方舱医院是以医疗方舱为载体，医疗与医技保障功能综合集成的可快速部署的成套移动医疗平台，具有紧急救治、外科处置、临床检验等多方面功能。由于机动性良好、部署快速、环境适应性强等诸多优点，能够适应突发的应急医学救援任务，在公共卫生疫情应急救治保障中发挥着重要作用。为配合疫情防疫救治工作，根据江苏省委省政府、盐城市委市政府对新冠肺炎疫情防控部署，盐城市建设方舱医院。医院严格按照国家相关政策、依托盐城市第一人民医院进行建设，设有1500张床位，医疗设备配备齐全。作为保障方舱医院高效运行的重要基础设施，以疫情分析系统为主的配套医疗信息化系统正同步建设，以此实现对传染病病人的发现、诊断、诊疗、会诊、隔离管理、康复随访以及数据分析的全流程闭环管理。一、需求背景同时，根据国家政策要求，方舱医院需要从自身实际信息安全情况出发，进行实际有效方舱医院医院信息安全建设。《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》中明确指出，要充分利用信息化对疫情防控的支撑作用，更要加强基础和安全保障。“以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点，畅通信息收集发布渠道，保障数据规范使用，切实保护个人隐私安全，防范网络安全突发事件，为疫情防控工作提供可靠支撑。”现阶段新冠肺炎形式依旧严峻，大数据在疫情追踪、溯源与预警、辅助医疗救治及辅助决策等方面发挥了积极作用，但同时也存在一定风险：医院现有的多个信息系统中存储着大量个人信息数据，包含姓名、身份证、手机号、家庭住址、核酸信息等敏感数据，同时这部分信息系统安全防护能力薄弱，存在数据信息被窃取、篡改、泄露等风险。不同等级敏感数据的共享与开放涉及多个方面，包含安全防护、保密、监管等保障问题，方舱医院的疫情分析系统集成了个人姓名、身份证、联系方式、住址等敏感信息，在交通出行、就医就诊、复工复产等领域大量应用，复杂的应用场景和移动终端为数据安全带来了巨大挑战。同时在人员管理方面，数据的采集、传输、存储、共享、应用整个生命周期中涉及部门、人员较多，如果管理制度和措施不明确容易导致不可控的人为风险，比如非法授权访问，篡改数据，非法下载敏感数据、非法交易等，将导致单位失去公信力度以及承担相关的法律责任。二、解决方案基于上述需求，美创科技通过对医院现有业务环境进行分析评估，从数据安全角度出发，通过部署数据库防水坝系统以解决当前复杂的运维难题，满足数据库安全运维管理需求。部署示意图对敏感数据分类分级，设置访问权限，对不同角色分配不同的访问权限。隔离DBA及大权限用户，防止权限过大的访问敏感数据。比如，将普通医生只能查看本室患者病历，不能查看医生的工资等其他信息；医院财务只能调用财务数据、绩效考核等，无法获取患者隐私数据等；对DBA和驻场合作伙伴、运维开发人员统一身份管理，临时访问数据库时，通过身份交付、工作日志的形式确保临时性访客运维合规，降低各种未知风险；确保所有的应用程序变更和部署都经过申请和授权，并通过运维日志记录检查应用部署是否得到正确的执行；危险性操作控制、数据库误操作防御和快速恢复。针对通过假冒HIS系统等程序连接数据库盗取数据的情况，数据库防水坝通过应用程序校验功能，对登录数据库程序进行校验，判断是否为合法程序，如果不合法，讲阻断程序登录。应用指纹识别和管理员双因素认证机制实现数据库的准入管理，有效防止撞库、爆破等攻击行为。三、客户收益（1）分配专属证书账号，解决了运维过程中账号管理混乱、运维操作不当等访问控制和权限管理隐患，在保障运维安全的前提下，简化了操作流程，提高了运维效率。（2）实现运维与业务网络的安全隔离，网络通过堡垒机进行管控，数据库运维管控则通过数据库防水坝，提高管理效率。（3）保护医院敏感数据完整性、可用性、安全性，为业务稳定运行提供安全保障；（4）符合国家规定的医疗系统的统方法规，实行对处方表、药品表等敏感资产的访问控制；符合等保三级、网络安全法等要求。01年度工作总结请输入标题请输入标题01年度工作总结请输入标题请输入标题

11月15日，安全牛正式发布第十版《中国网络安全企业100强》报告。报告根据我国网络安全产业发展特点和用户应用需求，特别增加了信创能力评价维度。深耕信创产业多年，美创科技实力入选“信创能力十强”。

政务数据安全是确保数字政府良好运行的重要因素，围绕数据开放共享的安全问题是数字政府建设工作过程中的关注重点。国务院印发《关于加强数字政府建设的指导意见》中提出，要依法依规地促进数字高效共享，确保各类数据和个人信息的安全，提出要加强对政务数据统筹管理，全面提升数据共享的服务、资源汇聚、安全保障等一体化水平。加强数据安全保障，满足《网络安全法》、等保2.0、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规要求，浙江省某厅局以相关业务系统为切入点，与美创科技共同开展重点应用核心数据安全治理工作。二、项目建设内容本项目依据《数据安全法》、《个人信息保护法》等法律法规标准要求，截止目前已完成对该单位重点应用的数据安全现状摸底、数据安全风险评估和分析，涵盖合规安全、组织建设、制度建设、技术工具等模块。具体数据安全治理服务内容如下：在组织建设方面明确该单位数据安全的管理层、执行层和监督层，建立安全保障小组或责任人机制，明确职责。在制度建设方面该单位目前已经具备较为完整的信息安全保障体系和制度，本期数据安全治理服务项目中新增《XXX公共数据安全管理实施细则》、《XXX公共数据合作方管理规范》和《XXX数据安全应急演练预案》等。在技术建设方面通过对重点业务系统进行安全基线、安全漏洞、第三方权限审批、密码口令、数据采集、数据处理等安全检查，排查数据安全漏洞并提供加固建议，防范安全事件发生，避免发生高危操作等安全风险点，保障业务连续性。数据安全治理路径数据安全治理服务流程图三、项目成果展示根据《数据安全法》、《个人信息保护法》等法律法规和地方监管要求，为规范和完善数据安全管理体系，启动数据安全治理服务项目。本期交付物可总结为1+2+1，其“1”是协助该单位建立了一套数据安全管理制度规范，包括数据安全实施细则、合作方管理制度等，该套规范体系是落实数据安全管理风险防范的抓手；其“2”是对该单位数据安全现状进行评估，厘清其在管理和技术方面与目标能力的差距，识别相关重要业务系统在数据全生命周期各阶段的风险和综合风险。组织对重点业务系统展开了应急演练服务，输出数据安全事件应急演练模拟演练报告；最后一个“1”是根据评估现状和加固建议，结合单位业务规划提供针对性的数据安全规划建设方案。部分交付物示例：一）数据业务流向图二）X厅局基础评估报告（其一）数据安全能力差距评估结果示例三）数据安全相关制度X厅局数据安全应急演练方案四）数据安全事件应急演练模拟演练报告四、项目亮点本期数据安全治理服务，为该厅局后续建立数据安全精细化防护策略落地提供依据，为数据共享交换保驾护航，同时也为同类行业数据安全项目树立了标杆。项目基于组织发展战略和合规要求，自上而下规划建设，从组织、制度、技术和人员四个维度进行数据安全建设和持续改进。以数据资产的视角对整个数据生命周期过程进行监管，保障该单位重点应用的核心数据资产安全。覆盖组织建设、制度流程、技术工具和人员能力各个维度，涵盖数据资产分布、数据安全风险分析、业务数据流向以及安全能力赋能等，实现常态化的数据安全监管。同时，数据安全制度编撰并发文后，将为该单位提供数据安全管理依据，且在管理和执行上有较大提升，后续根据业务发展和实际情况进行优化。01年度工作总结请输入标题请输入标题01年度工作总结请输入标题请输入标题

一台感染，一片崩溃，在一场勒索病毒的突然来袭后，如何避免再犯，这家汽车制造商开启勒索病毒防护升级路。某公司是我国一家大型汽车制造厂商，年销售额数百亿，产品驰骋全球130多个国家和地区。随着多年的信息化建设，目前该公司已完成汽车制造业五大核心系统ERP、PDM、MES、SCN、TDS及BOM、PIM、VPM、DMS等业务系统的建设，数字资产得到迅猛增长，安全防护体系也日臻完善。然而，勒索病毒依然来袭。勒索入侵，生产线停摆不久之前，公司总部某位员工电脑遭到黑客入侵，导致勒索病毒在集团内部爆发，公司动力生产线停产半天。经过IT部门紧急排查、处理，所幸未造成业务系统的大规模感染，加密数据也在短时间内得以恢复并且找到攻击原因。但勒索病毒凶猛袭击过的战乱现场，频频发生的二次勒索事件仍让IT部门心有余悸，内网是否还存在未被发现的勒索病毒？如何避免再次发生此类事故，造成更为严重的后果？为避免首次“伤疤未愈”，又来二次撒盐的状况，该公司经过多方考量和筛选，最终选择美创”诺亚防勒索系统+保险防御保险“构建全新防线。“产品+保险”构建全新防线目前，很多安全设备检测方式主要基于静态特征（即黑名单）检测，只有当能够侦测并捕获到病毒疫情并将其加入黑名单后，才能有效地拦截病毒。然而，勒索软件的出现反应了传统杀毒软件的“软肋”，勒索病毒新变种不断产生，以及利用漏洞来避免被识别，甚至拥有自我保护机制，这使得传统基于特征码的防护方式效用大减。知白守黑、不阻断无安全。美创诺亚防勒索系统基于零信任理念，从资产、入侵和风险三个视角出发，集合内核级别防护机制、主机防护、基线防护、威胁情报、诱捕机制、智能模型等技术，实时监控所有核心应用进程，基于多个认证因子实现核心可信应用进程判断，对非认证授权范围内的进程读写操作直接阻断，主动防御各种已知、未知病毒侵袭。通过在该公司业务系统服务器上安装美创诺亚防勒索客户端，实时监控各类进程对数据文件的读写操作，快速识别、阻断非法进程的入侵行为，抵御各类病毒侵袭。从而实现文档防勒索针对员工PC、服务器的文档进行防护，通过配置策略，只有某些应用程序具有“写”权限。如：对*.docx、*.xlsx等文件，限制只有office和WPS有写权限，其他软件（含勒索软件）则不能篡改。数据库防勒索针对Oracle、Sql

