安华金和数据库安全评估系统(DSAS)

安华金和数据库安全成功案例北京市南水北调办公室一. 项目背景十二五是水利跨越发展、惠泽民生的重要五年。

水利部门建设了水利管理系统、水利信息网骨干网、防汛抗旱指挥系统、征迁安置系统等运行维护。

水利信息安全工作是水利行业信息化建设的重要组成部分。

北京南水北调办公室水利系统信息安全等级建设数据库审计项目，开展以定级备案、等级测评和建设整改为主要内容的信息安全等级保护工作，通过采用安华金和的数据库监控与审计系统，全面审计敏感信息的数据库操作，落实信息安全责任，建立信息安全等级保护工作长效机制，以水利信息化的健康发展带动水利现代化的科学发展。

二. 解决方案北京南水北调办等保建设数据库审计项目从业务层面，首先需要明确重点需要审计的如征迁安置规划、关键水利设施、水利行业经济指标、水利行业财政支出等敏感信息进行全面审计，同时由于部分系统也要连接互联网，存在外部黑客攻击的安全威胁，也需要对数据库的漏洞攻击行为和SQL注入行为及时通过短信和邮件进行告警。

再有，核心的水利信息系统有内部的软件开发商、系统运维人员、数据库管理员在访问这些数据库中的敏感信息，存在被恶意篡改和被非法查询的风险，按等保要求也需要通过数据库审计系统进行全面数据库操作的记录。

从产品层面，考察了多个厂商的数据库审计产品，发现安华金和的数据库监控与审计系统在数据库访问协议解析方面准确，对数据库漏洞攻击和SQL注入攻击能够有效记录，同时能够做到恶意访问行为快速告警，故选择安华金和的数据库审计产品。

产品部署图如下：防汛抗旱邮件征迁安置OA三. 客户价值通过使用安华金和的数据库监控与审计系统，按照等保建设要求实现数据库操作的全面审计，切实提高水利行业信息安全防护能力、隐患发现能力、应急处置能力，尤其重点审计通过业务系统特别是B/S类型的系统，以Web应用为跳板，进行SQL注入，获取某些核心表的数据操作。

防止通过利用数据库自身的权限提升、缓冲区溢出等漏洞，实施数据库入侵，一旦进入数据库，可直接刷库，批量获取数据库中敏感数据。

保障医疗数据安全，提升医疗数据价值北京安华金和科技有限公司目录01数据流动，创造价值02医疗数据安全现状及形势03构建以患者为核心的数据安全防御体系04医疗数据安全治理实践数据流动，创造价值01数据只有流动才会产生价值，才能实现数据融合后更大的增值效益。

数据利用——医院信息化进入3.0时代•以实现业务系统的数字化为主要任务，解决业务系统本身的执行问题，然而系统之间的整合。

1.0时代（业务数字化）•通过数据集成，业务流程可以实现闭环管理，同时，用户也可以基于数据做度量分析和科学研究。

2.0时代（数据融合）•信息从产生到聚集，整合信息生命周期，实现数据挖掘和分析，数据在流动中产生价值。

3.0时代（数据价值）数据，正变得越来越重要。

因为无论哪种进化，都是以数据为基础。

以数据为核心的医疗信息化以患者为核心的临床数据中心建设。

临床大数据中心建立当下的智慧医疗体系推进智慧医疗体系建设人工智能的应用临床决策智能化、科研数据挖掘分析、智能化个体给药互联网数据接入区域医疗、医联体建设、社区胸痛中心建设、便民服务体系、数据互联互通医疗数据在流动中提升价值•保险风险控制欺诈防范•医疗服务质量评估•药品个性研发•药品临床应用•人口统计学分析•就诊行为分析•个人健康管理•慢病管理•治疗方案比较•临床决策支持•远程病人监控•医生培养•临床科研•疾病、疫情监管•新农合、社保基金分析•基本药物临床应用分析•医疗资源投放公共卫生医疗机构商业应用患者行为只有数据的开放与流动，让更多机构和企业进行利用，这样才能发挥数据的价值02医疗数据安全现状及形势老问题数据库自身安全性，新挑战大数据时代下新的系统架构对于数据安全的冲击。

