隨著《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》、《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例》和《信息安全技術(shù) 個(gè)人信息安全規(guī)范》等相關(guān)法律法規(guī)相繼出臺(tái)，國家對(duì)數(shù)據(jù)安全提升到了更高的層面。

同時(shí)，因個(gè)人隱私信息的泄露、濫用對(duì)公民生活造成極大的困擾和損失，公民對(duì)個(gè)人隱私信息保護(hù)的訴求變得越來越強(qiáng)烈。

企業(yè)作為數(shù)據(jù)使用和運(yùn)營的主體，在數(shù)字化轉(zhuǎn)型中，數(shù)據(jù)已成為重要的生產(chǎn)要素，當(dāng)前企業(yè)最核心的數(shù)據(jù)仍然存儲(chǔ)在數(shù)據(jù)庫中。企業(yè)快速發(fā)展對(duì)核心業(yè)務(wù)數(shù)據(jù)安全有著內(nèi)在迫切需求，同時(shí)面臨外部監(jiān)管、個(gè)人隱私保護(hù)等合規(guī)性剛性訴求。數(shù)據(jù)庫作為企業(yè)核心數(shù)據(jù)存儲(chǔ)的最重要主體，應(yīng)該如何做好數(shù)據(jù)庫安全底線防護(hù)及安全合規(guī)建設(shè)？

01背景分析

既然要做數(shù)據(jù)庫的安全防護(hù)和合規(guī)建設(shè)，首先我們用第一性原理的角度來認(rèn)識(shí)下什么是數(shù)據(jù)庫。

數(shù)據(jù)庫的定義：

1、 保管數(shù)據(jù)的倉庫

2、 數(shù)據(jù)的有效應(yīng)用

從定義1：作為保管數(shù)據(jù)的倉庫，企業(yè)大部分的核心業(yè)務(wù)數(shù)據(jù)庫必然會(huì)涉及敏感數(shù)據(jù)；

從定義2：數(shù)據(jù)的有效應(yīng)用：數(shù)據(jù)庫是為應(yīng)用服務(wù)的，如果數(shù)據(jù)庫本身存在安全隱患（被攻擊、被破壞、被篡改等），必然對(duì)業(yè)務(wù)的可用性、連續(xù)性、完整性造成影響。

同時(shí)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《等級(jí)保護(hù)2.0》等法規(guī)明確提出：數(shù)據(jù)庫安全審計(jì)、數(shù)據(jù)庫安全防護(hù)、敏感數(shù)據(jù)脫敏；

所以數(shù)據(jù)庫安全建設(shè)需求主要有以下幾個(gè)方面：

1、數(shù)據(jù)庫本身的安全（保障可用性、完整性、連續(xù)性）

2、敏感數(shù)據(jù)安全

3、安全合規(guī)建設(shè)

02 風(fēng)險(xiǎn)分析

 1 風(fēng)險(xiǎn)維度分析

從數(shù)據(jù)庫的定義和場景來看，主要面臨來自于“人”和”應(yīng)用”的安全風(fēng)險(xiǎn)

人的維度主要會(huì)面臨如：黑客攻擊、第三方人員、管理人員、運(yùn)維、開發(fā)、測試等相關(guān)的潛在風(fēng)險(xiǎn)；

應(yīng)用的維度主要會(huì)面臨如： 應(yīng)用系統(tǒng)本身、終端、共享交換等潛在的安全風(fēng)險(xiǎn)

 2 風(fēng)險(xiǎn)場景分析

從數(shù)據(jù)庫的基礎(chǔ)使用場景，以及面臨來自人和應(yīng)用維度的安全風(fēng)險(xiǎn)，數(shù)據(jù)庫主要面臨以下重要風(fēng)險(xiǎn)場景：

1、數(shù)據(jù)庫操作行為，尤其是風(fēng)險(xiǎn)操作無法監(jiān)控、審計(jì)和預(yù)警

2、外部攻擊，穿過防火墻，竊取內(nèi)部數(shù)據(jù)

3、辦公終端業(yè)務(wù)操作人員違規(guī)訪問、導(dǎo)出敏感數(shù)據(jù)

4、運(yùn)維管理人員越權(quán)訪問敏感數(shù)據(jù)

5、運(yùn)維管理人員高危操作數(shù)據(jù)庫

6、數(shù)據(jù)共享導(dǎo)致的敏感數(shù)據(jù)泄露

03 解決方案

總體方案 ?