宁波市镇海区一体化智能化公共数据平台根据袁书记在数字化改革大会上的讲话精神，以及省委改革办下发的数字化改革总体架构方案进行建设，是打破信息孤岛、实现数据共享的重要抓手，是全方位、系统性推进数字化改革的强大动力和重要支撑。随着深化“最多跑一次”改革政府数字化转型工作和城市数字化、网络化、智能化发展的进一步加快，政务信息系统从彼此孤立向数据互通、系统互联的全联全通方向发展，基于计算机、互联网、云计算、大数据技术及其应用软件服务等所带来的数据安全风险越来越大。01需求背景当前，镇海区政务网已有一定的安全防护能力，但数据安全防护建设、运行和应急处置能力参差不齐，同时存在安全事件处置碎片化，较依赖管理员个人经验，安全运营效率不足；各单位协同作战能力不高，积累的数据较为孤立，无法实时联动等问题。为对全区数据安全进行集中化、全方位的监控、分析和响应，实现立体化的安全防护，现依托一体化智能化公共数据平台进行“安全运营中心”建设，具体需求如下：建设安全运营中心：提供统一安全运营技术能力、统一安全监管能力、统一安全调度能力和全方位安全服务能力，打通各类安全风险监测预警、应急响应、事件处置等运营流程。建设安全感知平台：提供统一监测、可视、响应处置于一体的大数据安全分析能力。汇总各节点安全数据（流量日志信息等），结合威胁情报、UEBA、机器学习、大数据关联分析、可视化等技术，形成全区安全驾驶舱——对镇海区数据安全整体态势全局可视。对接“浙政钉”接收告警信息：通过对接统一用户平台，实现区网信办、公安、大数据发展管理中心及相关单位的横向联动，实时接收安全告警并对事件处置过程进行跟踪，有效提高安全处置决策与响应能力。提供数据安全人员驻场服务：组织专业技术服务人员，提供全方位技术服务支撑，协助区域各单位进行公共数据安全的趋势研判、风险预警、能力评估、落地调查、应急响应、处置整改等专业服务。整体形成预警、通报、处置的安全闭环。02建设方案美创基于客户现存的安全短板，通过美创数据安全管理平台（DSM）、暗数据发现和分类分级系统、数据库防水坝系统等技术工具及服务，助力其完善数据安全防护能力。架构图通过《数据安全管理制度》建立数据安全机制提供数据安全体系设计服务，编制《数据安全管理制度》和操作手册，规范内部制度流程和操作行为，为员工日常工作中数据安全操作提供正确指引并明确权责关系，提高内部人员安全意识，可极大减少数据泄漏，以及增强整体的安全防范能力。基于数据分类分级实现全量数据资产盘点通过美创暗数据发现和数据分类分级系统，对大数据发展管理中心归集的数据进行梳理与分类分级，同时针对个人信息、核心敏感数据等，基于大数据发展管理中心现有的安全能力提供防护建议。内部运维安全风险管控通过连接数据库防水坝代理IP和代理端口连接到具体数据库，同时，基于多维身份认证与多因素访问控制功能，帮助数据管理员和驻场合作伙伴、运维开发人员统一身份管理，运维合规，隔离敏感数据，使运维操作规范、透明、可控。全局掌控区域数据安全态势1)DSM可提供南向接口能力：接入数据库防水坝并对其进行管控，可以收集登录审计、访问审计、告警日志等信息，形成图形化、可视化态势大屏，多维、实时展示当前监控的数据对象总量、资产受访问状态以及面临的风险状态。支持接入其他安全设备，实现统一调度关联分析。2)DSM可提供北向接口能力：通过与大数据发展管理中心已有的态势感知平台对接，能快速感知、调度和处置镇海全区数据安全风险，并提供实时告警、攻击来源、用户行为、重要业务系统安全、攻击者/资产威胁溯源等内容的大屛展示。通过“浙政钉”进安全告警的行整体推送与反馈针对数据的违规行为、越权操作、批量操作、高危操作等事件，通过浙政钉向全区各委办局公开通报。03建设收益此次建设打通了各监管单位，各行业之间的通路，消除单位间的间隔，做到不同单位之间的信息安全数据互通，打造了“风险预警、能力评估、落地调查、应急响应、处置整改”的全闭环管理模式，有效提升安全效果、提升安全运维和安全管理效率、展现安全成果，为全区数字化改革打造了纵深立体的安全屏障。01年度工作总结请输入标题请输入标题01年度工作总结请输入标题请输入标题

当前，伴随云计算、大数据等新型信息化技术的飞速发展，我国陆续出台多项政策，为数字政府的建设勾画了蓝图。数字政府建设是数字中国战略的重中之重，作为数字政府建设的第一步，政务云是重要的建设根基，是提升政府在社会服务，公共服务等方面履职能力的关键一环。此背景下，我国西南某省近年来抢抓新一代信息技术、信息产业发展机遇，打造全省政务中心和云计算中心，使用功能涵盖了省政务信息中心、云计算中心、办公业务用房及交易大厅等。一、需求背景政务云中的政务数据保护是关系到其能否安全可靠的对外提供服务的关键。按照《网络安全法》和《数据安全法》等国家相关安全法规建设要求，该省现对“党建云”按照“一个中心、三重防护”的要求进行云内安全改造。云内安全改造采用管理平台、控制平台和业务平台分布式架构设计，主要由管理模块、控制模块和业务模块组成。在需要进行安全保护的核心政务数据前端部署相关模块，负责执行针对后期数据库集群约2000个库的安全功能，如访问控制、安全防护等。通过建设云内数据安全防护系统，实现“党建云”内的安全可视、安全可控、安全可审计的需求。同时完善“党建云”的安全防护体系，全面提升“党建云”安全保护水平。二、解决方案根据上述需求，本次项目在应用侧和数据库集群中间串联部署数据库防火墙(Database

“美创助力国家电网某信通分公司，通过数据脱敏及数据库安全审计系统，开展地县全业务敏感数据脱敏及行为审计，对异常行为及时告警和阻断，全面提升公司数据安全管控能力，助力电网数字化转型。”随着国家电网“大运行”体系建设的全面展开，调度机构实现了“调度一体化”、“调控一体化”和“地县一体化”的运作模式。国网某信通分公司当前正推进数据专业地县一体化，归集到市公司数据运营平台的业务数据量大幅增长，数字化建设所需的数据查询、数据交换、数据分析等数据操作行为大幅提升。目前，公司已建设数据仓库，归集各专业管理数字化推进过程中产生的业务数据，推动公司数字化发展变革。但数据仓库存储、对外提供服务的数据均为明细数据，存在一定的数据泄密风险，虽然公司出台了数据共享开放使用的相关规定，但在行为溯源以及数据使用过程中仍存在安全隐患。一、需求分析为降低敏感信息泄露的风险，公司现开展地县全业务敏感数据脱敏及行为审计，对异常行为及时告警和阻断，全面提升公司数据安全管控能力。具体需求如下：满足合规性基本要求根据《数据安全法》、《关键信息基础设施保护条例》、《等保2.0》等相关法规要求，开展数据处理活动应当依照法律、法规的规定采取相应的技术措施和其他必要措施，保障数据安全，重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。实现数据处理日志记录要求对数据库操作行为进行实时记录，主要包含登录事件和访问事件，要求通过时间、人员、操作、结果、地点等各个维度进行详细记录，并且对于数据库威胁行为例如SQL注入、漏洞攻击进行实时监控和告警。实现敏感数据自动脱敏针对公司本地建设了数据仓库，数据每天在不断发生流动，场景包含数据分析、业务访问、业务培训等，需要对交换数据进行敏感数据自动发现，并基于国家电网数据脱敏规则匹配数据脱敏策略，克隆一份高保真的“假数据”，实现真实数据可用而不可见。二、解决方案针对该公司需求，本次项目建设部署一套数据库审计系统和一套数据脱敏系统，数据库审计系统部署在数据存储区，通过交换机镜像端口引流至数据库审计系统进行协议解析还原；数据脱敏系统部署在开发测试区，通过直连数据仓库进行数据抽取、脱敏最终装载至开发测试服务器，部署架构如下图所示：部署示意图敏感数据自动发现在敏感数据无处不在、业务越来越复杂的生产业务系统中，业务系统后台数据库表的规模越来越庞大、结构越来越复杂，美创数据脱敏系统利用各类敏感信息规则，通过自动扫描发现的方式高效、方便、全同的获取敏感信息，支持灵活的配置方式（包括字段信息匹配、数据信息匹配）来自动探测数据库敏感信息字段。数据仿真脱敏数据脱敏后可以保持数据原始特征，保持业务规则的关联性，包括主外键关联性、关联字段的业务语义关联性等，通过一致性算法、计算脱敏算法对这种一致性进行保障。常见的如身份证中的出生年月跟生日的一致性，销售额与单价和数量之间的一致性等等，保证开发、测试、培训以及大数据利用类业务不会受到脱敏的影响，达成脱敏数据的高保真。数据库行为全面审计美创数据库审计可审计所有来源，并记录详细的用户行为信息，涵盖所有访问数据库的路径、数据库操作行为，对数据库操作进行审计，可对增删改查等行为进行监控。可以精确的识别来自于B/S架构的浏览器终端信息，并以when、WHO、WHAT、HOW、WHERE五项要素为基础，精确的识别各项信息，同时提供应用程序注入、假冒检测等功能。风险实时告警提供实时告警引擎和短信、邮件、动画等多种告警手段来保证告警的实时性，通过精细化的事件审计、灵活的告警规则、重复事件合并和过滤功能，以及强大的搜索引擎保障来保证告警信息不会泛滥，以免造成管理者麻木，同时通过精细化告警规则、错误操作检测来方便管理者订制需要的事件告警，管理者也可以依据自身的安全需求订阅相关的告警。三、客户价值1）降低敏感数据泄密风险将客户姓名、年龄、手机号、用电数据等敏感信息的数据通过脱敏系统变成符合数据使用场景的非敏感数据，使敏感信息保持在可控业务系统内部，明显降低敏感数据泄漏风险。2）事件快速定位，追踪溯源美创数据库审计提供全面审计和精确审计，能够对数据库所有访问和操作行为审计，实现精准到操作人，对数据库的潜在威胁者予以震慑，最大程度的减少各种违规行为。基于对数据库所有访问和操作行为的记录，日志有效对应到使用者真实身份，一旦出现事件，能够迅速定位，事中检测、事后追责溯源。3）符合监管部门法规要求无论是最高规格的法律，到政府机构的法规、政策，已经各行业的规范、指南、指导意见等，对包含个人信息在内的各类敏感数据都提出了要求。数据库审计系统和数据脱敏系统的建设帮助公司业务在数据安全上更进一步，满足法律法规的需求。

伴随云、5G、物联网、人工智能、大数据等新型ICT技术的愈发成熟，医院作为医疗健康行业的核心，正加速推进数字化建设。厦门大学附属翔安医院（以下简称：厦大翔安医院）于2019年正式投入运营，医院从建设之初就秉承高标准的建设目标，医院发挥临床研究优势，建设国家级科研教学平台，入选厦门市唯一一家首批国家临床教学培训示范中心（福建省仅3家），成为厦门市首家中国医学救援协会航空医疗救护培训基地和美国心脏协会（AHA）心血管急救培训中心。一、需求背景医院目前已经初步建成了完善的医疗信息系统和IT基础信息网络，为医疗业务的开展提供了强有力的支撑。医院建设之初就以“高标准、严要求”的网络安全建设思路出发，以满足网络安全等级保护2.0合规建设为基础目标来加固网络安全。同时，在数字化推进医院改革过程中，务实地着眼于服务能力的提升，深入的分析了医院现有业务系统、数据种类及相关应用数据安全需求，其中在数据流转和共享安全方面最为主要，具体如下：具体如下>>01面对海量数据，以及生产、开发、测试等不同场景的业务需求，因此需要做到在数据流转过程中，充分保证业务数据稳定运行、隐私数据合规使用；02医院在数据安全方面缺少可感知、可控制的安全防护手段，因此需对数据进行识别和深度的内容分析，及时发现违规的数据共享行为，阻断数据共享途径。二、建设方案针对厦大翔安医院数据安全防护需求，本次方案以数据流转安全为核心，建立一套数据安全防护体系。针对医院重要业务系统数据库数据和个人隐私数据，在数据流转过程，如开发测试环境、数据交换、数据分析、数据共享等场景，可能存在的数据泄漏风险，通过数据脱敏系统及数据防泄漏系统，对敏感数据按需进行脱敏，避免敏感数据泄露，并实现敏感文件数据外泄的发现与阻断。01敏感数据脱敏结合厦大翔安医院各类重要业务系统数据结构情况，并通过数据脱敏系统对敏感数据资产进行自动发现和分类，采用脱敏系统预设的医疗敏感数据、个人隐私敏感数据模板，快速进行敏感数据梳理。根据医院对数据安全建设需求，对敏感数据按需进行漂白、变形、遮盖等处理，避免敏感信息泄露。同时又能保证脱敏后的输出数据能够保持数据的一致性和业务的关联性。主要实现功能如下：敏感数据的发现和梳理：脱敏系统能适用多种数据源，通过预设的敏感数据模板，主动发现并梳理敏感数据，构建数据地图。保持原本逻辑关系：脱敏系统对脱敏处理得到的新数据，依旧保持源数据中的业务数据逻辑关系，能够完全支持业务应用的数据使用和操作。丰富的脱敏规则：支持固定映射、随机映射、遮盖、范围内随机、浮动、归零、截取、截断等丰富算法；脱敏过程不落地：不会有新的数据表或库生成，不对源表名或数据名进行重命名，杜绝脱敏过程中的数据泄露风险。02敏感数据外泄发现与阻断为提升厦大翔安医院内部数据的合规管理，通过数据防泄漏系统加强对终端数据安全的保护。结合敏感数据梳理，掌握敏感数据的分布和不当存储，发现敏感数据泄露的潜在风险，并采用内容智能深度识别技术，对敏感数据进行捕获和鉴别，对可能存储在的泄密途径进行阻断。主要实现功能如下：多种文件类型适配：支持多种附件或文件类型，包括：html、xml、pdf、rar、tar、zip、7z、txt、xls、ppt、vsd、doc、gif、bmp、jpg、png等，同时支持附件或文件大小及名称的匹配识别。多种应用程序识别匹配：支持对

