數據安全防護產品

安華金和數據庫安全審計產品能夠針對外部SQL注入、緩沖區溢出、權限提升、拒絕服務攻擊、內部高危操作等危險行為實時監控告警。幫助用戶及時采取安全手段，防范安全風險。

安華金和數據庫安全審計產品對于應用系統訪問數據庫的行為實時監控，追溯訪問來源可定位終端的應用用戶信息。 從應用系統的業務行為追溯數據庫風險，關聯分析應用操作行為（URL）和數據庫操作行為（SQL）。

安華金和數據庫安全審計產品界面簡單易用、操作方便。提供SQL語句翻譯能力，幫助非技術人員快速了解數據庫訪問情況。免實施、免培訓，可快速掌握上手的數據庫審計產品。

安華金和數據庫安全審計產品全方位滿足等、分保檢查中的審計項要求，自動生成符合檢查要求的審計報表。提供6個月以上的審計記錄保存，確保行業檢查中數據庫審計項目不扣分。

安華金和數據庫安全審計產品實現數據庫訪問流量全捕獲，基于語義語法的精準SQL語句解析能力，具備100%應用關聯技術，準確審計訪問來源。實現100%無漏審，零誤報。

安華金和數據庫安全審計產品支持國際主流數據庫：Oracle、SQL Server、MySQL、MariaDB、DB2、PostgreSQL、Sybase、Informix、CacheDB、GP、SAP HANA、Teradata等；支持國產數據庫：SgrDB、DM、GBase、KingBase、Oscar等；非關系型數據庫：支持MongoDB、Redis等數據庫；支持Hive、HBase、Impala、Sentry、HDFS、ES等大數據組件。

基于數據庫協議解析和專業的SQL語法、詞法分析，具備全面的數據庫訪問審計能力，并且采集的流量全面，記錄的日志信息全。

包括國際主流數據庫，國內主流數據庫，以及Hadoop大數據和非關系型數據庫，產品支持中標麒麟、銀河麒麟等國產操作系統。

通過以對象為維度的統計、分析，實現對數據庫的敏感對象的操作統計、深度追蹤，從而達到對敏感數據的實時監控。

中間件(支持應用關聯審計): Tomcat、WebLogic、WebSphere、apache、東方通、Jboss等。獲取應用會話中的應用用戶信息、URL信息，當安全事件發生時，可根據告警信息，快速定位到網絡中的用戶端設備，進而分析出相關責任人。

作為數據庫入侵防御產品，接入在應用服務器和數據庫服務器之間，可防止外部黑客入侵

基于字段級“與/或”關聯設置，建立敏感數據組，限定敏感數據的訪問時間、地址和賬戶信息，并針對高危操作執行業務阻斷和語句攔截。

通過限制系統表和敏感對象的訪問權限、限定SQL更新和刪除操作的影響行、限定No Where語句更新和刪除操作、限定drop、truncate等高危操作，以避免大規模損失。

通過應用關聯識別，捕獲應用賬號和應用IP等信息，結合風險行為管控機制，實現應用關聯防護，阻斷非法的應用登陸和操作行為。

提供全面的數據庫攻擊行為檢測和防御技術；在攔截風險語句的同時，保持會話的正常通訊。

當外部系統利用數據庫漏洞進行數據庫 攻擊時，系統可以實時捕獲到對應的 SQL 語句及相關會話信息，及時阻斷風險會話并發送告 警，幫助用戶實時防護數據庫漏洞攻擊并有效追溯風險來源

支持多種網絡部署模式，并不斷完善“高可用容災”機制，以增強數據庫業務連續性保持能力，并在金融、互聯網和物流等大型應用場景得到驗證。

可針對數據庫字段設置規則，并基于“與/或”關系的靈活排列組合，建立敏感數據組。針對不同種類的數據庫結構，完善敏感對象的操作規則。

系統可對數據庫通訊協議進行完全解析，將 SQL 語句歸類成模板，并結合會話信息、應用關聯信息，識別可能存在的異常行為并預定義風險規則

可捕獲應用賬戶、應用登錄IP、URL等業務信息，并且通過自定義操作規則，引用應用賬戶和應用登錄IP等信息，建立并完善應用關聯防。

安華金和動態數據脫敏產品無需對應用系統進行改造、無需修改數據庫及存儲數據，即可實現數據動態脫敏，滿足《網絡安全法》及國家、行業等相關規定要求。

安華金和動態數據脫敏產品部署在數據庫最前端，通過對敏感數據的訪問控制，防止敏感數據泄露、敏感數據任意被篡改、刪除的情況，從而避免導致核心資產發生無法挽回的損失。

安華金和動態數據脫敏產品能夠有效區分應用用戶、運維人員、和研發測試人員的身份，根據不同用戶訪問實現不同的脫敏效果。同時支持綁定應用URL定義數據脫敏規則，實現同一應用用戶通過不同的應用界面訪問敏感數據，查詢效果不同。

