安华金和数据库风险评估系统（DSAS）是一款协助用户排查数据资产分布，掌握敏感数据使用状况，了解数据风险现状，并能辅助用户进行数据分类分级的集数据资产管理、数据风险管理、数据使用管理为一体的综合数据安全产品
在数据安全治理(DSG)的框架中，“摸清数据家底”是进行数据安全治理，数据安全建设的重要前提。无论是制定具体的数据安全管理制度，还是就数据安全防护产品设置规则，都离不开对环境内数据分布和数据的使用状况，风险状况的掌握。DSAS可以自动扫描环境内的数据库分布；可以根据内置数据特征，扫描数据环境中敏感数据的分布；可以根据网络流量分析，提供敏感数据访问状况与风险状况详情，使用户可以真正的了解自身的数据状况

另外DSAS还包含了风险扫描能力，通过内置规则库，可以对数据环境中的漏洞情况，配置缺陷情况，数据库的弱口令情况进行扫描检测，提供多维度的扫描报告与修复建议，使用户能够及时准确的掌握风险状况并进行修复加固。在上述的基础上，DSAS提供了针对数据的半自动分类分级能力与针对数据存储环境整体的综合评估机制，使用户可以完成对数据资产的全方位掌握

对于存在海量数据资产的企业来说，如何发现有价值的数据都是一大难题，然而无论是数据的安全管理者或是使用者都无法对数据资产做到全量的盘点梳理，以及对存在的敏感数据使用情况管理
DSAS基于网络嗅探技术，自动发现网络、分支网络及广域网WAN边界中的所有数据库梳理数据资产清单、管理数据资产基础信息、提供数据资产的敏感等级管理以及提供敏感数据资产的使用和分布情况

掌握敏感数据在数据库中的分布，是实现管控的关键。只有梳理清楚敏感数据在数据库中的分布,才能针对分布特征采取安全管控策略,对该数据库的运维人员采取安全管控措施，对数据的导出采取具体的去标识化策略，对数据的存储采取加密安全方案

DSAS能够全盘梳理敏感数据在数据库中分布，对敏感数据类型进行统计分析、敏感特征数据模型管理、敏感数据量级统计、敏感数据所属业务系统及部门备案核实管理，帮助用户有针性地对数据库实现安全管控策略，如内部运维人员访问敏感数据实现安全管控措施,在数据共享中实现敏感信息去标识化策略管理中辅助用户准确定位敏感数据,对数据的存储实现加密安全方案。DSAS提供敏感数据字典，用于识别数据类型，并进行敏感数据判断

资产、脆弱性、威胁这三个要素决定着企业数据资产的风险情况，分别代表着企业资产的价值、发生安全事件的可能损失和发生安全事件的可能性
因此我们从以上三个要素入手，为资产价值、脆弱性和威胁性进行赋值、评估和分析，三要素之间的相互影响，综合评估计算安全事件发生的可能性和带来的损失,形成最终的风险评估结果。根据风险评估结果，为用户输出风险评估报告，并提供合理、有效的修复建议

数据分类是指根据业务特点对产生、采集、加工、使用或管理的数据进行分类，以便管理和维护，数据分级是在数据分类的基础上，再按照重要性、敏感程度、影响程度等标准将数据分为重要数据、一般数据、敏感数据等，以维护隐私安全和最小化成本
DSAS 内置了通用的行业分类分级规则，帮助企业实现数据分类分级管理，帮助行业理清数据资产、确定数据重要性或敏感度，协助企业有针对性地采取适当、合理的管理措施和安全防护措施，形成一套科学、规范的数据资产管理与保护机制，从而在保证数据安全的基础上促进数据开放共享

数据库资产识别完成后，DSAS 根据数据库、敏感数据、数据库账户等因素对资产价值进行评估，形成资产价值的评估值
用户可以使用标签标记资产，以便进行资产管理，例如“业务数据库”“测试数据库等。另外，DSAS 提供预置标签，也支持用户自定义标签

很多大型组织的内部信息化系统通常涉及数百个应用系统，背后有近千个数据库做支撑如政务、能源、金融行业等，往往存在着数据库数量不清，数据库中敏感数据分布不明，敏感数据访问权限不详等情况，需要资产识别工具将数据库信息理清，例如了解每个数据库在被哪个应用、哪些部门管理，敏感数据分布在哪个数据库、哪些表中、高权限账号的使用情况等，理清后才能客观分析，对资产进行价值评估和实施相应的保护措施