堡垒机与防水坝深入联动，助力厦门大学附属中山医院提升安全运维的精细度和安全性，确保医疗运维端数据安全。厦门大学附属中山医院（以下简称中山医院）始建于1928年，2005年成为厦门大学首家附属医院，现已发展成为拥有4个院区（院本部、金榜分部、厦禾分部、东部分院[在建]），5家社区卫生服务中心，集医疗、教学、科研、预防保健于一体的三级甲等综合性医院和世界知名高水平研究型大学附属医院。一、需求背景近年来，医院围绕互联互通数据共享、电子健康卡多卡融合、优化流程信息惠民、分级诊疗区域协同等四大主题多措并举，为患者打造诊前、诊中、诊后全流程的线上线下一体化就医服务。以全链条、全方位的“智慧”医疗服务，极大减少患者候诊时间，有效缓解“看病烦、流程繁”的问题，切实提高老百姓的就医满意度。目前，医院已顺利通过国家智慧服务三级评审，成为全国首批、全省首家通过该评审的医院。随着医院信息化建设的深入发展，支撑医院业务开展的各类系统越来越庞大，如何安全稳定运营其重要性不言而喻，依据现状情况，从安全产品视角和运维管理视角分析，目前面临如下现状：一、从已有的安全产品视角分析1）医院部署的数据库审计产品主要对业务系统访问数据库进行审计，但：对于数据库的使用人员，通过Navicat、PL/SQL、Toad其他数据库客户端访问时，无法审计；无法精细化到数据账户级别的操作审计；无法做到聚焦敏感数据，并实现权限设置及管控；对高危操作或高危命令的执行无能为力，数据库用户直连数据库时无法审计，难以实现事后追溯。

深入理解用户业务需求，美创科技通过数据库安全审计系统，助力纳爱斯集团实现在B/S架构下的三层业务审计，有效提升数据安全，实力推动大国品牌数字化的加速腾飞！纳爱斯集团前身是成立于1968年的地方国营丽水五七化工厂，1993年进行股份制改造，2001年组建集团。连年荣登“中国制造业企业500强”“中国轻工业百强企业”且位居行业首位，跻身《中国制造2025》绿色制造先进典型榜、轻工业联合会《升级和创新消费品指南》名录、央视“新中国成立70周年70品牌”等。一、需求背景作为国家制造业的标杆企业，近年来纳爱斯集团信息化建设逐步完善，集团所有业务已建立对应的信息化业务系统，包括分销物流系统、导购员培训系统、人力系统、经销商系统、费用系统、仓库管理系统等十余套业务系统。但是任何转型和创新都不可能一蹴而就，集团自身在进行数字化创新与转型的过程中也面临了一系列的挑战。数据库安全方面，针对日常的访问操作回溯，特别是个性化的B/S架构的业务系统回溯工作，集团现有审计措施已无法满足此类需求。因此，为满足等保合规及自身业务发展需求，集团亟需一款可以满足B/S架构业务系统的审计产品，用以加强信息系统对应的安全防护能力。

江苏省中医院联合美创构建数据安全防护体系，面对HIS等核心业务系统数据库，以数据资产防护为基准点，实现对内部操作风险管控、数据库审计等诸多场景下的安全防护，有效保障医院数据资产的安全性和业务连续性。江苏省中医院创建于1954年10月，创建初即荟萃江苏一代名医，历经半个多世纪几代人的艰苦创业，医院规模与声誉日益扩大。现已成为一所集医疗、教学、科研、预防保健、急救等于一体的大型综合性三级甲等中医院。01背景&现状

为进一步促进信息技术与教学科研的深度融合，夯实自身数据安全保障能力，许昌职业技术学院立足学校现有信息化建设基础，以敏感数据防护为核心，携手美创科技落地数据安全技术保障体系，提高数据资产安全，为学校业务发展提供可靠支撑。01建设背景作为一所入围国家“双高计划”的高等院校，许昌职业技术学院目前已建成一卡通平台、网站、OA、财务、招生管理系统、科研情报系统、学生管理系统等众多系统。随着信息化管理业务、服务系统不断增加，系统中积累了海量敏感数据资产。但面对愈演愈烈的数据安全威胁，高校数据要想真正发挥潜在价值，对教学科研、管理服务、决策分析直接起支撑作用，驱动学校数字化转型，必须加强数据安全管理，将数据安全贯穿始终。从国家和行业层面而言，近年来对数据安全愈发重视。一系列法律及相关规定陆续出台，数据安全建设逐步有据可依。《2019年教育信息化和网络安全工作要点》；2020年《关于加强教育系统数据安全的指导意见》征求意见；《2021教育部关于加强新时代教育管理信息化工作的通知》；《中华人民共和国数据安全法》；《中华人民共和国个人信息保护法》；..........02面临现状目前，学校已建立了较为完善的网络安全防护体系，但传统网络安全设备的部署和防护位置决定了其无法对核心数据进行全面有效的保护。因此，基于数据资产角度，如何建立起全面的数据安全保护体系，成为学校信息安全建设的重点。面临现状如下：01不清楚数据在哪里，风险有哪些，数据安全建设无从下手学校涉及系统多、流程复杂，数据各类多、格式多、数量大，同时需与第三方对接需求多。经年累月下来，很难理清有哪些数据，数据都存在哪里，为哪些人员开放了哪些数据操作权限，存在哪些数据安全风险，数据安全建设无从下手。02“共享交换”带来新的数据安全挑战根据国家政策要求，各部门各机构间要打破数据壁垒，消除“数据孤岛”和“数据烟囱”，加强数据共享交换，让数据流动起来，挖掘更大的数据价值。数据流动产生更多新的场景，接触更多的组织和人员，导致数据不可控，从而加大了数据安全风险。03缺乏有效的勒索病毒防御措施当前勒索病毒攻击事件频发，当其对文件、数据加密和修改时，往往是无法恢复，只能就范或舍弃数据。因此，学校迫切需要有效的技术手段防御新型病毒。04缺乏业务连续性安全保障学校一卡通系统、财务、网站等核心业务系统一旦出现故障，将会导致与其相关的业务均无法开展，甚至会造成毁灭性的业务数据永久性丢失。因此，对于重要的业务系统，必须具有不间断的可用性或者能以最快的速度进行恢复，使灾难造成的风险降到最低。03建设方案针对该院校当前数据安全现状，美创科技以国家和地方的相关政策为指导，以《数据安全法》等相关法律法规为标尺，从数据安全内部管控、数据流动安全、勒索病毒防御、数据存储安全四大场景出发，通过“数据库防水坝+数据脱敏系统+诺亚防勒索系统+CDP灾备一体机”等产品建立起多层次、立体化的数据安全防御体系，全方位保障学校数据资产安全。数据安全内部管控学校各类核心业务系统数据库服务器中存放了大量的核心业务数据，对学校而言，这些数据举足轻重，一旦遭到破坏、篡改或窃取，可能会给学校日常各项业务的正常开展带来巨大影响。通过数据库防水坝对学校内部及第三方运维访问人员权限进行细粒度控制，对敏感数据的分级分类，重点监测所有敏感数据的操作行为，防止非法操作以及授权用户违规操作造成的严重后果。勒索病毒防御诺亚防勒索系统采用主动防护的模式，通过白名单机制监控所有进程，精准识别文件、数据库的操作行为，利用底层驱动技术，监控所有进程的写操作，对文件、数据库的“写”操作判断，对于非法写操作进行阻断。通过控制“写”权限，从而对勒索病毒的写操作进行控制，就算被植入勒索病毒，勒索病毒也无法对文件和数据库进行加密，保证文件、数据库彻底免除勒索病毒的困扰。流动数据安全防护涉及到开发、共享及分析等数据是流动的，因此，为防止数据流动过程中出现敏感信息泄露的风险，在数据流出安全防护的领域之前，需要通过美创数据脱敏系统对其中的敏感数据进行安全脱敏处理。在测试环境中形成一份“仿真数据”，保障开发测试场景中流动数据的安全、可靠、有效。业务连续性保障针对学校一卡通平台、网站、OA、财务、招生管理系统、科研情报系统、学生管理系统等系统采用实时备份策略，对操作系统、数据库、应用环境、文件等数据进行实时捕获并完成同步整机备份，当被保护数据/业务系统出现故障或数据损坏后，能快速接管应用系统或则恢复数据。为学校数据提供7x24小时的无间断保护，保障学校业务系统数据的完整性和业务的连续性。04方案价值1）数据资产驱动的安全体系以数据资产保护对象为核心构建，把所有需要进行保护的数据和高风险操作都定义为资产，使其可以统一进行资产管理和风险管理。当我们需要扩展或者分离保护目标的时候，只需简单的定义一类新的数据资产就可以提供完善的保护措施。2）体系化安全防护体系化的设计思想是从全局性策略出发，以整体的设计思路打造全局性的安全防御，辅以长期可靠的安全运维保障和规范化的安全管理，搭建出真正能够有效对抗威胁，保障应用的安全体系。3）细粒度定向安全防护采取强度一致的安全措施，并采取统一的防护策略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。4）安全合规支持各种自定义告警方式，同时内置支持各种法规遵循所需的管理性报表，满足网络安全法、数据安全法、等保2.0、数据安全管理办法等合规要求。01年度工作总结请输入标题请输入标题01年度工作总结请输入标题请输入标题点击“阅读原文”，提交试用申请

