产品概述

安华金和数据库脱敏系统（简称DBMasker）是一款针对敏感数据进行数据抽取、数据漂白的专业数据脱敏产品。

DBMasker可以满足生产数据面向测试、开发、培训和数据共享场景的数据安全需求，做到“用”、“护”结合。

DBMasker广泛适用于金融和运营商等数据密集型和信息高敏感行业，在政府部门、涉密单位也有良好适用场景。产品符合金融行业、运营商行业、能源行业、政府部门对于数据使用和共享环境中的政策合规性需求。

产品价值

防止生产库中敏感数据泄露

DBMasker通过对生产库中的身份信息、地址信息、银行卡号信息、电话号码信息等敏感数据进行混淆、扰乱后再提供给第三方使用，防止生产库中的敏感数据泄露。

提升测试、开发和培训数据质量

DBMasker能够通过内置的策略和算法保证脱敏后数据的有效性（保持原有数据类型和业务格式要求）、完整性（保证长度不变化、数据内涵不丢失）、关系性（保持表间数据关联关系、表内数据关联关系），提升数据质量。

实现隐私数据管理的政策合规性

DBMasker有效帮助企业满足国际标准（PCI-DSS、HIPPA）、行业监管要求（如运营商和银行业对客户资料等信息在测试、开发环节的数据保护要求）中对敏感数据的使用规定，实现企业在测试和开发环节中对敏感数据的保护需求。

产品优势

漂白只是开始，完备脱敏解决方案

数据关系保持：实现表间数据关系、表内列间数据关系、数据分布保持。

数据子集抽取：实现基于百分比、时间或其它条件的数据抽取。

结构完整迁移：在数据脱敏到目的库的同时，将源表上的约束、索引、触发器迁移至目标表。

不仅仅是脱敏，全面敏感数据管理

DBMasker将数据脱敏流程分解为敏感数据发现、敏感数据梳理、脱敏方案制定、脱敏任务执行四大步骤，结合完善的敏感数据字典管理、数据发现算法管理、脱敏算法管理模块，实现全面的敏感数据管理。

敏感数据自动发现

根据内置规则自动搜寻敏感数据，减少人工工作量，防止遗漏隐私信息，在敏感数据发现的同时完成数据关系识别。

敏感数据梳理

在敏感数据发现的基础上对敏感数据进行分类确认，并对结果进行人工微调，以达到精细化的敏感数据管理。

 敏感数据字典管理

实现敏感数据类型的统一管理，保证组织内的敏感数据具有相同脱敏策略，保证跨系统的脱敏结果一致性。

功能只是基础，性能与易用才是真谛

简单设置，轻松复用

DBMasker通过自动发现、智能梳理、内置规则三项功能，使用户从复杂脱敏任务中解放出来，通过简单配置即可完成脱敏策略设计，进行脱敏任务管理。

从容应对大规模数据场景

最高脱敏速度可达每小时50GB以上

兼具断点续传和自动容错能力

历经数个超10T规模的高端案例考验

功能特性

数据脱敏

DBMasker支持全流程的静态数据脱敏：

DBMasker通过屏蔽、变形、替换、随机、格式保留加密（FPE）和强加密算法（如AES），针对不同数据类型进行数据掩码扰乱，并可将脱敏后的数据按用户需求，装载至不同环境中。提供文件至文件，文件至数据库，数据库至数据库，数据库至文件等不同装载方式。

数据子集

DBMasker提供多种数据子集抽取方式：包括基于事实表发起的百分比抽取方式；基于基础表中的身份、商品信息发起的向下延展的数据抽取方式；针对多表的灵活条件设定的抽取方式。