安華金和動態數據脫敏產品具有應用用戶與應用業務模塊識別機制，脫敏規則控制細化到應用用戶級別，可以根據不同的應用用戶身份，不同業務模塊對于敏感數據可見度與仿真度的不同需求，進行脫敏規則配置，以適應復雜環境下的敏感數據使用需求。

能夠按照用戶指定的一部分敏感數據或預定義的敏感數據特征，對數據庫中的數據進行自動的識別，持續的發現新的敏感數據，并自動地根據規則對發現的敏感數據推薦最匹配的脫敏算法。最大限度地減少人工繁瑣操作帶來的疏漏及錯誤。

根據不同數據特征，內置了豐富高效的脫敏算法，支持同義隨機替換、數據遮蔽和同義確定性替換，用戶可根據自身的數據特征和政策合規、應用系統等需要，定義專門的脫敏算法。同時為用戶提供高自由度的自定義算法發揮空間，用戶也可根據需求編寫全新的脫敏算法。

具有應用用戶與應用業務模塊識別機制，脫敏規則控制細化到應用用戶級別，可以根據不同的應用用戶身份，不同業務模塊對于敏感數據可見度與仿真度的不同需求，進行脫敏規則配置，以適應復雜環境下的敏感數據使用需求。

基于訪問來源、時間、訪問控制條件與動作、動態脫敏等多級管控手段，有效地保護敏感數據。

針對數據庫的敏感對象定義防護規則，彌補堡壘機在運維管控上的不足；

對外開放接口，和第三方準入、堡壘機產品整合，構建完善統一的數據庫運維管理平臺；

構建數據庫運維人員的審批流程，并進行細粒度管控，不僅能管控訪問來源，更能對目標數據庫的對象信息、應答信息進行管控；

滿足數據庫運維側的其他日常辦公需求，如數據庫管理、系統用戶管理、統一策略配置等日常運維工作，讓運維人員從多平臺、多模式的工作方式中解脫，通過深度整合辦公流程，實現統一，有效的數據庫安全運維管理；

通過開放審批接口和報表接口，實現與當前辦公OA軟件、運維管理平臺的無縫兼容，從申請、執行者、審判者、數據庫、敏感業務表等多個維度呈現運維過程。

對內部運維人員的數據庫操作請求進行智能分析，判斷請求合理性及安全性，并提供更人性化的圖形界面，將復雜的運維審批流程簡單化，提高工作效率。

基于數據庫協議解析能力與語句模板匹配技術，將實際執行操作與申請操作行對比分析，匹配失敗即啟動攔截，有效降低惡意操作及誤操作的概率。

深度解析數據庫通訊協議，基于訪問來源、操作工具、操作行為、數據庫對象、敏感數據以及SQL應答信息（影響行數、執行時長等）共同定義防護策略，對于違反安全策略的風險操作攔截、阻斷。對于疑似SQL注入 、漏洞攻擊等高危操作，即使審批通過，依然進行實時阻斷。

采用國家密碼局認證、備案的加密設備，支持SM4對稱算法，獨立密鑰管理，全方面滿足網絡安全法、等、分保、軍隊、互聯網及金融行業等對核心業務數據加密保護的需求。

通過獨立的、增強的權限控制、DBA、安全管理員和審計管理員三權分立機制，確保任何用戶在沒有獲得密文訪問權限時無法訪問敏感數據，同時不影響DBA的日常運維操作。

硬件設備、備份磁盤丟失，數據文件、備份文件的拷貝，外部黑客拖庫，都可能引起敏感數據泄露。通過數據庫加密產品對敏感數據進行加密存儲，保證他人即使拿到了數據文件，也“看不懂”。

采用國家密碼局認證、備案的加密設備，支持國密局指定的SM4加密算法，具備獨立于數據庫的密鑰管理體系，保證密鑰不出設備，確保即使被拖庫，數據依然安全。

對應用及工具完全透明，無需改造。支持我國密碼管理機構認定的加密算法，也支持國際主流加密算法。對數據庫可以按照列、表、表空間三種粒度提供加密配置，保證敏感數據以密文形式存儲。

數據庫進行數據加密后，依然能夠對密文數據提供索引能力，從而保持數據庫的高效訪問能力。產品通過密文索引技術，突破了應用改造加密及網絡設備加密在密文索引查詢方面的限制；在保證索引數據的高度安全基礎上，提供了對密文數據為檢索條件的索引查詢。

產品通過與數據庫的數據集成存儲、RAC支持、雙機熱備、應急模式、多進程冗余、透明故障切換、數據錯誤忽略、備份恢復等技術，使DBCoffer提供與數據庫相當的高可用支持和異常故障處理能力。

不影響數據庫自身的數據庫恢復、備份、同步等操作。提供額外的離線數據恢復工具，保證極端情況下數據也能恢復到原始狀態，保證數據的高可用性。