“作为负责保障城市燃气供应的重要企业，上海燃气高度重视数据安全建设，通过美创数据安全治理咨询服务，从数据资产梳理、数据安全风险评估、数据安全建设规划等方面出发，实现数据安全治理能力强化提升，为数据安全治理体系的建立健全夯实基础，实现数据安全主动防护、有序治理、持续提升。”上海燃气有限公司（下称“上海燃气”）是综合性城市燃气运营企业，负责保障上海市燃气安全服务供应。截至2020年底，上海燃气服务天然气用户640万户，年供应天然气逾90亿立方米。公司高度重视数字化改革对企业生产经营、运营管理、服务水平等方面的提升，其应用系统作为关键信息基础设施，所涉及的数据涵盖工业、运营、个人信息等数据。随着横向《网络安全法》、等保2.0、《数据安全法》、《个人信息保护法》等合规性要求，及纵向垂直行业安全标准要求的需要，对数据采集、存储、共享、使用、销毁等环节的安全性均提出了明确要求，需要在实现基础设施安全保障的前提下，充分利用数据开展业务。1现状需求此背景下，上海燃气为响应国家法律法规要求，保障业务系统安全，此次以客服类系统为切入点，开展数据安全治理工作。作为一家拥有海量数据资产的企业，上海燃气目前在数据安全治理工作落地方面，存在以下困境：对数据资产使用权限缺乏有效性梳理，未落实数据分类分级管理并制定相应的权限管控。公司目前已建立较为完善的信息安全保障制度体系，但数据安全建设工程浩大，面对海量数据资产，若无切实有效的数据安全制度流程，则难以掌握数据流向。在等保合规基础上，公司有意识进一步提升数据安全防护能力，降低数据安全隐患可能带来的风险，但在具体落地方面仍存在难点。2解决方案基于上海燃气数据安全防护的现状和具体需求，美创科技围绕“让数据更安全更有价值”的核心目标，按照政策法规要求，以DSMM为抓手，以数据流向和应用场景为切入点开展数据安全治理咨询。咨询内容共分为以下三个阶段：第一阶段：数据资产梳理。通过问卷调研、工具探查等方式多维度盘点数据资产，厘清客服类数据资产现状，并在此基础上进行数据分类分级，为后续数据安全精细化管控提供基础。数据资产梳理完成了如下内容：数据资产盘点：通过工具探查客服类数据资产情况，为分类分级实施做好准备工作。数据权限现状：盘点清楚用户具备哪些权限，数据可以被哪些用户增删改查，权限过大用户有哪些等。数据流向梳理：盘点清楚客服类数据从采集、传输、共享交换到销毁的流向。数据分类分级：完成数据分类和分级，共分四级，其中一半为敏感数据，同时明确各级数据的安全要求。第二阶段：数据安全风险评估。对上海燃气数据安全现状进行分析，识别和分析数据资产在全生命周期各阶段风险，并给予中立的加固建议。数据安全风险评估内容包括如下：基础风险评估：通过安全基线检查、漏洞扫描、渗透测试等方式，发现在数据处理环境中存在的安全漏洞，并提供加固建议。数据安全能力差距评估：基于客服类业务实际情况量体裁衣，深度分析和评估当前组织安全能力现状，帮助其清楚自身在生命周期各阶段的能力现状与目标的差距。数据安全合规评估：全面解读和分析《数据安全法》、《个人信息保护法》以及地方办法条例内容，通过联合对标分析，全面评估组织数据安全合规情况和合规风险，并提供针对性的加固建议。数据全生命周期风险评估：参考信息安全风险分析方法，从资产和风险两大视角出发，基于数据分级结果，建立组织风险评估模型，识别组织面临的数据安全风险，通过定性分析和定量分析方法，评估数据资产面临风险。第三阶段：数据安全建设规划。基于数据安全风险评估的结果，结合客户方的实际情况，提供针对性的数据安全建设规划方案。管理制度建设：结合客户方实际，基于合规要求，完成部分相关数据安全相关制度建设，为后续管理提供依据。数据安全建设规划：从管理、技术和运营三个维度规划，开展数据安全建设的短、中、远期规划和建设工作，明确建设依据、建设规划、建设路径、建设周期、建设优先级等内容，为数据安全建设道路提供指引。3项目价值1）摸清家底，把控风险通过数据资产梳理，厘清数据重要性和敏感度，实现各类数据资产的识别分类、账户权限梳理，可以帮助客户快速、清晰了解数据安全现状和风险点，为数据安全建设提供依据。2）规划方向，指引建设基于保护目标和风险点清晰的必要条件下，通过建议采取适当、合理的管理措施和安全防护措施，为上海燃气数据安全后续建设提供指引。3）树立标杆，促进发展作为该行业优先落地数据安全咨询组织，积极响应国家号召，不仅符合法律法规要求，更为后续数据安全精细化防护策略落地提供依据，为数据共享交换保驾护航，同时也为同行业树立了榜样。01年度工作总结请输入标题请输入标题01年度工作总结请输入标题请输入标题点击“阅读原文”，提交试用申请

高校信息化建设迅猛发展，给运维工作带来新的挑战，传统依赖人工进行数据库运维的方式弊端凸显，基于美创OSM，长安大学实现数据库的高效、智能运维，全面保障数据库的运行安全。01#

数字经济时代，数据作为核心生产要素，实现数据保密性、完整性、可用性的保护至关重要，随着我国数据安全法律规范体系逐步完善，《数据安全法》、《个人信息保护法》相继出台，利用相关技术手段实现数据安全防护水平能力提升，是各行业信息安全建设的重要任务，在这其中，对数据进行加密存储是重要的解题方式之一：一方面，数据加密存储满足安全业务诉求：利用合规的密码技术对数据库中的敏感数据进行加密，能有效解决数据库敏感数据泄漏问题，如防止明文存储风险、外部黑客拖库、内部高权限用户数据窃取、缺乏数据销毁机制引发的数据泄漏等。另一方面，数据加密存储符合安全合规要求：1《网络安全法中》要求“采取数据分类、重要数据备份和加密等措施”；2《密码法》要求“关键信息基础设施的运营者应当使用商用密码进行保护，委托商用密码检测机构开展商用密码应用安全性评估”；3《商用密码应用安全性评估管理办法（试行）》要求关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。3GB/T

10月17日，九河下梢，渤海之滨，天津港重新开港69周年之际，全球首个“智慧零碳”码头——天津港北疆港区C段智能化集装箱码头正式投产运营。由美创科技与天津港一同研发打造的新一代港口数字孪生平台于当天同步亮相。图：投产运营仪式，天津港第二集装箱码头有限公司总经理杨荣使用该平台向部委、天津市政府、集团领导汇报码头相关建设和运营情况。

案例关键词美创科技为诸暨市大数据发展管理中心制定《诸暨市数据安全管理与保障体系》，共修订11版，终版全册共十一章，16个表单，合计109页。作为政府数字化转型和公共数据开放的先发之地，浙江省近年来大力推进数据开放工作，建设完善省市两级数据开放平台和开放网站，推动已归集数据实现“能开尽开”，并取得良好成效。但同时，在数据开放工作上仍存在的一些困难和问题，如：管理体制有待进一步理顺、数据开放范围较小、部分领域数据质量有待提升、数据开放中的个人信息保护有待强化、部门担心数据开放产生风险后被追责等。此背景下，诸暨市大数据发展管理中心为加强对公共数据开放、利用和安全管理的领导和协调，规范化诸暨市公共数据开放与利用，以《浙江省公共数据开放与安全管理暂行办法》等相关法律、行政法规为依据，参照国家相关网络安全标准，联合美创科技，制定符合本地实际需求的《诸暨市数据安全管理与保障体系》。01建设目标《诸暨市数据安全管理与保障体系》建设从广度与深度两个维度作为切入点，广度是参考外界相关法律法规及标准规范；深度是在外界相关标准上，结合诸暨市大数据的安全需求进行点状强化。为了加强数据管理体系可落地性，在对数据资产分类分级后，需要将不同类别、不同级别数据资产的安全要求融入至管理体系中。02设计架构此次建设依据2020年4月10日工信部发布的《网络数据安全标准体系建设指南（征求意见稿）》及GB/T37988-2019

当前，随着大数据、云计算、物联网在医疗行业的应用不断深入，海量医疗数据经过不断流动汇聚，价值得到公认。作为医院信息系统中的重要基础性资源，医疗数据安全问题至关重要，一旦发生数据丢失、篡改等事件，不仅会对医院会造成经济损失和和负面影响，也可能对社会增加不稳定因素，对患者个体而言，敏感的就诊信息泄露甚至可能影响一生。因此，如何保证数据的完整性、可用性、安全性，防止数据泄露，成为医院信息化建设过程中的重要环节。需求背景我国广西壮族自治区某大型三级甲等医院积极推进信息化建设，已形成了HIS、LIS、PACS、EMR、集成平台等相对健全的信息化系统，为医疗业务的运行及高速发展提供保障。医院目前在自身院区信息系统建设及运维基础上，建立了一套满足并能够促进网络运维的安全管理体系，为医院业务的正常开展提供了有力支撑。但目前医院信息安全建设主要聚焦于基础安全，这种方式的优点在于网络安全防御功能相对完善，但是防御体系更偏重网络层，忽略了对关键数据的保护。因此，为了实现对医院数据的保护以及信息系统的可持续运行，亟需在数据安全与安全运维等领域，建设全面、立体的防护体系，通过监控审计、容灾备份以及智能运维等防护手段，与现有的信息系统基础安全建设相配合，为医院长远发展助力。建设方案根据对医院以及业务系统安全建设现状分析，美创科技对内网业务区、内网有线及无线终端接入等层面进行等保三级及数据安全建设，包括对生产核心系统的应用和数据实现容灾及统一备份、内部运维风险管控以及数据库安全持续监控运行等内容。一）内网业务区1、业务连续性保障通过美创备份一体机，对该医院电子病历、lis、PACS等核心业务系统实现容灾和备份。容灾系统的备份是真正的实时备份，备份数据随时可用，避免了传统备份无法解决的备份窗口和数据丢失问题。同时备份数据的随时可用，大大减少了业务系统的停机时间，提高容灾系统的利用率。容灾系统对于发生频率比较高的误操作也可以很好的防范，同时对于已经发生的误操作，容灾系统可以做到基于数据库、表空间、数据块等细粒度的闪回，帮助用户快速的找回误删除的数据。且容灾端的数据可提供查询功能，使客户的部分业务可以迁移到容灾端进行负载分担，减少生产端的压力。2、内部风险管控目前医院各类核心业务系统（如HIS/LIS/PACS等）数据库服务器中存放了大量的核心业务数据，对医院来说是举足轻重的，如果这些数据遭到破坏、篡改或窃取，可能会给医院带来毁灭性的影响。通过数据库防水坝对访问人员权限的细粒度控制，对敏感数据的分级分类，重点监测所有敏感数据的操作行为，防止非法操作以及授权用户违规操作造成的严重后果。3、全面、精确审计由于该医院业务系统数据在数据库中进行集中存储，故对于数据库的操作审计需要细化到数据库指令、表名、视图、字段等，同时具备回收站技术，在数据库出现关键错误时及时响应，避免由于数据库故障带来的数据损失。美创数据库审计系统能够实时地、智能地解析网络上和被审计数据库相关的登录、注销，对数据库表和字段的插入、删除、修改、查询、执行存储过程等操作，实现对各类数据库访问行为的监控和记录，并对异常访问行为进行实时告警，从而在网络上建立起一套数据安全告警和审计机制，为数据库系统的安全运行及事后审计提供有力保障。二）内网运维区1、智能运维通过数据库运行安全管理平台实现数据中心运行状态的一体化监控；同时提供丰富多样的数据库运维工具，包括日常管理、故障处理、性能调优三大类；利用这些工具可以实现数据库的智能化运维。运维人员利用数据库运行安全管理平台可有效提升对数据中心的自动化运维水平，实现对数据中心的主动运维服务。2、运维访问管理运维安全管理系统使用统一入口的方式，用户在访问帐号资源时首先登录该系统进行统一身份识别、然后依据系统授予的访问权限和行为控制策略，登录到目标帐号进行操作。实现对运维设备的单点登录和统一运维管理。