敏感数据管理

DBMasker提供全面的敏感数据管理功能，帮助组织实现有序、一致的可视化脱敏数据管理。

敏感数据发现

DBMasker按照用户指定或预定义的敏感数据特征，对数据进行自动识别，发现敏感数据以及数据之间的约束关系，为数据子集管理等功能提供了保障。

敏感数据字典管理

提供对敏感字段分类管理，对同类敏感数据实施统一的脱敏算法和策略，保证同一组织内跨系统、跨库之间的脱敏一致性；并支持敏感数据字典导入、导出等功能。

脱敏方案管理

DBMasker针对不同脱敏项目，可以配置定制化的脱敏策略，或实现脱敏算法的扩展；DBMasker可实现脱敏策略的导入导出，以实现策略复用。

脱敏任务管理

DBMasker可对脱敏任务进行停止、启动、重启、暂停、继续，支持任务并发。脱敏过程中可跳过异常数据，持续执行任务；支持脱敏任务的中断续延。

数据库、数据格式兼容

DBMasker兼容各类主流数据库，并且支持NoSQL等新型数据库及结构化文本数据的脱敏需求。

国际主流关系型数据库：

Oracle、SQL Server、Mysql、DB2、PostgreSQL、Informix、Sybase

国产关系型数据库：

DM、KingBase、GBase

NoSQL数据库：

键值数据库、列存数据库、文档型数据库

结构化文本数据：

CSV、TXT等文件类型

部署模式        

可将脱敏设备部署于生产环境与测试、开发、共享环境之间，通过脱敏服务器实现静态数据抽取、脱敏、装载。

在安全要求较高的场景下，可以在业务部门数据出口及测试部门数据入口分别部署脱敏服务器，通过offline的加密文件传输方式，将生产环境数据静态脱敏至非生产环境。

产品概述

安华金和数据库动态脱敏系统（简称DBM-D）是一款高性能、高扩展性的动态数据屏蔽和脱敏产品，在不需要对生产数据库中的数据进行任何改变的情况下，依据用户的角色、职责和其他IT定义规则，动态的对生产数据库返回的数据进行专门的屏蔽、加密、隐藏和审计，确保业务用户、外包用户、运维人员、兼职雇员、合作伙伴、数据分析、研发和测试团队及顾问能够恰如其分地访问生产环境的敏感数据。

DBM-D产品广泛适用于银行、证券、保险等金融机构，在政府部门、涉密单位也有良好适用场景。产品在国家等级保护、分级保护等领域均具有很强的政策合规性，同时能够满足企业在运维侧和应用侧的数据安全需求。

产品价值

防止运维环节中的敏感数据泄露

DBM-D可以根据数据访问者的身份提供不同程度的安全处理策略。对于来自非法客户端、非法IP以及非合规用户的访问行为，DBM-D可以进行阻断拦截；对于合法访问者访问高权限对象的行为，DBM-D可以实时动态进行脱敏掩码返回，并且可以做出访问行数限制，防止数据批量导出泄密。

提高数据共享安全性

DBM-D提供了具有高可靠性的动态掩码能力，采用代理部署方式，部署在业务应用系统、ETL、报表和开发、运维工具，和生产数据库之间；通过在数据库协议层的处理，实时的根据用户角色、和规则进行筛选，屏蔽敏感数据（脱敏）。下图展示了典型的动态脱敏效果：左侧为业务经理，获得了授权可以访问真实数据；中间为兼职的系统管理雇员，仅能查看经过屏蔽的敏感数据，但不影响其完成系统管理任务；右侧为开发、测试或分析人员，需要以特定的格式来访问数据，而不依赖数据的真实性。

实现隐私数据管理政策合规

随着《网络安全法》的颁布施行，对个人隐私数据的保护已经上升到法律层面。传统的应用系统普遍缺少对个人隐私数据的保护措施。

通过DBM-D脱敏产品，可以有效防止企业内部对隐私数据的滥用，防止隐私数据在未经脱敏的情况下从企业流出。满足企业既要保护隐私数据，同时又保持监管合规的双重需求。

产品优势

依托精准协议解析，准确识别敏感数据访问行为

DBM-D实现了对主流数据库类型通讯协议的“双向、全协议解析”，依托全面精准的SQL协议解析，能够准确地识别用户通过运维工具或应用系统对敏感数据的访问行为，不会在复杂语句、参数化语句、对象别名等复杂场景时遗漏对敏感对象的识别和控制。