数据库发现：基于网络嗅探技术，可自动寻找发现网络环境中存在的数据库

敏感数据发现：基于特征匹配的敏感数据探测技术,可自动梳理数据库中敏感数据分布

数据库账户发现：基于数据库扫描技术，可自动发现数据库中账户权限分布情况

关键数据库中通常包括成千上百个表和列，要保护其中的核心数据资产，首先要了解核心数据资产的分布。DSAS 提供敏感数据探测功能，根据敏感数据特征模型，扫描数据库的表和列，自动识别数据库中的敏感数据
支持识别常规敏感数据：客户信息、交易信息等，例如身份证、地址、电话号码、邮件地址、银行账号、信用卡号
支持识别特殊敏感数据：具有企业、行业的业务特点的敏感数据，例如配方、供应商等。DSAS 将识别到的敏感数据生成“敏感数据分布报告”，格式请参考下表：

数据分类是数据保护工作中的一个关键部分，是建立统一、准确、完善的数据架构的基础，是实现集中化、专业化、标准化数据管理的基础。行业机构按照统一的数据分类方法,依据自身业务特点对产生、采集、加工、使用或管理的数据进行分类，可以全面清晰地厘清数据资产，对数据资产实现规范化管理，并有利于数据的维护和扩充。数据分类为数据分级管理莫定基础
数据分级是以数据分类为基础,采用规范、明确的方法区分数据的重要性和敏感度差异并确定数据级别。数据分级有助于行业机构根据数据不同级别，确定数据在其生命周期的各个环节应采取的数据安全防护策略和管控措施，进而提高机构的数据管理和安全防护水平，确保数据的完整性、保密性和可用性
从隐私安全与保护成本的角度出发，具体等级定义可分为以下几种：

敏感数据：通过该类数据可直接识别特定用户，是与用户生活紧密相关的数据；

重要数据：通过该类数据可以得知产品商业价值等,是需谨慎使用的用户相关数据、产品核心数据；
一般数据：支撑业务逻辑及运行的数据，通过统计、分级、加工不会对用户或公司利益产生影响；
DSAS 帮助企业实现数据分类分级管理，帮助行业机构厘清数据资产、确定数据重要性和敏感度。通过分类分级可以有针对性地采取适当、合理的管理措施和安全防护措施，形成套科学、规范的数据资产管理与保护机制，从而在保证数据安全的基础上促进数据开放共享
DSAS 可以结合人工对敏感数据进行分类和等级划分,便于用户根据不同需要对数据资产进行重点防护

主流数据库系统大多功能庞大且结构复杂，在提供强大的数据管理服务能力的同时，也暴露出众多的安全漏洞
DSAS 通过使用默认的安全评估策略对数据库进行安全检测，对检测到的漏洞能提供其类别、危害等级、详细描述和解决方案建议，并能够生成统计分析报表：可对包括国产数据库在内的账号弱口令进行扫描，同时可发现缓冲区溢出和 SQL注入等安全漏洞进行渗透检测验证
DSAS 支持 1500 以上的安全漏洞库，支持 4500 以上的安全检测点：覆盖 DBMS 漏洞、管理员维护漏洞、程序代码发现外部黑客攻击漏洞，防止外部攻击
DSAS 提供策略的管理功能，用户可以定制扫描项目和属性，根据漏洞类型分成：弱口令、缺省口令、配置缺陷、数据发现、脆弱点、易受攻击代码、操作系统相关漏洞、程序后门、审计漏洞、补丁等；根据风险级别，分为严重、中等、普通、警告、参考信息；将策略分类管理，可满足不同安全等级检查的需要，如等级保护、行业等保以及军队等级保护等

数据库配置缺陷是指由于数据库或系统的安全配置设置不正确或缺省配置，造成的安全缺陷或风险点
数据库安全配置的缺陷程度，是评估数据库安全状况检查的一个关键要素，DSAS 可以识别数据库配置缺陷造成的安全缺陷或安全风险

数据库弱口令是指账号口令的安全强度不符合安全性要求，例如口令“000000”很容易被破解
DSAS 支持弱口令的安全评估，提供1万多个口令爆破库，堆弱口令进行快速检测

丰富的弱口令字典库比对，即时展现不安全的口令设置基于各种主流数据库口令生成规则，实现口令匹配扫描,规避基于数据库登录的用户锁定问题和效率问题;提供基于字典库，基于规则，基于穷举的多种模式实现弱口令检测