上周，全球财富500强埃森哲遭LockBit勒索团伙攻击，6TB数据失窃，被要求支付5000万美元赎金。伴随各行业数字化的深度普及，勒索病毒愈发肆虐。接连发生的勒索攻击事件给政府、互联网、医疗行业带来严重影响，而传统打补丁、杀毒、防火墙等防护措施仅能在事后对病毒特征进行分析，进而升级、防御。对政企单位而言，勒索病毒当前已成为最大的安全威胁之一，一旦核心数据或文件被加密，除了缴纳赎金，基本上无法解密。安徽省财政厅未雨绸缪，携手美创诺亚防勒索实现以零信任为基础的勒索病毒纵深防御，有力地保护了财政数据安全。客户简介安徽省财政厅是安徽省人民政府的组成部门，是政府主管财政收支、财税政策、国有资本金基础工作的宏观调控部门。日常主要负责贯彻执行国家财税方针政策和法律法规；起草财政、财务、会计管理的地方性法规规章草案，参与涉外财政、债务等的国际谈判，并草签有关协议；负责全省财政收支管理工作，承担省级财政收支管理的责任等工作。需求背景近年来，省财政厅坚持信息技术为财政业务服务、信息安全为财政网络护航、信息管理提升财政管理的理念，积极推进各项财政业务的信息化建设进程，实现了财政科学化、精细化管理。同时，针对核心服务器设备现状，合理利用现有资源，以此确保信息系统的安全、稳定运行。伴随网络和信息技术的迅猛发展，以及大数据、云计算和移动互联网的广泛应用，网络安全事件与日俱增。为保护国家安全、企业安全及个人安全，国家及相关机构出台了一系列的政策法规，共同维护网络安全和数据安全。安徽省财政厅当前信息化系统防护已经比较完善，但鉴于勒索病毒危害性较大，破坏性较强，传播速度较快等特征，为保护单位核心数据库安全，防止勒索病毒攻击，现进行安全加固，针对以勒索病毒为代表的未知威胁做好安全防范工作。解决方案为进一步做好勒索病毒清理防治工作，保障网络安全，安徽省财政厅以诺亚防勒索系统为抓手，全面应对勒索病毒威胁，筑牢省财政厅网络安全防线。在安徽省财政厅的核心业务系统服务器上安装美创诺亚防勒索代理，美创诺亚防勒索系统从资产、入侵和风险三个视角出发，结合底层驱动技术，监控所有核心应用进程，基于多个认证因子实现核心可信应用进程判断，非认证授权范围内的进程写操作将被直接阻断，只允许可信应用相关进程对数据进行操作。部署拓扑基于此，即使业务系统已经被勒索病毒渗透与潜伏，仍然可防止核心应用与数据被加密导致的业务中断或数据丢失问题，可极大地提升核心业务应用系统“带毒”生存能力。主要实现功能如下：1文档自动保护美创诺亚防勒索提供文档自动保护机制，将Office、图片、邮件等固定后缀名格式的文件加入文档保护列表，在文档保护列表的文档只有经过授权的应用程序才能进行更新，如word文档只能被Office或WPS写入更新。系统内置众多缺省文档后缀类型，支持主流文档格式类型，也可根据独立文件名、后缀和目录提供灵活配置，只要把需保护的文档加入文档保护列表就可以实现文档保护。2数据库自动保护数据库保护是防勒索保护中的重要内容，针对数据保护，诺亚防勒索内置数据库文件保护引擎，使数据库文件免受勒索病毒的加密和删除，目前支持Oracle、Sql

当前，随着金保工程的不断推进以及互联网技术的广泛应用，民众足不出户就能进行社会保障、医疗保险等业务的查询、办理。同时人社系统积累了海量的数据资源，在传输和使用过程中确保数据保密性、完整性、可用性至关重要。根据相关数据显示，我国多个省市卫生和社保系统曾出现漏洞，围绕社保、公务员等信息系统的漏洞超过30个，涉及人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。人社事业事关国计民生，一旦信息泄露将造成严重影响。美创助力某省人社厅构建多方位、立体化的信息安全保障体系，通过数据库防水坝、数据库安全审计等产品，全力保障人社数据安全，让黑客“进不来、拿不走、改不掉、走不脱”。01数据库防护手段亟需完善近年来，由内部人员运维、开发人员误操作或者违规操作导致数据库损坏和数据丢失现象时有发生。因此，作为关系国计民生的人力资源和社保单位，该省人社厅也在积极筹划加强自身的信息安全防护体系的建设。在该省人社厅现有的安全防护体系中，均为云上的边界的网络安全设备，针对数据库层面安全防护非常薄弱。尤其对于单位内部人员、第三方人员对敏感数据的访问、数据库日常操作，缺少细粒度的权限控制、监控审计手段，数据库的非授权访问和操作面临不受监管和约束的风险。02内部风险管控+全面、精确审计经过现场考察及分析，美创科技基于多年来在人社行业数据安全经验，通过部署数据库防水坝和数据库安全审计提升该省人社厅数据安全保障能力。通过数据库防水坝的准入控制、权限控制、工单申请、动态脱敏的机制，以及数据库审计的监控与溯源能力来预防内部人员、第三方人员直接接触所有敏感数据、违规和恶意操作破坏数据库系统。运维脱敏为了有效的防止高权限运维人员的接触敏感数据，本次项目美创科技通过动态脱敏机制对未授权的账户访问敏感数据实现动态脱敏，来防止第三方运维人员接触重要的敏感数据信息和业务的个人隐私数据，并提高运维安全。误操作恢复通过垃圾箱机制对于“Drop

高速公路建设水平是区域经济发展水平的重要指标，其在创造GDP的同时也诱发沿线产业的形成。安徽省印发的《安徽省高速公路网规划修编（2020年-2035年）》中提出，到2035年，全省高速公路规划总里程达10165公里（含展望线路），路网总体布局由5条纵线、10条横线和54条联络线组成，构成“五纵十横”高速公路网，基本实现“各市有环线、县区有双线、重点城镇全覆盖、重点节点全连通、主要通道全扩容”。随着高速公路通车里程的不断增加，以ETC电子不停车收费基础设施为代表的信息系统逐渐成为高速公路运营管理的重要手段。这一过程中，收费业务数据、收费监控图像、及系统运行参数等海量数据随之产生。收费管理系统涉及大量的资金往来数据，因此数据安全建设至关重要。项目背景安徽省高速公路联网运营有限公司主要负责全省及跨省高速公路通行费数据清分、资金结算、票证卡及密钥管理、上门收款解缴、统计分析等联网收费，以及全省高速公路通行卡、安徽交通卡、电子标签发行管理以及ETC客服中心建设、运营与服务，全省高速公路联网收费系统建设、运维管理及升级改造，全省高速公路设站收费、并网测试与系统改造等工作。随着网络和信息技术的迅猛发展，以及大数据、云计算和移动互联网等新兴技术与产业的深度融合，海量数据随之产生。大量敏感数据存放在数据库内，故数据库的安全管理至关重要。同时传统基于业务安全构建的由外而内的层层防御策略逐渐失效，原先处于网络深处的数据库和数据直接裸露在公众面前，数据泄露和数据破坏时有发生。安徽省高速公路联网运营有限公司目前已经应用了一批数据安全设备，为了保障业务系统的正常运行，进一步保护数据安全，再次进行数据安全建设，具体需求如下：1、实现数据加密存储，同时保障不影响正常的业务访问；2、具有敏感数据访问控制管理，保护数据安全；3、根据需求可返回密文遮蔽数据；4、业务系统繁多、敏感数据量大，传统手工脱敏的方式成本高、效率低、效果差、存在安全管理漏洞，无法满足公司内部的多样化数据脱敏要求。5、满足合规要求，遵循《数据安全法》、《网络安全法》等相关法律法规要求。

教育信息化2.0时代，数据成为智慧校园建设的黄金财富。2021年4月，国家印发《关于加强教育系统数据安全工作的通知》，提出建立教育系统数据安全责任体系和数据分类分级制度，形成教育系统数据资源目录，健全覆盖数据收集、传输存储、使用处理、开放共享等生命周期的数据安全保障制度；6月，《数据安全法》表决通过，意味着我国数据安全上升到国家层面，数据安全从此有法可依。在数据安全合规要求不断升级的背景下，伴随信息化建设的不断深化，高校如何建立全面的数据安全及业务连续性保障体系，已成为高校信息化管理者必须解决的问题和现实需求。宁波大学创立于1986年，是国家“双一流”建设高校，浙江省、教育部、宁波市共建高校，国家海洋局与宁波市共建高校，浙江省首批重点建设高校。

证券行业是典型的数据驱动型行业，数字化转型浪潮下，证券行业金融科技和数字化场景进一步普及和丰富，海量数据产生汇聚，随之而来的安全问题日益严峻。金融数据复杂多样且极具特殊性，其安全问题不仅仅影响机构自身业务发展，也会对市场经济、公众社会秩序，甚至国家安全造成威胁。坚持金融安全与数据应用发展并重，积极应对复杂严峻的数据安全风险与挑战，构建主动全面的数据安全防护体系，对于证券行业而言，至关重要。01客户简介华创证券是贵州国资加员工持股主导的混合所有制企业，是中国证券业协会理事单位，上海证券交易所政策咨询委员会联席主任、风险管理委员会、主板上市委员会和科创板自律委员会、发展委员会委员单位，2018年-2020年连续三年评为A类A级证券公司。在新一轮科技革命与产业变革深入融合的大背景下，华创证券也在积极推动数字技术在金融服务、渠道、产品、投资、信用、风控、合规等领域的全面应用，目前公司信息化建设已经走在了西南地区的A类证券公司前列。02建设背景随着信息化建设日益深入，华创证券对数据应用需求不断增加，但新技术深化应用的同时也带来新的安全隐患，为加强数据安全防护，华创证券提出以下建设需求：数据异地交叉备份确保本地发生自然灾害等不可抗力的时保证企业核心数据的安全性，并且杜绝数据被窃取、加密等数据的破坏行为；针对业务系统和运维人员的所有数据库访问行为进行精确审计，包括像SQL注入、漏洞攻击等，确保各场景的违规数据使用、访问的追溯；针对运维人员进行数据库大权限的账户管控、数据访问控制、敏感数据分级分类、内部风险操作管控、敏感SQL执行、全面和精确审计留痕等。确保数据不会面临恶意泄露、篡改等情况发生，确保运维人员操作数据库的合规性；数据安全达到安全合规标准，满足《中华人民共和国网络安全法》、《JR/T

