凭借在数据库安全领域多年技术积累和对用户需求的充分满足，安华金和在“2016中国IT运维大会大型评选”活动中两款入围产品一举拿下两项获奖荣誉——数据库安全管控平台DBController荣获“2016中国IT运维最佳技术突破奖”；数据库脱敏系统DBMasker荣获“2016中国IT运维管理最佳产品奖”，向市场交付更具使用价值的产品是安华金和的自我驱动力，两个奖项代表了市场对安华金和的高度认可。

放下荣誉，聚焦产品，今天为大家介绍下数据库安全管控平台（DBController）和数据库脱敏系统（DBMasker）这两款明星产品。

明星产品之数据库安全管控平台DBController

名副其实的运维管控利器，运维主管安心睡好觉

安华金和作为数据库安全领域唯一掌握大型数据库的内核技术和架构原理的厂商，能够提供全系列领先数据库安全产品解决方案，覆盖数据库的检查预警、主动防御、底线防守、事后追查等各个环节。在主动防御环节，安华金和专门针对运维侧的管理研发出数据库安全管控平台——DBController。

网络安全防护手段往往忽略了对数据库运维侧的管控，运维人员拥有很大的数据库操作权限，数据库口令暴露、高危操作、用户身份不清等数据库运维安全隐患越发清晰可见。这种状况显然是企业构建全面数据库安全防护体系所应包含的一个重要方面。

安华金和挖掘运维安全的棘手之处，以治标治本的思路研发出的数据库运维管控平台专门针对安全运维需求制定运维行为规范制度，从身份识别、访问审批、流程管理三个层面对不合规操作加以阻挡，运用策略展示和访问审计技术，建立了包含操作申请、操作审批流程的审批流程管理制度。

数据库安全管控平台产品架构

数据库安全管控平台工作步骤

1、无权限操作被拒。运维人员使用任意客户端建立连接，无操作码或执行未申请的操作，会直接被拒绝。

2、运维人员提交操作申请。操作申请需要包含操作的具体内容、操作行为发生的起始时间和截止时间，操作的目标数据库以及具体操作对象。

3、审批人员批复。批复分为两种情况，一种情况是判断操作申请合规，对操作行为予以同意，大部分操作申请都会导向放行。一种情况是审批人员判断操作申请不合规，因此对申请加以驳回，运维人员针对驳回意见可修改相关操作项，重新提交申请，直至申请被批复。

4、审批批准后会返回操作码。这时候运维人员可以使用任意客户端建立连接，用操作码进行注册，数据库安全管控平台判断操作码吻合后会放行，运维人员即可执行申请的操作。

数据库安全管控平台应用案例

某金融机构需要针对其核心资产库进行运维侧的管控，当前面临的几大问题主要是：

· 运维身份不便确定

· 数据库账户口令公开

· 传统手段存在局限性

· 缺乏规范的运维体系和管理流程

在引入安华金和数据库安全管控平台时，直接采用单点部署的方式将数据库运维管控平台置于运维端和核心数据库之间，实现了访问的有效控制，同时对访问者身份也可以做到清晰区分。通过行为审批系统，运维人员发起操作申请，审批人进行审批操作，可提前定义运维人员账户，并限制其能申请的数据库。在产品使用过程中，运维人员的操作行为不受限于数据库安全管控平台，仍然可以使用习惯的第三方工具进行操作，申请及审批流程清晰易用。归纳起来，金融机构引入数据库安全管控平台，在安全运维方面实现几大价值提升：

