產品概述
安華金和數據庫動態脫敏系統(簡稱DBM-D)是一款高性能���、高擴展性的動態數據屏蔽和脫敏產品��,在不需要對生產數據庫中的數據進行任何改變的情況下����,依據用戶的角色�、職責和其他IT定義規則�����,動態的對生產數據庫返回的數據進行專門的屏蔽��、加密��、隱藏和審計�����,確保業務用戶��、外包用戶����、運維人員���、兼職雇員����、合作伙伴�、數據分析��、研發和測試團隊及顧問能夠恰如其分地訪問生產環境的敏感數據�。
DBM-D產品廣泛適用于銀行���、證券���、保險等金融機構��,在政府部門���、涉密單位也有良好適用場景�。產品在國家等級保護�����、分級保護等領域均具有很強的政策合規性�����,同時能夠滿足企業在運維側和應用側的數據安全需求��。
產品價值
防止運維環節中的敏感數據泄露
DBM-D可以根據數據訪問者的身份提供不同程度的安全處理策略��。對于來自非法客戶端���、非法IP以及非合規用戶的訪問行為����,DBM-D可以進行阻斷攔截�;對于合法訪問者訪問高權限對象的行為�����,DBM-D可以實時動態進行脫敏掩碼返回�����,并且可以做出訪問行數限制�����,防止數據批量導出泄密��。
提高數據共享安全性
DBM-D提供了具有高可靠性的動態掩碼能力���,采用代理部署方式��,部署在業務應用系統�、ETL�����、報表和開發�、運維工具����,和生產數據庫之間�;通過在數據庫協議層的處理��,實時的根據用戶角色���、和規則進行篩選���,屏蔽敏感數據(脫敏)���。下圖展示了典型的動態脫敏效果:左側為業務經理����,獲得了授權可以訪問真實數據����;中間為兼職的系統管理雇員���,僅能查看經過屏蔽的敏感數據���,但不影響其完成系統管理任務�;右側為開發����、測試或分析人員���,需要以特定的格式來訪問數據��,而不依賴數據的真實性���。
實現隱私數據管理政策合規
隨著《網絡安全法》的頒布施行�,對個人隱私數據的保護已經上升到法律層面��。傳統的應用系統普遍缺少對個人隱私數據的保護措施�。
通過DBM-D脫敏產品����,可以有效防止企業內部對隱私數據的濫用����,防止隱私數據在未經脫敏的情況下從企業流出�。滿足企業既要保護隱私數據�����,同時又保持監管合規的雙重需求�。
產品優勢
依托精準協議解析�����,準確識別敏感數據訪問行為
DBM-D實現了對主流數據庫類型通訊協議的“雙向�、全協議解析”���,依托全面精準的SQL協議解析�����,能夠準確地識別用戶通過運維工具或應用系統對敏感數據的訪問行為��,不會在復雜語句�、參數化語句��、對象別名等復雜場景時遺漏對敏感對象的識別和控制��。
多級管控手段�,適應各種場景
DBM-D提供基于訪問來源��、時間��、訪問控制條件與動作���、動態脫敏等多級管控手段����,用戶可靈活地結合多種管控手段配置防護規則���,可以配置中斷會話�����、阻斷語句��、動態脫敏返回等多種控制動作�,能夠廣泛地適應內部運維�、外部數據共享��、業務系統保護隱私數據等各種場景����。
豐富脫敏算法���、保障數據可用性
DBM-D根據常見數據特征��,結合同義替換���、數據遮蔽��、確定性遮蔽等多種掩碼方式����,內置了豐富的脫敏算法�,并支持用戶自定義脫敏算法�,以便用戶自由�、靈活地設置脫敏算法�,最大程度地保障數據的可用性����。
穩健可靠的動態數據分享守護者
DBM-D通過改寫對敏感數據訪問的SQL語句來實現動態脫敏�����,將性能影響降至最低�,不會影響業務系統的正常運行以及日常運維操作的時效性�。
DBM-D提供雙機高可用方案���,消除因單臺動態脫敏服務器出現故障帶來的單點故障影響����。
較低的性能損耗�����、穩定的運行能力和高可用方案����,使DBM-D成為穩健可靠的動態數據分享的守護者��。
功能特性
敏感數據自動發現
DBM-D能夠按照用戶指定的一部分敏感數據或預定義的敏感數據特征����,對數據庫中的數據進行自動的識別�,發現敏感數據����,并自動地根據規則對發現的敏感數據推薦最匹配的脫敏算法����。
通過自動識別敏感數據�����,可以避免按照字段定義敏感數據元的繁瑣工作��,最大限度地減少人工操作帶來的疏漏及錯誤�����,同時能夠持續的發現新的敏感數據��。
內置豐富脫敏算法
DBM-D根據不同數據特征��,內置了豐富高效的脫敏算法�����,可對常見數據如姓名�����、證件號�、銀行賬戶��、金額���、日期�、住址���、電話號碼���、Email地址����、企業名稱�、工商注冊號����、組織機構代碼���、納稅人識別號等敏感數據進行脫敏�����,內置脫敏算法如下:
同義隨機替換��,使用相同含義的數據替換原有的敏感數據�,如身份證號脫敏后仍然為有意義的身份證號�,Email地址脫敏后仍然為Email地址�。
數據遮蔽�����,將原數據中部分或全部內容��,用“*”或“#”等字符進行替換��,遮蓋部分或全部原文�。
同義確定性替換��,確保在運行屏蔽后生成可重復的屏蔽值����?�?纱_保特定的值(如����,客戶號���、身份證號碼����、銀行卡號)在所有數據庫中屏蔽為同一個值���。
自定義脫敏算法
用戶可根據自身的數據特征和政策合規��、應用系統等需要����,定義專門的脫敏算法�。
DBM-D為用戶提供高自由度的自定義算法發揮空間���,既可以根據現有算法略作修改就投入使用���,也可完全編寫全新的脫敏算法�����。
脫敏規則
脫敏規則是將敏感數據進行動態脫敏處理的規則��,脫敏規則包含了敏感數據特征以及對于這類數據的脫敏算法��。用戶可靈活地結合多條脫敏規則���、排列優先級����,有針對性地滿足脫敏需求��。
DBM-D能夠對訪問者的身份進行鑒別�����,并能進行權限劃分�����,支持的鑒別方式:訪問IP�����、MAC��、數據庫用戶��、客戶端工具��、操作系統用戶�、主機名�、時間�、影響行數等��。
控制規則
DBM-D可以配置訪問控制規則來防止惡意操作或誤操作��,保護數據資產免遭意外損失���。
對數據庫中無Where條件的update����、delete及含有truncate����、drop等的危害操作進行監控����。
對各種批量操作以及在規則中增加返回行數和影響行數因素進行監控�。
對系統表和高危操作進行監控�����。
對數據查詢和下載數量����、敏感數據訪問的用戶�、地點和時間等進行監控和及時告警�����。
對于監控項目���,可增加自定義阻斷策略�,防止問題再次發生����。
脫敏審計
DBM-D可設置是否審計脫敏行為���。
DBM-D能夠審計到SQL語句(脫敏前)�����、訪問來源信息���、SQL語句信息及受影響對象�����,并提供詳細的語句詳情頁面�����。
部署方式
性能特點