多级管控手段，适应各种场景

DBM-D提供基于访问来源、时间、访问控制条件与动作、动态脱敏等多级管控手段，用户可灵活地结合多种管控手段配置防护规则，可以配置中断会话、阻断语句、动态脱敏返回等多种控制动作，能够广泛地适应内部运维、外部数据共享、业务系统保护隐私数据等各种场景。

丰富脱敏算法、保障数据可用性

DBM-D根据常见数据特征，结合同义替换、数据遮蔽、确定性遮蔽等多种掩码方式，内置了丰富的脱敏算法，并支持用户自定义脱敏算法，以便用户自由、灵活地设置脱敏算法，最大程度地保障数据的可用性。

稳健可靠的动态数据分享守护者

DBM-D通过改写对敏感数据访问的SQL语句来实现动态脱敏，将性能影响降至最低，不会影响业务系统的正常运行以及日常运维操作的时效性。

DBM-D提供双机高可用方案，消除因单台动态脱敏服务器出现故障带来的单点故障影响。

较低的性能损耗、稳定的运行能力和高可用方案，使DBM-D成为稳健可靠的动态数据分享的守护者。

功能特性

敏感数据自动发现

DBM-D能够按照用户指定的一部分敏感数据或预定义的敏感数据特征，对数据库中的数据进行自动的识别，发现敏感数据，并自动地根据规则对发现的敏感数据推荐最匹配的脱敏算法。

通过自动识别敏感数据，可以避免按照字段定义敏感数据元的繁琐工作，最大限度地减少人工操作带来的疏漏及错误，同时能够持续的发现新的敏感数据。

内置丰富脱敏算法

DBM-D根据不同数据特征，内置了丰富高效的脱敏算法，可对常见数据如姓名、证件号、银行账户、金额、日期、住址、电话号码、Email地址、企业名称、工商注册号、组织机构代码、纳税人识别号等敏感数据进行脱敏，内置脱敏算法如下：

同义随机替换，使用相同含义的数据替换原有的敏感数据，如身份证号脱敏后仍然为有意义的身份证号，Email地址脱敏后仍然为Email地址。

数据遮蔽，将原数据中部分或全部内容，用“*”或“#”等字符进行替换，遮盖部分或全部原文。

同义确定性替换，确保在运行屏蔽后生成可重复的屏蔽值。可确保特定的值（如，客户号、身份证号码、银行卡号）在所有数据库中屏蔽为同一个值。

自定义脱敏算法

用户可根据自身的数据特征和政策合规、应用系统等需要，定义专门的脱敏算法。

DBM-D为用户提供高自由度的自定义算法发挥空间，既可以根据现有算法略作修改就投入使用，也可完全编写全新的脱敏算法。

脱敏规则

脱敏规则是将敏感数据进行动态脱敏处理的规则，脱敏规则包含了敏感数据特征以及对于这类数据的脱敏算法。用户可灵活地结合多条脱敏规则、排列优先级，有针对性地满足脱敏需求。

DBM-D能够对访问者的身份进行鉴别，并能进行权限划分，支持的鉴别方式：访问IP、MAC、数据库用户、客户端工具、操作系统用户、主机名、时间、影响行数等。

控制规则

DBM-D可以配置访问控制规则来防止恶意操作或误操作，保护数据资产免遭意外损失。

• 对数据库中无Where条件的update、delete及含有truncate、drop等的危害操作进行监控。

• 对各种批量操作以及在规则中增加返回行数和影响行数因素进行监控。

• 对系统表和高危操作进行监控。

• 对数据查询和下载数量、敏感数据访问的用户、地点和时间等进行监控和及时告警。

• 对于监控项目，可增加自定义阻断策略，防止问题再次发生。

脱敏审计

DBM-D可设置是否审计脱敏行为。

DBM-D能够审计到SQL语句（脱敏前）、访问来源信息、SQL语句信息及受影响对象，并提供详细的语句详情页面。

部署方式