中国数据库安全市场全景图2

中国数据库安全市场全景图

产品技术标准

数据脱敏和数据库防护产品目前遵照监管检验部门的内部检验规范和要求，暂时还没

有形成独立的国家标准和行业标准，因此，目前这两类产品销售许可证也无基本级和增强级

之分，从持证厂商数量的变化上可以明显看到，近三年数据库安全领域呈现了良好的发展势

头，技术方向也由一直以审计为主向细粒度的内容控制方向外延，其中：

数据脱敏产品近三年持证厂商数量分别为：37 家、29 家、8 家；

数据库安全防护产品近三年持证厂商数量分别为11 家、7 家、1 家；

未来随着数据安全领域政策要求和客户需求的不断细化，市场将逐步进入高速成长

期。

典型应用场景

应用场景1：数据脱敏

（由闪捷信息提供）

客户痛点

1.敏感信息泄露：在数字化时代，数据成为继土地、劳动、资本之后新的生产要素，数据更

频繁地进行交换和应用，存在敏感信息泄漏的风险。

2.安全合规要求：近几年，与数据安全相关的法律法规，行业规范密集出台，反映了国家层

面对数据安全高度重视，对企业在数据安全方面提出了更高要求。

3.对体验的影响：动态脱敏通常应用在实际的业务环境中，为了对业务影响最小，要求脱敏

过程能够实现更低的延迟。

4.细粒度管控：按照最小权限原则，企业对敏感数据的管控粒度应能精确到个人。这要求脱

敏过程能够基于用户的身份实施脱敏策略。

5.大流量环境：数字化时代，云计算变得更加普及，云端承载的应用系统服务着亿万用户，

这样的业务量对脱敏性能提出了更高要求。

产品关键特性

1.基于用户“身份”脱敏：支持多重因素的策略，实现不同身份用户的不同访

问效果；同时可以做到应用系统用户级的脱敏权限控制，权限控制精度从“人

群”到“人”。

2.集群化部署：脱敏系统支持集群化部署，能够根据业务量进行横向扩展，支

持大业务量的脱敏需求，也提高了整体的可靠性。

3.智能加速：智能加速技术能够加快脱敏过程，数据脱敏前后的SQL 请求时

延低至毫秒级，对客户原有的业务操作体验几近无影响，可以在无感知中保护

客户的敏感数据安全。

4.全面的数据库支持：支持17 种数据库类型，以及大数据组件，可以应用于

更多场景，为更多类型客户服务。

5.高脱敏准确率：能够快速、精准的定位到复杂的SQL 的敏感数据列，大幅

提升敏感数据的识别精度。

客户关注的主要功能

1. 丰富的脱敏算法：动态数据脱敏系统内置丰富、高效的脱敏算法，其中可分

为替换、随机、仿真三大类算法。

2. 安全规则管理：安全规则是闪捷动态数据脱敏系统的核心，敏感数据的脱敏

都由一条条安全规则组合协作完成。安全规则以规则树的形式进行管理，规则

树上支持扩展规则组与规则。

3. 敏感数据自动发现：支持数据库中敏感数据的自动检索和发现，简化客户手

动配置敏感数据字段的过程，支持生成脱敏规则。

4. 数据资产管理：支持添加、修改、删除数据资产，并可以对已经添加的数据

资产进行连接测试，还可以显示数据源的状态信息。

5. 支持接口(API)的数据脱敏：能够对API 形式调用数据的行为进行解析和监

控，并自动分析其中包含的敏感数据，自动对其中的敏感数据进行数据脱敏。

应用场景2：数据脱敏

（由世平信息提供）

客户痛点

1.金融、证券、运营商以及政府等数据密集型和数据高敏感行业业务生产系统积累了大量包

含账户、联系方式、身份证号等敏感信息的数据，数据如果发生泄露、损坏，不仅会给单位

带来经济上的损失，而且会给单位的声誉带来负面影响。客户要求屏蔽业务数据中的敏感信