医疗行业信息泄露事件频发2017年的医疗界有些不平静，近期因黑客攻击而引发的医疗信息安全事件就有：5月，黑客倒卖医院数据落网引发广州医药圈震荡；9月，某部委医疗服务信息系统遭“黑客”入侵，超过7亿条公民信息遭泄露，8000余万条公民信息被贩卖；10月，Petya网络攻击事件使香港宫颈癌疫苗断货；10月，伦敦一知名整形医院遭网络攻击，黑客称名单中有皇室成员；国家层面开始关注医疗数据安全2009年•2009年2月《刑法》修正案中，增加侵犯公民个人信息犯罪行为。

安华金和数据库安全成功案例北京市西城区卫生局一. 项目背景随着北京市西城区卫生局区域医疗卫生信息平台建设落地，在卫生信息化系统互通互联、数据共享的同时使得医疗数据更为集中，同时也使得数据安全的威胁更加显现，特别是居民身份信息、隐私病历和诊疗等健康档案信息在数据中心集中泄露风险尤为突出。

区域医疗信息化平台数据库监控与审计项目采用有针对性的数据库安全审计策略，集中的策略统一分发，统一日志分析，统一管理运维，达到有效保护居民健康档案信息的目标。

二. 解决方案西城区卫生局区域医疗卫生信息平台包括15家社区卫生服务中心如广外中心、月坛中心、德胜中心、牛街中心等，各中心通过医疗专用网连接，有总控中心进行统一管理。

因所有数据中心均需进行包括患者基本信息、诊疗病史资料、检验检查报告、医学影像、检查报告等在内的大量数据交换，数据库操作需要进行全面审计。

从业务层面既要保证医疗节点和区域数据中心的交互，又要确保数据在使用过程中数据库操作可查，可追溯，本项目的亮点有以下几个：1）总控中心可以向各15个中心统一下发策略，同时进行统一日志分析和报表展现；2）在数据库审计设备管理方面可以实现统一运维，各分中心又可以根据各自的情况配置有针对性的策略；从产品层面选择了安华金和数据库监控与审计集中管理系统部署在总控中心，15个分中心部署安华金和监控与审计设备，总控中心与各分中心之间通过医疗专用网实现操作的全审计，有效的实现患者信息、病案信息、诊疗信息的统一安全审计策略，数据库操作全面准确。

、ris接入系统广外分中心远程医疗转院预约双向确诊德胜分中心数据接入总控中心三. 客户价值区域医疗信息化平台数据库监控与审计项目在总控中心，只需登录一次，就可以管理15个分中心的数据库审计策略，实现统一的策略下发，15个分中心日志统一分析和汇总。

区域医疗服务平台节点多，应用较为复杂，且涉及大量的患者重要隐私信息，通过安华金和数据库监控与审计平台实现总控中心和各分中心的全面数据库审计，通过设备和策略的有机结合，辅之以行之有效的安全管理制度，保证区域医疗信息化平台的敏感信息不外泄。

安华金和数据库安全银行行业解决方案一. 客户需求与挑战某商行信息化高速发展的时代背景下，各银行积累的客户数据、交易记录、管理数据等呈爆炸性增长，海量数据席卷而来，海量的业务数据不但成为金融业的命脉，也成为不法分子窥探的目标，因此也意味着面临了海量的风险。

目前国家和商行内部对数据的安全管控提出了以下要求：1) 随着客户的增加，数据库信息价值不断提升，使得数据库面对来自内部和外部的安全风险大大增加；2) 内部违规越权操作、外部恶意入侵等行为，事后却无法有效追溯和审计；3) 业务访问数据库过程过慢，SQL访问性能无法了解并改善；4) 国家等级保护相关标准中要求等保二级以上信息系统中的网络层面、主机层面和应用层面均要求进行安全审计、安全控制，同时也明确要求了审计和控制的范围、内容等，粒度要求到用户级、数据表、字段级。

5) 银监会19号文中也明确提出“控制所有生产系统的活动日志，以支持有效的审计、安全论证分析和预防欺诈”。

6) 国外信息安全方面的标准或最佳实践（如ISO13335、ISO27001、SP800）等也要求对用户行为、系统、数据操作行为进行控制和审计。

特别是2014年9月银监会39号文，《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》（简称意见），特别在操作系统、数据库等领域要加大探索和尝试力度；从2015年起，各银行业金融机构对安全可控信息技术的应用以不低于15％的比例逐年增加，直至2019年达到不低于75％的总体占比该指导意见的发布是我国进一步重视银行业数据安全的表现。