提供 2000 万弱口令字典库，兼容 CSDN 口令库。提供国产数据库两种弱口令扫描方式，授权弱口令扫描：提供数据库用户、密码，全新扫描方式急速、安全。非授权弱口令扫描：无数据库权限，也能够扫描
综合多种扫描策略
包括 70 万海量弱口令字典、自定义弱口令字典、用户名相关弱口令、按长度和字符暴力破解

目前很多企业缺乏对业务系统中的大量敏感信息使用情况的监控,尤其是内部数据库维护人员、第三方厂商维护人员都有可能被他人利用，借助自己的职权，通过窃取敏感数据卖给第三方从而获得经济利益，这些行为都将直接影响企业的信誉度，所以动态监控敏感数据访问源、访问路径、访问行为成为企业一重大难题

通过访问流量 SQL 解析技术，DSAS 动态监控应用侧、内部运维侧及开发测试的访问行为，对访问敏感数据的频次进行热度分析，尤其是个人信息、企业信息、信誉信息等敏感数据的访问情况，帮助企业对管理资产的访问源、访问路径、访问行为进行动态监控，有助于安全部门更清晰了解内部人员日常如何使用数据，被谁管理和维护。根据动态梳理的结果可针对性地采取适当、合理的管理措施和安全防护措施，形成一套科学、规范的数据资产管理与保护机制

敏感数据的使用监控是指针对应用系统运行、开发测试、对外数据传输和前后台操作等使用环节，根据定义的敏感数据使用规则对数据的流转、存储与使用进行监控，及时发现违规行为并进行下一步处理，具体如下：
访问源：对访问数据库、访问敏感数据的数据库用户、应用信息、主机信息、客户端IP地址等访问源进行统计分析，根据分析结果绘制数据库的日常访问拓扑图
数据流向分析：持续监控数据库敏感数据使用情况,为用户动态梳理敏感数据被哪些人、哪些业务系统、通过何种途径、在什么时间所访问，并汇总动态梳理结果，形成敏感数据流向图
访问行为：对访问数据库、访问敏感数据的操作行为如SELECT、DML、DCL、DDL等类型的操作统计分析
访问热度：对访问数据库、访问敏感数据的日常访问流量和频次进行统计分析并绘制热度分析统计图
静默资产：按周期统计各业务系统资产中的访问频次低或无任何访问的数据库、对象（表、视图、存储过程、所数）

DSAS 对数据库账户的权限进行梳理，自动发现数据库中账户权限分布情况，监控权限变化，并定期检查数据库权限是否满足最小授权原则。DSAS 提供用户维度和对象维度的数据库账户权限梳理

用户维度：可以监控数据库中的用户的启用状态、权限划分、角色归属等基本信息

对象维度：能够对数据库中的对象可被哪些用户访问的情况进行归纳总结，特别是对包含了敏感列的表或者敏感度评分较高的对象，可以着重监测其访问权限划分情况

对于信息安全政策要求严格的单位，DSAS采用持续的数据库权限状况监控功能，突破传统产品仅作为数据库安全检查工具的限制，能有效体现用户变更状况，权限变更状况等安全状况，建立安全基线，实现安全变化状况报告与分析和定性与定量结合的评估模型

数据库资产是有价值的,业务对资产对依赖程度越高,资产价值就越大。资产价值越大，原则上则其面临的风险越大，决定数据资产价值高低的往往是数据的重要程度和数据占比。资产价值评分要素包括敏感数据的类型、敏感表占比和敏感数据量级三部分，可以从表总量、字段总量、敏感表1敏感字段、感表行数、敏感数据量占比、敏感数据类型等级、敏感数据类型占比中等因素中分析得出

对于要求高吞吐量、高性能敏感度、高稳定性的业务系统，将 DSAS 旁路物理部署于网络中，持续监控系统的访问行为，并对安全事件进行事后分析
DSAS 通过交换机镜像的数据流量实现对数据库行为的旁路监听，完全独立于数据库部署，不影响数据库的正常使用

DSAS 支持虚拟机环境部署（如 VMware、KVM 等）。在无法通过交换机镜像引流时，将 RMAgent插件部署于数据库服务器中，RMAgent从数据库服务器获取流量并将其通过网络发送给 DSAS，以完成数据采集