“电力能源承担着支撑社会经济可持续发展、服务国计民生战略大局的重要使命，是保障我国社会主义现代化建设的骨干，与广大人民群众的日常生活和企业事业单位的生存发展息息相关。作为国民经济的“温度计”和“晴雨表”，国家关键基础设施的重要组成部分，其安全性和可靠性需要进行重点保障。近年来，大数据、云计算、物联网和移动互联网等技术在电力行业中广泛应用，“数字新基建”项目在电网运营管理中建成落地，电力行业信息化水平进步一步提高，但新技术新应用也带来海量数据的产生，数据安全隐患更加凸显。国网江苏省电力有限公司（以下简称“江苏电网”）是国家电网公司系统规模最大的省级电网公司之一，服务全省4000多万电力客户。拥有35千伏及以上变电站2990余座、输电线路8.7万公里，电网规模超过英国、意大利等国家。电力企业存储数据规模大、种类多且价值高，为应对数据安全新形势、新挑战，江苏电网着力推进网络与信息安全防护，强化健全网络安全保障体系，牢织数据安全密网，确保电力数据安全万无一失。01项目建设背景江苏电力调度控制中心隶属于江苏电网，目前中心业务类型复杂，员工众多，数据流动环节接触人员众多，这给数据安全管理带来更加复杂的难题。比如在运维端，企业历经多年信息化建设，现已拥有多且复杂的应用系统、业务系统、数据库等IT系统，引入了第三方驻场人员进行信息系统开发、测试甚至是运维，现有的生产区数据库内部操作不透明、“人”及社会关系的不确定性、人员能力的参差不齐等多重因素，都会容易出现非法查询、随意增删改数据、误操作删除数据等。而目前，缺乏有效的安全工具来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为，而现可用的依赖于数据库日志文件的审计方法，存在诸多的弊端，比如：数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险，难于体现审计信息的真实性等等。对此，为解决运维场景面临的越权访问数据、非法/无意操纵数据、敏感数据外泄等难题，江苏电网电力调度控制中心现以内部风险管控为发力点，进行数据安全防护建设。02项目建设方案电力调度控制中心经过实际考察，决定通过部署美创数据库防水坝系统，来解决现有安全隐患，具体如下：为了提高调度技术系统的自主性和安全性，中心已在电力调度系统中采用达梦国产数据库作为后台数据库。针对当前运维环境，美创数据库防水坝从源头上对运维人员和业务人员进行分离管控，采用多维度的安全认证方式，保证运维来源的可信、可控。对不同级别的DBA数据库权限进行分类，Schema级别的敏感数据分类，权限粒度细化到表格级别，对数据库的敏感信息进行分类从而保障用户数据资产的安全。主要具有以下核心功能：1访问控制：采用多维度、多因素的认证方式，从业务角度对数据库运维人员和业务人员进行身份识别和访问控制，采用白名单方式对不同类型的运维人员进行身份识别。2数据脱敏：开发、测试环境下敏感数据信息的动态数据脱敏，针对用户业务系统的数据库数据类型不同、字段不同、用途不同进行自动的数据脱敏处理，从而保障用户生产网中的敏感数据信息不泄露。3数据库解析：支持业界主流Oracle、Mysql、DB2等数据库类型，针对不同类型的数据库协议，运维人员和开发人员可以自由选择适配。4防篡改：防止恶意的SQL语句修改行为，对数据库用户权限业务用户和SYS类型用户权限进行分离，权限粒度细化到DML、DDL、DCL操作类型，防止非法用户提权危险操作行为发生。防止非法终端注册、黑客模拟攻击等可疑的攻击访问行为，自动拦截，并产生自动的拦截告警。5合规审计：识别等保三级法案，隐私数据法案的控制，对HIPAA法案、PCI-DSS法案、SOX法案、GLBA法案等法案的符合度进行适配和审计。03项目建设收益1、多维度安全访问控制和授权管理，很好的解决运维过程中账户共享、临时账号，账号管理混乱、运维操作不透明、第三方业务单位运维过程数据安全风险问题。2、对核心生产库的重要敏感数据进行动态脱敏，实现敏感资产数据和非敏感数据的分离，防止运维人员涉及重要敏感数据信息。3、智能化报表与告警订阅，利于整体把控数据库运维整体安全态势。4、安全合规审计要求，保护敏感数据资产的安全审计。01年度工作总结请输入标题请输入标题点击“阅读原文”，提交试用申请

郑州大学第一附属医院（以下简称“郑大一附院”）是集医疗、教学、科研、预防、保健、康复为一体，具有较强救治能力、较高科研水平和国际交流能力的三级甲等医院，先后获“全国文明单位、全国“百佳医院”、全国卫生计生系统先进集体、全国医院信息化建设先进单位、全国县级医院帮扶示范基地、全国医院文化建设先进单位”等荣誉称号。近年来，随着我国医疗信息化进程的不断加速，郑州大学第一附属医院信息化建设实现了“三个院区”（河医、郑东和惠济）的互联互通、数据统一、标准统一。实现了全院级的HIS、LIS、PACS，移动查房，移动护理、电子病历、临床路径管理、门诊“一卡通”就诊等，以无纸化电子病历为核心的信息化建设达到国家五级水平，居国内前列。01项目建设背景作为一家年手术量超30万台的超大型三甲医院，郑大一附院核心系统的数据量较为庞大。其中HIS系统生产环境数据量达到10T以上，日常平均连接数维持在10000+，每日新增数据量在8G以上，总数据量及日常增长量十分庞大。一旦HIS系统出现故障，将导致相关医疗业务、服务停摆，医疗业务数据丢失，同时对医院造成无法估量的名誉及经济损失。因此亟需一套完善可靠的容灾方案对核心业务系统保驾护航，保障医院核心业务的连续性。同时，传统的运维方式在资产管理、批量部署、自动巡检方面无有效手段，不能对数据库进行实时监控。此背景下，郑大一附院现进行HIS系统容灾及运维体系建设，具体需求如下：1、将郑东院区HIS系统生产库由目前的oracle

自国家气象局提出“以气象信息化推动气象现代化”的总体要求以来，各地政府不断加大气象信息基础设施建设投入，气象预测精准性随之不断提升，气象数据呈现海量、爆发式增长态势，气象部门对气象数据的完整性和业务连续性提出了更高的要求。让气象数据无畏“不测风云”，美创DBRA助力某省气象局云容灾建设，最大限度地满足容灾系统RTO需求，实现数据安全和业务连续性保障。01需求背景我国西南地区某省气象局近年来着力发展智慧气象建设，利用大数据、云计算和移动互联网等技术，满足自身业务发展对网络资源、计算资源的需求，同时为自身气象信息化、现代化提供强有力的基础支撑。作为承担本行政区域内气象管理工作的单位，该气象局数据中心汇聚了所在省份所有的气象数据，数据的高度集中给该气象局带来了信息的高风险，可以想象，一旦业务数据库或者应用层发生全局性、大规模运营中断，且无法在可控、可预期的时间内将其恢复正常，必然对整个数据中心造成巨大的损失；同时数据的丢失也给数据分析人员开展科研项目造成不可避免的影响。

近年来，浙江省坚持以人民为中心发展思想，以“最多跑一次”改革为总抓手、“四张清单一张网”改革为引领，不断深化一体化在线政务服务平台建设，全方位推动数字化改革，数字浙江建设进入全新阶段！随着浙江省政府数字化转型进入深水区，浙江省经济和信息化厅（以下简称“省经信厅”）工作领域不断加宽,服务对象不断增多,数据积累与经济和社会的发展同步增长。为在充分发挥公共政务数据价值的同时，保障公共政务数据安全安全存储，省经信厅积极响应“整体智治”政府建设号召，依托全省统一的大数据平台，建设了经信部门数据仓。为确保数据仓数据的安全应用，省经信厅目前已初步完成对数据仓及数据安全体系项目的建设，实现对经信厅所有数据资源的统一管理，并且已做到对用户权限、运行监管、系统监管、资源管理等可复用的能力进行集约化一体化的管理。同时，为了满足数据外发后进行数据去向追踪，出现安全事件后第一时间发现数据泄露源并及时进行应急处置，建立了以水印为核心的追踪溯源体系。为进一步保护数据安全，实现对省经信厅内部业务系统敏感数据的有效识别，将访问用户职责与敏感数据相关联，实现基于角色、属性、强制性访问控制策略，现需对数据安全管控体系进行完善建设，补齐安全短板。01建设方案针对省经信厅对于数据仓安全防护体系建设的需求，美创科技通过部署数据库防水坝采取敏感数据管控、身份识别、数据库准入、行为阻断、授权管理等技术手段，实现敏感数据内部管控，防止敏感信息内部泄露。在省经信厅数据仓的使用过程中，传统的安全技术手段控制力度较为宽泛，无法有效的防范授权用户的违规操作，包括违规数据导出、批量数据查询、数据篡改等。同时，负责日常运维的第三方人员主要通过个人终端对数据库进行后台运维操作，整个运维过程直接接触数据存在很大的安全风险，当前仅依赖静态用户名密码口令的身份鉴别方式也无法有效确认运维人员的真实身份。因此我们需要构建一套对数据库访问的强身份认证机制与细粒度的访问控制安全防护策略。安全防护策略如下数据库的登录控制，采用多因素方式联合认证，包括终端信息、安全客户端、数字证书、登录时间等。终端登录数据库均需要通过数字证书进行认证，数字证书签发到个人。访问控制策略精细到表级、字段级，对涉敏数据的查询，返回结果进行脱敏处理。对具备敏感数据访问权限的用户，控制其查询数据的频率和最大返回行数，并限制其对数据的导出能力。通过工单系统建立高危操作审批机制，当数据仓维护人员必须进行某些危险性操作或者需要访问敏感数据时，通过工单系统提交临时申请，由安全管理员进行逐级审批后方可进行操作。通过安全系统可视化大屏，实时展现数据访问现状，并提供基于会话的事件回溯能力。02客户收益1、协助省经信厅用户建立了数据访问权限管理能力，采用集中认证和细粒度访问控制技术建立了数据仓数据访问统一入口，实现了数据访问权限的统一认证和数据库表、字段级别的访问控制，并结合数据脱敏技术，在满足数据仓开发、运维等多个场景下的数据访问需求的同时保证了敏感数据的安全。2、协助省经信厅建立了数据仓数据访问过程中的风险监测能力，通过检测用户对数据的访问和操作行为，结合常见攻击手段识别，帮助用户了解数据仓可能面临的潜在安全风险。3、落实并满足《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国数据安全法》（草案）等法律法规和主管部门的各项规定，切实加强了政务敏感隐私数据的安全保护。01年度工作总结请输入标题请输入标题01年度工作总结请输入标题请输入标题点击“阅读原文”，提交试用申请