· 身份鉴别

· 运维审批

· 统一入口

· 规范流程

数据库安全管控平台以简单易用的特质有效应对数据库运维管控领域当前最迫切需要解决的问题，实现了安全运维领域的技术突破。

明星产品之数据库脱敏系统DBMasker

保障测试、开发与培训环境中敏感数据的无忧

安华金和数据库脱敏系统DBMasker一经推出市场，就受到了用户的关注，特别是金融、运营商等行业，因为涉及数据量庞大，敏感度高，更是行业用户的宠儿。

DBMasker金融领域的案例呈现

对于银行这类金融机构来说，发生数据泄露、损坏，不仅会直接带来经济损失，更重要的是将大大影响用户信任度。

①客户背景和需求

A行是某大型国有银行下属某市分行，属于一级分行，其下辖二级分行、管辖支行、直管支行、网点等全辖机构共计100余家，在该行后台数据库中，储存着大量的敏感信息，例如储户个人身份信息、银行账户信息、资金信息等数据，在银行的很多工作场景中都会得到使用，例如业务分析、开发测试、审计监管，甚至是一些外包业务等方面，均使用真实的业务数据和信息。如何在满足政策合规性的基础上，解决生产环境中敏感数据应用于非生产环境带来的数据脱敏需求，保证生产数据安全已经成为银行行必须面对的一个重要问题。

②痛点表现

过去，银行等金融机构为了对开发测试过程中使用的真实数据保护，曾采用手工编造数据的方式向非生产环境提供数据，由此产生的数据往往：

离散度、真实性和数据关系都无法得到保障

手工方式会额外消耗人工成本

流程难以规范处理

另一方面，银行总行将部分数据（脱敏后的）下发到各分行用于测试及开发，随着业务发展，更多分行的新应用已经完全不适合使用这些老旧数据进行测试，同步生产环境中的核心数据迫在眉睫。当前，银行等金融机构希望实现定期将生产环境中的新数据脱敏后导入开发测试环境，在保存数据原始特征的同时改变其数值，使数据仍可被业务正常使用，同时避免数据泄露的风险等一系列功能。

③通过应用案例实施看DBMasker的产品价值

产品——合规、高效、易用、规范

在充分了解该银行的数据使用场景后，实施人员使用安华金和数据库脱敏系统DBMasker对客户的核心生产库进行自动识别敏感数据，最大限度的对所有需要抽取的敏感数据进行自动脱敏，同时持续发现新的敏感数据。针对该银行的开发环境，脱敏方案配置为从全量数据中取大约5%的数据进行脱敏并同步至开发环境数据库，对姓名、住址、电话号等非条件字段进行随机替换处理。对身份证、银行账户等条件字段，按照确定性脱敏方式配置，以确保脱敏后的结果仍然相同。针对测试环境，实施方案中选择了仿真程度更高的脱敏策略，确保脱敏后的数据离散度、数据关联度获得保障，使功能测试可以覆盖到业务系统的所有场景，性能测试具有足够的数据及接近真实环境的数据分布。脱敏方案配置完成后，脱敏任务的执行交由运维部门定期完成，保障了各类敏感数据按照不同场景需求向其准确及时的提供。此外，产品具有符合用户交互习惯的图形化界面，使IT人员更容易操作，数据脱敏流程更加清晰。加上真实数据的可回溯性，实现了对重点客户的行为分析，可对银行的定向宣传等工作提供指导意义。

DBMasker数据库脱敏系统工作示意图

帮助客户——实现敏感数据防护、规范数据管理流程

该行通过使用DBMasker数据库脱敏产品，轻松梳理了系统中敏感数据，帮助DBA及安全部门定义了系统中需要进行脱敏保护的数据内容。不同的敏感数据使用者通过DBMasker产品，定制个性化数据脱敏方案，通过对同一敏感数据进行不同的脱敏算法策略配置，可轻易满足测试场景、开发场景、数据分析场景对于同类数据的不同精度及数据量要求。通过脱敏方案配置，实现敏感数据的脱敏处理，使所显示的数据高度仿真的同时不改变数据间的关系。对运维部门来说，可根据产品提供的脱敏任务管理，定期向不同业务部门提供脱敏后的数据，保证最新的生产数据经脱敏后可应用于非生产环境。