二. 解决方案概述及要点描述某商行核心数据库在全行范围内是负责银行数据存储和处理核心设施，经过评估一旦核心数据机密性、完整性、可用性遭受损失，将会给社会秩序甚至国家安全造成严重损害。

银行因此委托了专业的数据库安全厂商，提出了以下4点安全目标：1）向合法用户提供可靠信息服务；2）拒绝非法用户对数据库的访问；3）拒绝对数据库执行高危操作4）跟踪数据库使用记录，为合规性、安全责任审查提供证据。

安华金和数据库安全成功案例北京市律师协会一. 项目背景北京市律师协会是依据《中华人民共和国律师法》、《律师协会章程》成立的具有独立法人资格的社会团体，是律师的行业自律性组织，依法履行对全市律师事务所和执业律师的管理，协会主要职能是承担律师的行业管理工作；维护律师的合法权益，支持律师依法执业，对律师和律师所实施奖励和惩戒。

北京市律师协会安全集成服务项目主要是通过数据库防火墙实现数据库安全防护，近期要通过广电总局测评中心等保二级测评，重点防护的系统包括网站系统和会员服务系统，律师专业人才库的敏感信息不泄漏。

二. 解决方案北京市律师协会安全集成服务项目就是针对面向互联网服务的网站和律师会员服务系统进行数据库的安全防护，随着应用系统及数据库的部署规模、访问人员和密集度的不断增加，来自于外部攻击、第三方运维和开发人员、内部维护人员的访问，给数据库安全带来了严峻的挑战。

后台数据库中存储的敏感数据一旦发生泄密或者被非法篡改，都将是责任重大的信息安全事故。

主要安全需求包括：1、外部黑客攻击者一般有三种手段进行数据的窃取：一是利用数据库的一系列缺省账户、权限提升等漏洞，获取DBA身份的高权限用户，直接导出数据。

二是利用应用系统的漏洞，通过sql注入，完成对敏感信息的批量下载，这种方式是当前暴漏出来的案例中的主要方式。

安华金和数据库防火墙部署图机#2#1三. 客户价值北京市律师协会安全集成服务项目首先要保证对现有生产系统性能和稳定性影响最低，同时也要解决应用侧来自于互联网的外部的黑客攻击（这类风险占80%）和运维侧的批量导出和恶意操作的安全威胁（这类风险占20%）。

安华金和数据库防火墙产品具备两点核心优势能满足客户以上需求：一是基于lex/yacc 的SQL 完全解析，实现附件4、5数据库访问协议包的SQL 语句准确解析；二是对现有应用系统要经过学习期、学习完善期和保护期，构建合法语句的行为模型（白名单），避免对合法应用程序发出的SQL 语句误报，同时有效发现非法的数据库操作。

安华金和数据库安全医疗行业解决方案4 安华金和数据库安全医疗行业解决方案一. 客户需求与挑战2010卫生部颁发的《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》中明确指出，“要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理，对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理，严格统方权限和审批程序，未经批准不得统方，严禁为商业目的统方。

”在高额利益的驱使下，当前黑客窃取“统方”数据的问题已不容忽视。

总结黑客的手段无外乎以下三种：1）利用HIS等医疗系统的Web漏洞入侵数据库；2）利用数据库漏洞直接入侵数据库；3）入侵数据库服务器主机直接窃取数据库文件、备份文件等。

当前部分省市医院采用审计软件“防统方”，却面临3大致命缺陷：1）事后分析，无法主动阻止内部人员非法统方行为的发生；2）难以准确地定位统方发生的具体操作人员，因此无法辨别非法统方和正常统方，不能起到震慑的作用；3）无法阻止来自于外部黑客的攻击和存储层的数据泄密。

二. 解决方案概述及要点描述安华金和医疗行业数据库安全方案的基本思路为通过对HIS、电子病历等医疗系统的用户表中密码信息和处方表中的剂量信息进行数据库加密存储，并对这些信息提供应用结合的数据库访问权限增强体系，屏蔽DBA人员、开发及维护人员对统方数据的查看权利，使通过医疗系统的统方操作变得可控、可追踪，使黑客攻破Oracle 权限体系或盗取数据文件后仍然无法获取统方数据，从而实现对数据库统方的全方位防护能力。

DBCoffer 安全管理终端处方信息查询模块统方功能模块图1 防统方解决方案拓扑图该方案针对四种典型人群的统方途径，提供技术防御手段：（1）His 系统使用者“统方”防御统方途径：利用His 系统的“统方”功能直接“统方”。