医疗数据敏感、精准，具有很高的商业价值，一旦发生数据泄露，将会造成严重后果。然而，随着医疗信息化的不断深化，尤其是互联网医疗的兴起，医疗数据安全面临全新压力。近年来，广东某大型三甲医院医疗信息化建设不断深化，各类医疗应用系统不断增多，各系统中汇聚了大量敏感隐私数据，如若遭遇外部的“恶意攻击”或是内部的“监守自盗”导致数据泄露，后果不堪设想。因此，保护患者隐私，守住安全底线、绷紧数据安全这根弦，对医院而言十分重要。一方面，为保护医疗隐私数据的安全，让数据脱敏工作标准化、产品化、流程化，需更加安全、专业的数据脱敏平台：该平台即可自动发现源数据中的敏感数据，保证脱敏后的输出数据能够保持数据的一致性和业务的关联性。同时满足开发环境、测试环境、分析应用等脱敏场景，也可为数据交易、数据交换、数据分析等第三方数据应用场景提供有效的安全防护。另一方面，进一步健全安全、有效的管理机制，提升医院信息安全防护能力，规范系统内众多的网络系统运维人员、第三方系统运维人员以及设备厂商维护人员，避免因为恶意操作或误操作等行为导致数据泄漏，造成不可估量的严重后果。特别是对HIS数据库服务器,财务运营服务器等这些核心业务系统。建设方案针对医院实际建设需求，美创科技基于多年行业积累，通过静态数据脱敏与动态脱敏两项安全建设，帮助该医院在不同场景下捍卫医疗数据的安全。部署示意图动态脱敏1、驻场运维人员的管理：从源头上对运维人员和业务人员进行分离管控，采用多维度的安全认证方式，如：对业务系统的终端认证，对sqlplus、Toad等常见运维工具进行识别认证，保证运维来源的可信、可控。2、内部运维人员的管理：运维过程中数据查询动态脱敏处理，实现数据库准入管理，有效防止撞库、暴力破解；对DBA权限管理实现特权账号管理，对数据库表和列级别进行细粒度控制，对敏感数据实现特定保护，防止误删除或者恶意删除。3、面向合作单位的数据查询脱敏：目前医院提供了一个数据中心，供合作单位进行数据查询，利用动态脱敏系统，对查询的数据中涉及的敏感数据进行脱敏处理，减少敏感数据外泄的可能。同时利用系统敏感数据自动判断机制，自动识别出每次查询中涉及到的敏感数据。静态脱敏1、开发测试数据脱敏：利用静态脱敏系统，自动扫描发现敏感数据，再对敏感数据进行漂白、变形、遮盖等处理，避免人为定义敏感数据的繁琐工作；脱敏过程数据不落地，无需额外存储存放中间数据，脱敏后保持生产业务系统数据的数据一致性和业务关联性，大大提高信息系统测试效率和上线速度。2、医院课题研究用数脱敏：各科室需要做课题研究时，使用的数据利用脱敏系统从生产环境导出数据脱敏使用，避免泄露患者的隐私数据。3、医科大学学术研究用数脱敏：对于医学院医疗和临床科研大数据研究用的数据，从生产系统脱敏后提供给各医学院使用。方案亮点基于数据查询动态脱敏处理，实现对查询的数据中涉及的敏感数据进行脱敏处理，减少敏感数据泄露风险。基于身份鉴别、访问控制机制，对DBA权限管理实现特权帐号管理，对数据库表和列级别细粒度控制，对敏感数据实现特定保护，防止误删除或者恶意删除。数据源丰富-支持关系型数据库、Nosql、数据仓库、Hadoop大数据平台、格式化文本、XML等文件。数据高效可用-有效保持数据原始特征;保持数据业务规则;保持数据业务关联性。安全高效-脱敏算法不可逆，具备完善的账户权限管理，脱敏过程数据不落地，无需额外存储存放中间数据，无数据泄露风险。应用场景高度灵活-支持多种脱敏应用场景，如数据库到数据库脱敏、数据库到文件脱敏、文件到数据库脱敏、文件到文件脱敏。客户收益1、通过使用美创动态脱敏系统，满足用户数据库安全运维管理需求，实现数据库准入、应用访问控制、数据库脱敏、运维审计等多种功能

在深圳政务服务正在由“人找服务”变成“服务找人”并逐步实现线下能办的线上也能办线上能办的，“掌上”就能办全流程不见面、零跑动、全自动“秒报秒批一体化”即报即批，即批即得深圳市大数据资源管理中心主要负责全市电子政务外网、政务云平台、数据备份中心等电子政务基础设施以及城市大数据中心（构建全市数据资源共享体系以及人口、法人、电子证照、公共信用基础库的建设和运维）和各类政务应用的建设管理和日常运维。随着云计算、大数据等新技术不断创新发展，深圳市大数据资源管理中心系统开发与专业化运维分工不断细化，业务系统快速迭代，数据量随之迅速增长，管辖的数据库已超过百套。为保障深圳电子政务基础设施的安全运行，维护电子政务安全、有序、稳定的业务环境，中心现亟需对数据及数据库进行进一步的运维和优化。建设内容更专业的数据库安全及运维服务

中国科学院大学附属肿瘤医院（浙江省肿瘤医院）是国内成立最早的四家肿瘤专科医院之一，是浙江省规模最大的三级甲等肿瘤专科医院，也是中国首批三级甲等医院。需求背景近年来，医院不断重视和加强信息化建设，深化“最多跑一次改革”，大力开展“医防融合”、智慧医疗、自动化办公等等信息化工作，伴随着医疗应用系统不断增多，医院实现了数据互联互通、资源共享，但医院缺乏足够、专业的运维人员，不得不依靠第三方运维团队，因此运维环节的数据泄露成为重要的安全隐患之一。同时，医院开展医疗服务对于信息化的依赖也不断增加，一旦发生数据库破坏、非计划停机等事件，造成数据丢失和业务停摆，会对整个医院的工作开展产生严重的影响，耽误治疗计划，影响医院声誉。解决方案内部运维管控+容灾体系建设针对中国科学院大学附属肿瘤医院（浙江省肿瘤医院）的需求，美创科技从内部运维风险管控和业务连续性保障的角度出发，提出如下解决方案：运维侧的安全管理，是数据安全防护的有效手段，通过美创数据库防水坝采取敏感数据管控、身份识别、数据库准入、行为阻断、授权管理、监控预警等技术手段，补齐数据安全短板。通过美创DBRA数据容灾系统，保障在生产库遭遇非计划性停机之后第一时间切换到容灾库，中间保证数据不丢失、停机时间最短。部署示意图面对集中存放且多而杂的数据，如何避免一刀切的管理方式？医院采用美创数据库防水坝，通过自动扫描发现的方式高效、方便、全面的获取敏感信息，从Schema级别、表格或者表格列、业务单元三方面来进行数据的分级分类，再将分类结果加入敏感集合，后续可以针对敏感集合不同的敏感级分级开放权限，避免一刀切的数据管理模式。运维团队庞大，人员多而杂，如何进行准确的人员识别，做到一人一号？不管是外部人员使用自带电脑登录数据库，还是在任意地点登录数据库，数据库防水坝对于接入数据库的行为提供多维度的监控。身份管理通过应用程序名、IP地址、主机名、操作系统账户、数据库账户、数据库实例名、时间、U盾、安全客户端等因素进行任意组合，形成新的登陆认证规则，U盾和安全客户端具有唯一的可识别的数字证书，保证一人一号，合法登录，同时还可以对连接数据库的运维工具进行认证，只有指定运维工具可以连接，防止带毒工具或者带有后门的工具连入数据库。数据库特权账户权限过大，如何其进行管控？数据库防水坝的特权账号访问控制，可禁止DBA、SYSDBA、SchemaUser、Any等特权用户访问和操作敏感数据集合，限制DBA账户权限，或者将脱敏后数据进行返回，访问敏感数据集合需要经过授权审批，实现特权用户权限分离管理。外部运维人员如果恶意删除数据，怎么应对？医院通过采用美创数据库防水坝，可以阻断Drop

在“新医改”政策和数字化技术的双重推动下，我国医疗行业的数字化转型取得了长足的进步，医疗健康数据成为国家重要的基础性战略资源，与此同时，随着信息化技术日益深入到医院的日常运营中，医院信息系统的安全工作迎来了新的挑战，敏感数据及隐私泄露、非法篡改等问题日益凸显。

某省农信联社是由省政府授权管理、指导、协调、服务全省近百家农村合作金融机构（包括农村合作银行、农村信用联社）的省级管理机构，同时也是具有一定经营功能的省级金融机构。目前，该农信联社在全省10余个设区市设立办事处，下辖近百家县级法人行社，拥有营业网点近5000个、丰收驿站等村级服务点过万，是该省网点人员最多、服务范围最广、资金规模最大的金融机构。需求背景该省农信联社作为省级银行机构，保存着全省所有农信联社的核心数据，根据《网络安全等级保护基本要求》、《银监会信息科技风险现场检查指南》等相关法规要求，在如开发测试、数据交换等场景需要对敏感数据进行脱敏、变形处理，保证生产数据的安全，避免敏感信息泄露。该省农信联社早在2017年就已经部署了数据脱敏产品，但是随着业务的高速发展以及业务种类的日益复杂，原有的数据脱敏系统已经不足以满足省农信的脱敏要求，例如：1、针对XML文件、星环TDH大数据平台脱敏时，原有的脱敏系统无法支持。2、此外，原有的脱敏系统还存在着操作界面老旧，脱敏功能简单的问题，针对一些复杂数据环境，用户体验难以满足用户需求。因此，该省农信现需重新采购一套数据脱敏系统，针对新业务场景进行数据脱敏，同时在针对复杂数据脱敏、大字段脱敏等场景时，也可以实现有效技术支撑，防止敏感数据泄露。解决方案经过多轮实际考察测试，该省农信联社最终选择了美创数据脱敏系统作为新一代的数据脱敏工具使用，美创数据脱敏系统部署在省农信开发测试环境中，针对现有的星环TDH大数据平台、AS400系统或XML文件进行脱敏。美创数据脱敏系统作为一款面向敏感数据进行数据自动发现、数据脱敏的专业数据安全脱敏产品，可实现自动化发现源数据中的敏感数据，并对敏感数据按需进行漂白、变形、遮盖等处理，避免敏感信息泄露。同时又能保证脱敏后的输出数据能够保持数据的一致性和业务的关联性。部署示意图美创数据脱敏系统解决问题如下：星环TDH大数据平台脱敏TDH平台作为国产大数据平台，脱敏产品如何适配一直是一大难题。美创数据脱敏系统作为业内首款支持信创环境的数据脱敏产品，已完成与星环大数据平台的兼容性认证，可以有效适配TDH平台，帮助客户完成脱敏任务。海量XML文件快速脱敏该省农信联社具有数百万的XML文件需要脱敏，美创数据脱敏系统内置丰富的脱敏规则，支持不同的脱敏需求，通过美创数据脱敏系统，可以在数小时就完成海量XML文件的批量脱敏，大大提高了脱敏效率。复杂场景下的数据脱敏该省农信联社原有的脱敏系统操作界面老旧，交互性差。且在针对一些复杂的脱敏场景，例如复杂数据敏感发现、大字段脱敏等场景效果较差，需要大量的人工干预，通过美创数据脱敏系统，完美解决了以上问题。客户收益1、敏感数据防泄漏通过对生产库中的敏感信息进行混淆、打乱后再提供给第三方使用，防止生产库中的敏感数据泄漏。通过脱敏策略和算法，保证脱敏数据有效性、完整性、关系性。2、实现高效的工作效率原有的脱敏系统老旧，需要大量的人工干预。利用美创脱敏系统可以快速响应脱敏需求，最快当天可实现脱敏数据交付。使数据脱敏工作不再成为项目进度的瓶颈，促进缩短项目周期，提升省联社工作效率。3、符合监管部门法规要求符合《网络安全法》关于数据安全的要求，符合银监会《银行业金融机构信息系统风险管理指引》对用于测试的生产数据需进行脱敏处理的要求。01年度工作总结请输入标题请输入标题01年度工作总结请输入标题请输入标题点击“阅读原文”，提交试用申请

