一，有效的数据库安全运维管理；

通过开放审批接口和报表接口，实现与当前办公OA软件、运维管理平台的无缝兼容，从申请、执行者、审判者、数据库、敏感业务表等多个维度呈现运维过程。

对内部运维人员的数据库操作请求进行智能分析，判断请求合理性及安全性，并提供更人性化的图形界面，将复杂的运维审批流程简单化，提高工作效率。

基于数据库协议解析能力与语句模板匹配技术，将实际执行操作与申请操作行对比分析，匹配失败即启动拦截，有效降低恶意操作及误操作的概率。

深度解析数据库通讯协议，基于访问来源、操作工具、操作行为、数据库对象、敏感数据以及SQL应答信息（影响行数、执行时长等）共同定义防护策略，对于违反安全策略的风险操作拦截、阻断。对于疑似SQL注入 、漏洞攻击等高危操作，即使审批通过，依然进行实时阻断。

采用国家密码局认证、备案的加密设备，支持SM4对称算法，独立密钥管理，全方面满足网络安全法、等、分保、军队、互联网及金融行业等对核心业务数据加密保护的需求。

通过独立的、增强的权限控制、DBA、安全管理员和审计管理员三权分立机制，确保任何用户在没有获得密文访问权限时无法访问敏感数据，同时不影响DBA的日常运维操作。

硬件设备、备份磁盘丢失，数据文件、备份文件的拷贝，外部黑客拖库，都可能引起敏感数据泄露。通过数据库加密产品对敏感数据进行加密存储，保证他人即使拿到了数据文件，也“看不懂”。

采用国家密码局认证、备案的加密设备，支持国密局指定的SM4加密算法，具备独立于数据库的密钥管理体系，保证密钥不出设备，确保即使被拖库，数据依然安全。

对应用及工具完全透明，无需改造。支持我国密码管理机构认定的加密算法，也支持国际主流加密算法。对数据库可以按照列、表、表空间三种粒度提供加密配置，保证敏感数据以密文形式存储。

数据库进行数据加密后，依然能够对密文数据提供索引能力，从而保持数据库的高效访问能力。产品通过密文索引技术，突破了应用改造加密及网络设备加密在密文索引查询方面的限制；在保证索引数据的高度安全基础上，提供了对密文数据为检索条件的索引查询。

产品通过与数据库的数据集成存储、RAC支持、双机热备、应急模式、多进程冗余、透明故障切换、数据错误忽略、备份恢复等技术，使DBCoffer提供与数据库相当的高可用支持和异常故障处理能力。

不影响数据库自身的数据库恢复、备份、同步等操作。提供额外的离线数据恢复工具，保证极端情况下数据也能恢复到原始状态，保证数据的高可用性。