息，保障生产数据在非生产环境中的安全使用，防止敏感信息泄露。2.在借助数据脱敏技

术，屏蔽敏感信息的同时，还应使屏蔽的信息保留其原始数据的格式和属性，以确保应用程

序在使用脱敏数据的开发与测试过程中正常运行。3.建立完善的安全管理流程,建立银行内

部完善统一的脱敏机制与管理流程,管理与技术无缝结合,避免数据泄漏的风险。

产品关键特性

1. 数据标识无依赖。不依赖元数据、字段内容定义或其它数据标识，智能扫描数据内容，

发现敏感信息。2. 数据属性保留。脱敏结果在相当程度上代表原始数据的业务属性，实现

数据可读性保留、完整性保留、关联性保留。3. 支持多源异构数据源。支持国内外主流的

数据库，如Mysql、Oracle、SQLServer、DB2、、Infomix 等；以及格式化数据文件，如

CSV、Excel、TXT、DUMP 文件等。4. 异构跨库能力。数据类型归一化处置；异构数据库

装载及不同数据库之间实现屏蔽结果装载能力。5. 快速高效。采用 Spark 内存运算框架，

大幅提升基于内存运算下海量数据的运算效率。6. 验证与审计。验证与审计隐私数据是否

被有效脱敏，并检测故障，确保核心敏感数据不在脱敏前被暴露。

客户关注的主要功能

1. 数据智能发现。自动扫描并定位敏感数据，建立隐私数据模型。

2. 数据梳理识别。进行敏感数据匹配，剔除错误数据，保证隐私数据模型准确性。

3. 数据联动关系保障。脱敏后的各种表格中数据关联关系依然保持一致，只需在一个表中

应用替换算法，其它表格中客户相关信息同时进行自动更改。

4. 数据自动抽取。根据生产系统的元数据定义，从数据库中抽取数据。

5. 数据高效脱敏。内置隐私数据模型规则，自动根据元数据中隐私数据的定义，对相应的

数据进行脱敏变形。

6. 数据分发。面向不同的元数据，完成库到库、文件到库、库到文件、文件到文件的数据

分发，同时支持对目标源的自动校验。

应用场景3：数据库安全防护

（由安华金和提供）

客户痛点

1、如何防止恶意删除数据、批量泄露数据、非法篡改数据等高危操作的安全事件发生；

2、如何防止黑客利用数据库漏洞攻击数据库；3、如何对应用侧、运维侧访问来源明确划

分，根据不同访问来源控制不同的数据访问权限；4、面对复杂运维人员结构，如何有效管

理运维人员身份及其访问数据库权限，如何标识所有操作到具体运维人员，保障日后出现安

全问题时有据可溯；5、如何最大化保障数据库用户、密码不被运维人员知晓，从而根本保

护数据库安全；6、如何在不影响正常运维操作的同时，能够对核心敏感数据脱敏。

产品关键特性

1、精准防护，防止高危操作发生

基于协议解析+语法解析技术，精准解析SQL 语句中的对象、参数、操作类型等，通过策

略引擎极速匹配防护规则，及事中的拦截、阻断控制能力，有效针对影响数据行数阈值、数

据修改、删除操作、nowhere 整表更新、指定对象的高危操作等，进行精准防护。

2、应用侧访问权限控制

基于对SQL 词法语法精确解析的应用关联技术，高并发会话情况下，仍能准确关联应用端

信息，实现应用用户和源IP 的关联防护，有效对应用侧访问数据库操作权限进行事中控

制。

3、漏洞攻击防护

系统内置600+虚拟补丁，将数据库漏洞30 种类别，如缓冲区溢出、权限提升、游标注入

等，开启虚拟补丁规则，对利用数据库漏洞发生的攻击行为进行有效拦截、阻断。

4、机器学习建模，构建黑白名单

学习期系统针对访问行为捕获全量的SQL 语句，归类形成SQL 语句模板，建立信任语句规

则，学习期结束后自动进入保护期，根据学习期自动建立防护规则，创建黑白名单，从而构