通過接口或能力集成，具備專業(yè)的：

數(shù)據(jù)庫安全防護(hù)（攻擊防護(hù)、訪問權(quán)限控制、WEB應(yīng)用脫敏、動(dòng)態(tài)數(shù)據(jù)脫敏、靜態(tài)數(shù)據(jù)脫敏）。

數(shù)據(jù)庫安全監(jiān)測（風(fēng)險(xiǎn)行為監(jiān)測、敏感數(shù)據(jù)監(jiān)測、安全審計(jì)、風(fēng)險(xiǎn)預(yù)警）核心能力單元，實(shí)現(xiàn)數(shù)據(jù)在應(yīng)用、數(shù)據(jù)共享、開發(fā)測試、運(yùn)維管理等場景下的數(shù)據(jù)安全防護(hù)。

風(fēng)險(xiǎn)場景能力應(yīng)對(duì) ?

關(guān)于數(shù)據(jù)庫的各類重要風(fēng)險(xiǎn)場景，昂楷科技都有相針對(duì)性的技術(shù)能力和產(chǎn)品，并且各產(chǎn)品之間支持關(guān)聯(lián)打通，合成作戰(zhàn)，形成整體數(shù)據(jù)庫安全底座解決方案。

各能力單元介紹 ?

A．?dāng)?shù)據(jù)庫安全監(jiān)測（數(shù)據(jù)庫審計(jì)）

對(duì)用戶訪問數(shù)據(jù)庫操作行為、訪問敏感數(shù)據(jù)的操作行為進(jìn)行可視化的安全監(jiān)測、分析和匯總，為用戶提供事故追根溯源的電子證據(jù)，同時(shí)提供高效查詢審計(jì)記錄能力，快速定位事件原因，做到“事前預(yù)防+事中防范+事后取證”的立體防御效果。

B. 數(shù)據(jù)庫安全共享（數(shù)據(jù)脫敏）

通過對(duì)生產(chǎn)庫的數(shù)據(jù)進(jìn)行敏感數(shù)據(jù)識(shí)別、抽取、通過遮蔽、替換、隨機(jī)等技術(shù)手段完成數(shù)據(jù)脫敏和去隱私化后，給到非生產(chǎn)環(huán)境（開發(fā)、測試、分析、共享等）進(jìn)行使用，滿足等保合規(guī)、防止敏感數(shù)據(jù)泄露。

C．Web 頁面實(shí)時(shí)脫敏（web動(dòng)態(tài)脫敏）

通過代理模式（部署在客戶端應(yīng)用系統(tǒng)之間），對(duì)敏感信息通過脫敏算法對(duì)進(jìn)行數(shù)據(jù)的變形，實(shí)現(xiàn)應(yīng)用系統(tǒng)實(shí)時(shí)使用等動(dòng)態(tài)環(huán)境下敏感隱私數(shù)據(jù)的可靠保護(hù)。

D．攻擊防護(hù)-權(quán)限控制（數(shù)據(jù)庫防火墻）

強(qiáng)力抵抗外部入侵、內(nèi)部違規(guī)操作，消除數(shù)據(jù)庫操作風(fēng)險(xiǎn)，具備攻擊、SQL注入、拖庫撞庫等風(fēng)險(xiǎn)行為的模型分析、具備虛擬補(bǔ)丁、獨(dú)立的增強(qiáng)身份認(rèn)證等特性，可解決來源于數(shù)據(jù)庫應(yīng)用側(cè)和運(yùn)維側(cè)兩方面的安全操作問題，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫訪問行為的控制，風(fēng)險(xiǎn)行為綜合安全防護(hù)。

04 方案價(jià)值

1、保障業(yè)務(wù)安全

有效防止內(nèi)外部風(fēng)險(xiǎn)、保障數(shù)據(jù)庫綜合安全，保障業(yè)務(wù)的安全、完整、連續(xù)性。

2、防止數(shù)據(jù)泄露

能有效防止數(shù)據(jù)泄露，保障敏感數(shù)據(jù)安全，防止因數(shù)據(jù)泄露帶來的重大損失。

3、擴(kuò)大數(shù)據(jù)使用范圍，提升數(shù)據(jù)價(jià)值

通過有效的安全共享技術(shù)，提升數(shù)據(jù)共享和使用范圍，有效提升數(shù)據(jù)的價(jià)值。

4、滿足安全合規(guī)建設(shè)

支撐客戶在數(shù)據(jù)庫安全建設(shè)方面滿足等級(jí)保護(hù)、數(shù)據(jù)安全等安全合規(guī)要求。

05 生態(tài)合作價(jià)值

對(duì)于OA、CRM、財(cái)務(wù)等企業(yè)信息系統(tǒng)提供商，無論是來自于合規(guī)建設(shè)需要、還是客戶本身的數(shù)據(jù)庫安全訴求，都可以通過集成昂楷數(shù)據(jù)庫安全底座解決方案，不僅可以滿足來自監(jiān)管合規(guī)、客戶數(shù)據(jù)安全需求，還能提升產(chǎn)品的特性，實(shí)現(xiàn)差異化競爭。