隨著《數據安全法》、《個人信息保護法》、《關鍵基礎設施保護條例》和《信息安全技術 個人信息安全規范》等相關法律法規相繼出臺，國家對數據安全提升到了更高的層面。

同時，因個人隱私信息的泄露、濫用對公民生活造成極大的困擾和損失，公民對個人隱私信息保護的訴求變得越來越強烈。

企業作為數據使用和運營的主體，在數字化轉型中，數據已成為重要的生產要素，當前企業最核心的數據仍然存儲在數據庫中。企業快速發展對核心業務數據安全有著內在迫切需求，同時面臨外部監管、個人隱私保護等合規性剛性訴求。數據庫作為企業核心數據存儲的最重要主體，應該如何做好數據庫安全底線防護及安全合規建設？

01背景分析

既然要做數據庫的安全防護和合規建設，首先我們用第一性原理的角度來認識下什么是數據庫。

數據庫的定義：

1、 保管數據的倉庫

2、 數據的有效應用

從定義1：作為保管數據的倉庫，企業大部分的核心業務數據庫必然會涉及敏感數據；

從定義2：數據的有效應用：數據庫是為應用服務的，如果數據庫本身存在安全隱患（被攻擊、被破壞、被篡改等），必然對業務的可用性、連續性、完整性造成影響。

同時《網絡安全法》《數據安全法》《個人信息保護法》《等級保護2.0》等法規明確提出：數據庫安全審計、數據庫安全防護、敏感數據脫敏；

所以數據庫安全建設需求主要有以下幾個方面：

1、數據庫本身的安全（保障可用性、完整性、連續性）

2、敏感數據安全

3、安全合規建設

02 風險分析

 1 風險維度分析

從數據庫的定義和場景來看，主要面臨來自于“人”和”應用”的安全風險

人的維度主要會面臨如：黑客攻擊、第三方人員、管理人員、運維、開發、測試等相關的潛在風險；

應用的維度主要會面臨如： 應用系統本身、終端、共享交換等潛在的安全風險

 2 風險場景分析

從數據庫的基礎使用場景，以及面臨來自人和應用維度的安全風險，數據庫主要面臨以下重要風險場景：

1、數據庫操作行為，尤其是風險操作無法監控、審計和預警

2、外部攻擊，穿過防火墻，竊取內部數據

3、辦公終端業務操作人員違規訪問、導出敏感數據

4、運維管理人員越權訪問敏感數據

5、運維管理人員高危操作數據庫

6、數據共享導致的敏感數據泄露

03 解決方案

總體方案 ?

通過接口或能力集成，具備專業的：

數據庫安全防護（攻擊防護、訪問權限控制、WEB應用脫敏、動態數據脫敏、靜態數據脫敏）。

數據庫安全監測（風險行為監測、敏感數據監測、安全審計、風險預警）核心能力單元，實現數據在應用、數據共享、開發測試、運維管理等場景下的數據安全防護。

風險場景能力應對 ?

關于數據庫的各類重要風險場景，昂楷科技都有相針對性的技術能力和產品，并且各產品之間支持關聯打通，合成作戰，形成整體數據庫安全底座解決方案。

各能力單元介紹 ?

A．數據庫安全監測（數據庫審計）

對用戶訪問數據庫操作行為、訪問敏感數據的操作行為進行可視化的安全監測、分析和匯總，為用戶提供事故追根溯源的電子證據，同時提供高效查詢審計記錄能力，快速定位事件原因，做到“事前預防+事中防范+事后取證”的立體防御效果。

B. 數據庫安全共享（數據脫敏）

通過對生產庫的數據進行敏感數據識別、抽取、通過遮蔽、替換、隨機等技術手段完成數據脫敏和去隱私化后，給到非生產環境（開發、測試、分析、共享等）進行使用，滿足等保合規、防止敏感數據泄露。

C．Web 頁面實時脫敏（web動態脫敏）

通過代理模式（部署在客戶端應用系統之間），對敏感信息通過脫敏算法對進行數據的變形，實現應用系統實時使用等動態環境下敏感隱私數據的可靠保護。

D．攻擊防護-權限控制（數據庫防火墻）

強力抵抗外部入侵、內部違規操作，消除數據庫操作風險，具備攻擊、SQL注入、拖庫撞庫等風險行為的模型分析、具備虛擬補丁、獨立的增強身份認證等特性，可解決來源于數據庫應用側和運維側兩方面的安全操作問題，實現對數據庫訪問行為的控制，風險行為綜合安全防護。

04 方案價值

1、保障業務安全

有效防止內外部風險、保障數據庫綜合安全，保障業務的安全、完整、連續性。

2、防止數據泄露

能有效防止數據泄露，保障敏感數據安全，防止因數據泄露帶來的重大損失。

3、擴大數據使用范圍，提升數據價值

通過有效的安全共享技術，提升數據共享和使用范圍，有效提升數據的價值。

4、滿足安全合規建設

支撐客戶在數據庫安全建設方面滿足等級保護、數據安全等安全合規要求。

05 生態合作價值

對于OA、CRM、財務等企業信息系統提供商，無論是來自于合規建設需要、還是客戶本身的數據庫安全訴求，都可以通過集成昂楷數據庫安全底座解決方案，不僅可以滿足來自監管合規、客戶數據安全需求，還能提升產品的特性，實現差異化競爭。