隨著《數(shù)據(jù)安全法》、《個人信息保護法》、《關鍵基礎設施保護條例》和《信息安全技術 個人信息安全規(guī)范》等相關法律法規(guī)相繼出臺，國家對數(shù)據(jù)安全提升到了更高的層面。

同時，因個人隱私信息的泄露、濫用對公民生活造成極大的困擾和損失，公民對個人隱私信息保護的訴求變得越來越強烈。

企業(yè)作為數(shù)據(jù)使用和運營的主體，在數(shù)字化轉型中，數(shù)據(jù)已成為重要的生產(chǎn)要素，當前企業(yè)最核心的數(shù)據(jù)仍然存儲在數(shù)據(jù)庫中。企業(yè)快速發(fā)展對核心業(yè)務數(shù)據(jù)安全有著內在迫切需求，同時面臨外部監(jiān)管、個人隱私保護等合規(guī)性剛性訴求。數(shù)據(jù)庫作為企業(yè)核心數(shù)據(jù)存儲的最重要主體，應該如何做好數(shù)據(jù)庫安全底線防護及安全合規(guī)建設？

01背景分析

既然要做數(shù)據(jù)庫的安全防護和合規(guī)建設，首先我們用第一性原理的角度來認識下什么是數(shù)據(jù)庫。

數(shù)據(jù)庫的定義：

1、 保管數(shù)據(jù)的倉庫

2、 數(shù)據(jù)的有效應用

從定義1：作為保管數(shù)據(jù)的倉庫，企業(yè)大部分的核心業(yè)務數(shù)據(jù)庫必然會涉及敏感數(shù)據(jù)；

從定義2：數(shù)據(jù)的有效應用：數(shù)據(jù)庫是為應用服務的，如果數(shù)據(jù)庫本身存在安全隱患（被攻擊、被破壞、被篡改等），必然對業(yè)務的可用性、連續(xù)性、完整性造成影響。

同時《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《等級保護2.0》等法規(guī)明確提出：數(shù)據(jù)庫安全審計、數(shù)據(jù)庫安全防護、敏感數(shù)據(jù)脫敏；

所以數(shù)據(jù)庫安全建設需求主要有以下幾個方面：

1、數(shù)據(jù)庫本身的安全（保障可用性、完整性、連續(xù)性）

2、敏感數(shù)據(jù)安全

3、安全合規(guī)建設

02 風險分析

 1 風險維度分析

從數(shù)據(jù)庫的定義和場景來看，主要面臨來自于“人”和”應用”的安全風險

人的維度主要會面臨如：黑客攻擊、第三方人員、管理人員、運維、開發(fā)、測試等相關的潛在風險；

應用的維度主要會面臨如： 應用系統(tǒng)本身、終端、共享交換等潛在的安全風險

 2 風險場景分析

從數(shù)據(jù)庫的基礎使用場景，以及面臨來自人和應用維度的安全風險，數(shù)據(jù)庫主要面臨以下重要風險場景：

1、數(shù)據(jù)庫操作行為，尤其是風險操作無法監(jiān)控、審計和預警

2、外部攻擊，穿過防火墻，竊取內部數(shù)據(jù)

3、辦公終端業(yè)務操作人員違規(guī)訪問、導出敏感數(shù)據(jù)

4、運維管理人員越權訪問敏感數(shù)據(jù)

5、運維管理人員高危操作數(shù)據(jù)庫

6、數(shù)據(jù)共享導致的敏感數(shù)據(jù)泄露

03 解決方案

總體方案 ?

通過接口或能力集成，具備專業(yè)的：

數(shù)據(jù)庫安全防護（攻擊防護、訪問權限控制、WEB應用脫敏、動態(tài)數(shù)據(jù)脫敏、靜態(tài)數(shù)據(jù)脫敏）。

數(shù)據(jù)庫安全監(jiān)測（風險行為監(jiān)測、敏感數(shù)據(jù)監(jiān)測、安全審計、風險預警）核心能力單元，實現(xiàn)數(shù)據(jù)在應用、數(shù)據(jù)共享、開發(fā)測試、運維管理等場景下的數(shù)據(jù)安全防護。

風險場景能力應對 ?

關于數(shù)據(jù)庫的各類重要風險場景，昂楷科技都有相針對性的技術能力和產(chǎn)品，并且各產(chǎn)品之間支持關聯(lián)打通，合成作戰(zhàn)，形成整體數(shù)據(jù)庫安全底座解決方案。

各能力單元介紹 ?

A．數(shù)據(jù)庫安全監(jiān)測（數(shù)據(jù)庫審計）

對用戶訪問數(shù)據(jù)庫操作行為、訪問敏感數(shù)據(jù)的操作行為進行可視化的安全監(jiān)測、分析和匯總，為用戶提供事故追根溯源的電子證據(jù)，同時提供高效查詢審計記錄能力，快速定位事件原因，做到“事前預防+事中防范+事后取證”的立體防御效果。

B. 數(shù)據(jù)庫安全共享（數(shù)據(jù)脫敏）

通過對生產(chǎn)庫的數(shù)據(jù)進行敏感數(shù)據(jù)識別、抽取、通過遮蔽、替換、隨機等技術手段完成數(shù)據(jù)脫敏和去隱私化后，給到非生產(chǎn)環(huán)境（開發(fā)、測試、分析、共享等）進行使用，滿足等保合規(guī)、防止敏感數(shù)據(jù)泄露。

C．Web 頁面實時脫敏（web動態(tài)脫敏）

通過代理模式（部署在客戶端應用系統(tǒng)之間），對敏感信息通過脫敏算法對進行數(shù)據(jù)的變形，實現(xiàn)應用系統(tǒng)實時使用等動態(tài)環(huán)境下敏感隱私數(shù)據(jù)的可靠保護。

D．攻擊防護-權限控制（數(shù)據(jù)庫防火墻）

強力抵抗外部入侵、內部違規(guī)操作，消除數(shù)據(jù)庫操作風險，具備攻擊、SQL注入、拖庫撞庫等風險行為的模型分析、具備虛擬補丁、獨立的增強身份認證等特性，可解決來源于數(shù)據(jù)庫應用側和運維側兩方面的安全操作問題，實現(xiàn)對數(shù)據(jù)庫訪問行為的控制，風險行為綜合安全防護。

04 方案價值

1、保障業(yè)務安全

有效防止內外部風險、保障數(shù)據(jù)庫綜合安全，保障業(yè)務的安全、完整、連續(xù)性。

2、防止數(shù)據(jù)泄露

能有效防止數(shù)據(jù)泄露，保障敏感數(shù)據(jù)安全，防止因數(shù)據(jù)泄露帶來的重大損失。

3、擴大數(shù)據(jù)使用范圍，提升數(shù)據(jù)價值

通過有效的安全共享技術，提升數(shù)據(jù)共享和使用范圍，有效提升數(shù)據(jù)的價值。

4、滿足安全合規(guī)建設

支撐客戶在數(shù)據(jù)庫安全建設方面滿足等級保護、數(shù)據(jù)安全等安全合規(guī)要求。

05 生態(tài)合作價值

對于OA、CRM、財務等企業(yè)信息系統(tǒng)提供商，無論是來自于合規(guī)建設需要、還是客戶本身的數(shù)據(jù)庫安全訴求，都可以通過集成昂楷數(shù)據(jù)庫安全底座解決方案，不僅可以滿足來自監(jiān)管合規(guī)、客戶數(shù)據(jù)安全需求，還能提升產(chǎn)品的特性，實現(xiàn)差異化競爭。