建数据库安全防护模型。

5、运维人员身份管理

通过硬Ukey、软证书、Web 页面认证等手段，对运维人员进行身份交付，对不同身份的

运维人员进行不同权限控制，达到运维人员数据库访问权限最小化控制，最大范围阻断控制

运维人员对数据库、数据资产访问操作的运维管理目标。

客户关注的主要功能

1、在不影响应用业务、运维访问、操作数据库性能的前提下，系统通过灵活、丰富的防护

策略精准进行数据的访问控制，并对操作行为进行审计，为事后追溯提供有效证据。

2、无需安装任何插件的数据库密码代填能力，可与现有AD 域用户、密码管理系统、OA

平台对接，不仅有效管理数据库用户、密码，而且实现一套用户密码可登录业务系统、服务

器之外，还能实现数据库登录准入。

3、系统内置的漏洞特征库，防止黑客利用数据库漏洞，进行SQL 注入，“刷库”批量导出

敏感数据等安全事件的发生。

4、通过事前申请审批，规范运维数据操作流程；事中防护，防止高危操作发生；事后审

计，有效进行追溯，这些能力弥补传统运维堡垒机在数据安全运维方面的额不足，全面保障

数据库运维安全。

应用场景4：数据库审计

（由昂楷科技提供）

客户痛点

1.数据库传统防护手段对数据库性能影响较大，审计日志分析复杂，效率低下，且审计信息

易被篡改；

2.运维人员监管不完善，无法保证运维工作合规，缺乏对运维人员高效、准确的监控和审计

手段；

3.账号权限的滥用，通过职务之便恶意滥用权限对数据库带来安全隐患；

4.无法定位三层架构下的用户账号，发生安全事件后无法完成追溯；

5.等保2.0 对数据库审计有着明确要求。

产品关键特性

1.强大的数据库兼容性: 支持国内外主流的关系型、非关系型数据库，支持同时对不同类型

的数据库审计；业内唯一全面支持后关系型数据库Caché，并率先支持大数据Hbase，工

控数据库IP21，内存数据库HANA、Redis 的审计； 2.丰富的审计规则：系统内置2000+

的审计规则，可解决70%常见的审计行业问题；并支持创建自定义规则，解决实际用户环

境的特殊、复杂的审计需求；3.全面性深度审计：支持常见SQL 语句、复杂SQL 语句深度

审计；可实现数据库中加密身份字段内容识别；拥有双向审计能力，轻松掌握请求语句及返

回结果的高度完整内容；4.实时精准防护：支持多种方式实时进行行为告警，可对违规行为

精准拦截阻断，配备智能AI，自动分析风险行为，智能建模自动下放；5.云环境下安全审

计：通过在数据库虚拟主机上部署Agent（插件小于2M），解决在复杂网络环境中无法引

流的问题,还可通过基于各种云平台的虚拟交换机vSwitch 引流技术以及网络三层协议GRE

隧道引流技术，实现云环境下安全审计。

客户关注的主要功能

1.独特三层架构解析：支持B/S、C/S，以及带COM/DCOM/COM+组件方式的三层架构

审计，独创“六元组”组件关联技术，精准定位至人；2.高性能处理架构：支持海量数据在

线查询，采用高效SQL 解析引擎，入库性能可达5 万条/秒；并可完成亿级数据秒级检索；

3.独特报表功能：可根据合规性要求，输出不同类型的报表；亦可根据审计人员关心的主要

问题，可自定义符合需求的策略规则输出报表，维度可达到10+，快速统计出客户所需的

信息。4.审计语句分析翻译：提供专业的数据分析和翻译界面，以直观和易懂的语言显示审

计的结果及语意关系，方便非专业技术人员的查看。5.敏感数据加密：对审计结果中敏感数

据隐秘，非授权的用户不能正常查看隐秘数据，防止重要数据在数据库审计设备中导致的二

次泄密问题；

厂商列表