由于有合法统方的需求存在，因此在现有的His 软件中，无法完全屏蔽该功能；His 使用者利用该功能进行非法统方。

利用His 系统的统计功能间接“统方”。

安华金和数据库安全电子政务外网解决方案4安华金和数据库安电子政务外网解决方案中国软件测评中心(中国国家工业和信息化部下属单位)2014年12月3日发布《2014年中国政府网站绩效评估总报告》显示，今年评估的900余家政府网站当中，超过93%的网站存在着本级的安全漏洞，其中97%的区县网站被监测到有安全隐患，接受评估的网站包括部委网站、省级政府网站、副省级政府网站、地市政府网站及区县政府网站。

这个也给政府的形象带来了很不利的影响，甚至给政府工作的正常运行带来了严重的威胁。

由于人们对互联网的依赖性日益增强，互联网数据资产所蕴含的经济价值更加巨大。

以CSDN 600万用户信息泄露开始，中国互联网接连爆发的信息泄露为“互联网之殇”再添一笔。

近年来，因为互联网技术漏洞导致用户信息泄露的事件时有发生，2014年5月小米论坛疑似被“拖库”，该漏洞影响约有800万左右小米论坛用户，2014年3月，携程网也曾连续爆发安全漏洞，导致部分携程用户的银行卡信息被泄露并被利用，未来针对隐私信息的破解和攻击会愈演愈烈。

如何确保信息安全，加强信息保障工作，将是政务外网建设关注的重中之重。

一、政务外网敏感数据泄漏问题分析真正有效的解决网络信息的安全问题，首先就需要分析批量个人隐私信息数据泄密、篡改途径，包括来自于外部攻击者，第三方运维人员、开发人员等内部人员的各种可能性。

从系统安全体系的角度来分析，然后找出可行的技术手段，才能真正从全方位保证网络信息安全。

核心数据安全是针对核心敏感数据的保护，处于整个安全体系的核心位置！经过对诸多网络信息安全事件的分析，发现信息泄密及篡改的最大威胁来自于外部黑客、内部运维人员及数据库管理员DBA、以及第三方服务外包人员。

外部：黑客攻击者黑客攻击者一般有两种手段进行数据的窃取：一是入侵到网络后，能够直接访问数据库服务器，进行刷库直接拷贝数据文件，利用主流数据库明文存储的缺陷，直接进行异地的数据还原，即可获得所有数据。

安华金和数据安全产品手册©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属安华金和所有，受到有关产权及版权法保护。

任何个人、机构未经安华金和的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录安华金和数据安全产品手册 (1)目录 (2)一. 关于安华金和 (4)1.1发展历史 (4)1.2产品路标 (5)二. 数据库安全产品系列 (6)2.1数据库安全评估系统（DSAS） (6)2.1.1 产品概述 (6)2.1.2 客户价值 (6)2.1.3 产品优势 (7)2.1.4 适用场景 (8)2.2数据资产梳理系统(DACS) (8)2.2.1 产品概述 (8)2.2.2 客户价值 (9)2.2.3 产品优势 (10)2.2.4 适用场景 (10)2.3数据库安全审计系统(DAS) (11)2.3.1 产品概述 (11)2.3.2 客户价值 (11)2.3.3 产品优势 (12)2.3.4 适用场景 (13)2.4数据库安全防护系统(DPS) (14)2.4.1 产品概述 (14)2.4.2 客户价值 (14)2.4.3 产品优势 (15)2.4.4 适用场景 (17)2.5数据库运维管理系统(DOMS) (17)2.5.1 产品概述 (17)2.5.2 客户价值 (18)2.5.3 产品优势 (19)2.5.4 适用场景 (19)2.6数据脱敏系统(DMS) (20)2.6.1 产品概述 (20)2.6.2 客户价值 (20)2.6.3 产品优势 (21)2.6.4 适用场景 (22)2.7数据库加密系统(DES) (23)2.7.1 产品概述 (23)2.7.2 客户价值 (24)2.7.3 产品优势 (25)2.7.4 适用场景 (26)2.8数据水印系统(DWS) (26)2.8.1 产品概述 (26)2.8.2 客户价值 (27)2.8.3 产品优势 (27)2.8.4 适用场景 (28)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司（以下简称安华金和），2009年3月2日成立，长期专注于数据安全领域，是中国专业的数据安全产品及解决方案提供商。