中国联通某省分公司拥有覆盖全省、通达世界的现代通信网络，近年来，围绕经济社会发展对新一轮数字化革命的迫切需求，该公司加快全面数字化转型步伐，发力新基建，打造云网一体新生态，硬核上线“云展厅”“云课堂”“云法庭”，努力实现公益直播带货和全渠道数字化转型，充分发挥了信息通信对产业链和经济社会发展的带动拉动融通作用。需求背景近年来，随着信息技术的快速发展及联通公司各类核心业务的高速扩张，该公司数据库系统内汇聚了大量高价值的客户及企业核心敏感数据。虽然当前已经构建了完善的边界安全防御体系，并逐步制定和完善了一系列规章制度，但如何在利用数据资源实现数字化转型的过程中体系完整地保护敏感及隐私信息安全，依然面临着严峻的挑战。为落实《中华人民共和国网络安全法》、《电信和互联网用户个人信息保护规定》等法律法规和主管部门的各项规定，切实加强个人及企业数据的全生命周期保护，现开展数据安全防护体系建设，建设目标如下：1、数据安全体系化防护完成体系化的数据安全保护，实现数据全生命周期防护，包含：程序缺陷和漏洞修复、敏感数据分类分级、外部攻击入侵防御、内部风险操作管控、数据流动下的安全防护、数据访问的全面和精确审计留痕等，以确保数据不会面临恶意泄露、篡改或毁损、删库等状况的发生，确保各场景下数据使用及访问的安全合规。2、合规遵循数据安全应达到安全合规标准，应满足《中华人民共和国网络安全法》、《电信和互联网用户个人信息保护规定》、《中华人民共和国数据安全法》（草案）等法律法规及主管部门的对电信行业的各项规定。3、智能化管理降本增效，按照要求提供运维报告，对危险事件进行实时告警和通知，便于紧急事件处理；实时进行数据操作监控，定期对日志进行分析，基于数据安全风险态势对整体数据管理提供优化建议，最终实现数据的智能化安全管理。解决方案该省联通经过实际调研，最终选择美创科技完整参与项目整体建设，依托美创数据库防水坝、数据库防火墙、数据脱敏系统、数据库安全审计等产品搭建全面的数据安全风险防护体系，在现有网络安全防御体系下，完善内部风险操作管控、外部攻击入侵防御、数据流动各场景下的数据安全保护、全面精确审计留痕及高效溯源等技术防护手段。部署示意图外部攻击入侵防御依托美创数据库防火墙系统，基于业内领先的机器学习技术、SQL解析技术、完善的SQL注入攻击特征库及漏洞特征库，实时检测和阻断外部攻击行为，主动防御撞库、拖库和SQL注入攻击；同时提供虚拟补丁功能，检测并阻断利用数据库漏洞发起的攻击行为，有效避免了因打补丁造成数据库重启失败的可能；再加上基于身份授权下的敏感SQL操作管理，有效保证了不中断连接会话下业务流的智能安全管控。内部运维人员风险管控通过美创数据库防水坝，以敏感数据发现和分级分类管理为基础，完善现有4A管理平台，利用身份管理、行为授权等机制对运维人员进行准入合规管理，实现运维操作场景下数据即时动态脱敏、防范敏感数据的高危风险操作、限制特权账户随意访问和修改敏感数据、防直连登陆数据库等，同时，借助账号工单管理和免密登陆、基于全面风险分析报告及监控大屏，协助该省联通信息安全部实现运维人员身份管控，防止核心数据库资产账号密码泄露、提升运维数据安全监控及处置效率等。流动数据安全防护依托美创数据脱敏系统，结合各种应用场景的需求，比如：开发环境、测试环境、数据开放共享环境、数据分析场景、不同部门间数据流转环境等等，通过内置的丰富脱敏规则自动发现和梳理敏感数据，基于丰富的脱敏算法和不同的脱敏场景需求，实现敏感数据变形，漂白和替换，同时保持脱敏后数据的业务一致性；同时针对不同类别的脏数据提供智能化报表分析，进而优化和提升数据质量，辅助数据管理。另外，数据脱敏系统支持丰富的数据库、大数据平台、文件等作为数据源，加之增量脱敏等特点，也为该省联通未来更多的场景提供了可预见性的应用可能。全面、精确审计与高效检索依托美创数据库安全审计系统，以数据资产安全访问合规为出发点，包含直连访问流量在内，以入库流量的精确审计、全面审计及大数据引擎检索为基础，致力于数据库安全审计的日常化运营、可疑分析和安全报告，全面管理起整个数据库安全事件的生命周期，满足电信行业的相关合规要求。客户收益1、合规遵循落实并满足《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国数据安全法》（草案）、《电信和互联网用户个人信息保护规定》等法律法规和主管部门的各项规定，切实加强了个人及企业敏感隐私数据的全生命周期保护。2、数据资产驱动安全体系提升真正实现以敏感数据资产为核心来完善信息安全防御体系，并统一进行资产管理和风险管理，建立了数据安全能力指数、数据安全评价指标、数据安全风险库等评价体系。3、访问控制辅助安全运营基于三权分立机制，构建了完善的身份体系，彻底解决特权账户问题、各种非授权访问、越权访问和权限滥用等问题，并基于风险展示、风险评分、态势感知和风险告警搭建完成数据安全运营系统。4、数据安全能力资源池基于敏感数据发现及分类分级、身份体系认证、数据水印技术、数据脱敏技术、防SQL注入/拖库、虚拟补丁、防直连控制、工单管理、字段级别的访问控制技术、威胁溯源及全面审计、生态安全能力API，构筑数据安全能力资源池，为更多应用做数据安全赋能。5、全场景下的数据安全体系从基础设施层、数据资源层、应用支撑层和业务应用层等场景构建防护体系，满足合规要求的同时实现基于敏感数据资产为主体的全场景防护的安全目标。点击“阅读原文”，提交试用申请

陕西重型汽车有限公司（以下简称“陕重汽”）成立于2002年，总部位于陕西省西安市，现有资产总额373亿元，从业人员1.6万人，科研力量雄厚，是重型商用车领域全球知名企业，已在阿尔及利亚、肯尼亚、马来西亚等国家实施了本地化生产，产品销往世界100多个国家和地区，出口量连续多年位居行业前茅。

医保基金是人民群众治病就医的“救命钱”，但近年来，欺诈骗取医疗保障基金事件时有发生，对人民生命健康安全造成极大威胁。为切实保障医保基金安全，提高使用效率，某市医保局通过美创科技数据治理和可视化建设方案，形成多层次、立体化的基金监管网络，有效遏制了不法分子欺诈骗保行为，挽回了流失的医保基金，织就了保障人民群众健康的安全网。01需求背景近年来，我国医疗卫生资源和服务量迅速增长，医疗卫生服务新产业、新业态、新模式不断涌现，医疗卫生领域“放管服”改革不断深化，同时，一些深层次的矛盾也逐渐暴露，特别是违规行为多样化与监管机制手段不足的冲突、服务内容不断增加与经办力量有限的冲突日益明显，欺诈骗取医疗保障基金等事件时有发生…医保基金是人民群众的看病钱、救命钱，管好用好医保基金是医疗保障部门的首要任务。某市医保局根据相关文件要求，现需利用信息化手段提高监管效率，通过大数据技术对经办机构、基金、医疗机构、病种、患者、资源既能进行整体画像分析又能进行详单查看，进一步推进医保基金监管力度，加深对全市医保基金的管理和分析。02解决方案该市医疗保障基金综合监管开展之初，就充分发挥信息化、大数据的支撑作用，目前已在全市范围内建设了相当完善的监管机制、方式，根据省市医疗保障政策等相关文件要求，现对全市医保基金监管管理体系进一步建设。为解决这一需求，该市医保局决定采用美创科技数据治理和可视化方案助力医疗保障基金综合监管系统建设，具体如下：美创科技数据治理和可视化方案架构01通过美创数据支撑平台实现数据实时采集，并通过数据治理形成标准数据；数据采集进行全域业务、全流程作业的数据监控，实现完善的平台性能与作业执行情况的统计与监控。02已建立决策分析数据库（与业务数据库秒级同步），对本项目所需的数据进行标准化处理，为监管服务提供数据支持。03数据应用，可以分阶段按需，持续完善医疗保障数据大脑和全市医疗保障基金综合监管应用。04整个应用体系，都需要纳入数据安全保障体系、数据标准规划体系及数据运维体系。为监管服务系统提供高质量的安全、标准、运维服务。美创数据支撑平台本项目使用美创数据支撑平台，完成了对医保参保库、资源库、结算库，稽核库、异地就医等各类业务数据库的历史全量数据的抽取及增量数据的实时采集。面对大量业务数据，数据支撑平台依赖先进的底层架构设计，可以做到无侵入、可续传、实时完整的数据采集，主要有以下几大技术特点：美创数据支撑平台技术特点☞

金融数据安全关系着公民个人权益与社会稳定，银行作为敏感数据的“重灾区”，往往面临更为突出的数据安全威胁，会更加重视对用户数据的保护。在中原银行数据安全建设过程中，美创数据库审计系统帮助中原银行监督人员获得有效的技术手段，完善了该行IT内控机制，有效保障了中原银行敏感数据资产的安全。中原银行是河南省属法人银行，成立于2014年12月26日，总部位于河南省会郑州市，连续四年获《金融时报》“年度十佳城市商业银行”，在英国《银行家》杂志公布的2019年全球1000强银行排名中，中原银行排名位列全球第181名，位列国内上榜银行第28名，成为2019年《财富》中国500强，在入围的商业银行中排名第23位，是河南本土唯一上榜的金融机构。该行近年来不断探索融入金融科技，大力发展移动金融、线上金融，提升综合金融服务能力。从2018年起，中原银行开启数字化转型，以打造敏捷银行、未来银行为目标，全面启动科技和数据能力建设。

上海电力股份有限公司（简称：上海电力）是国家电力投资集团有限公司最主要的上市公司之一，也是上海最主要的电力能源企业之一。公司产业布局遍及华东地区，并逐步向海外开拓。公司目前拥有70余套重要业务系统应用，主要应用和数据库当前大都基于windows操作系统，windows本身容易暴露漏洞被网络攻击，对于当前变种速度越来越快的勒索病毒，更新病毒库杀毒这种传统防护模式更显得力不从心，存在误杀误报、对新病毒后知后觉从而无法有效防护、本地病毒库有限造成在隔离网络中的弱保护等痛点，所以此次电力系统防勒索建设需求如下：❖

作为我国长江三角洲地区中心城市之一，常州市深化“互联网+政务服务”，大力推进“一网通办”，全面推动数据融合、业务融合、线上线下融合，将政务服务“一网”“三通”“五办”打造成常州高质量管理明星城市的鲜明标识，至2019年，常州市电子政务外网网络覆盖范围纵向已形成省、市、县、乡四级连通，横向已与市级各部门实现互连，网络结构更加合理。常州市电子政务外网基于信息系统安全等级保护三级标准和江苏省电子政务外网建设规范，通过全面的安全服务内容，覆盖从物理通信到网络、系统平台各个层面的安全需求，构建了全面、完整、高效的信息安全体系构架，为常州市电子政务外网的健康发展提供坚实的信息安全保障，为各部门政务系统提供安全可靠的基础网络服务。常州市电子政务外网承载了人大建议提案系统、发改委重大项目管理系统、市大数据共享交换平台等市级各部委办等诸多重要系统，系统后台存储了大量敏感政务信息，但缺乏专业的数据库审计措施，仅依靠数据库系统本身提供的日志进行审计，无法精确化的数据库审计与溯源，部分系统甚至由于存储空间与性能问题而关闭数据库的日志功能。对此，为实现全方位风险控制，常州市电子政务外网现需引进专业的数据库安全审计系统进行审计。

🎁🎁欢迎参加文末感恩互动领福利近年来，随着医院信息化的日益扩展和深入，医疗业务和信息化的结合日益紧密，医院信息管理系统、电子病历建设...以信息化改善医疗业务，以医疗业务推动信息化，两者不断互相推动促进。本溪市中心医院是辽东地区一所集医疗、教学、科研、妇幼保健、康复、健康管理、疾病控制、职业病防治等功能为一体的综合性三级甲等医院。随着医院信息化进程的逐步深入，应用系统越来越多，环境日益复杂，需要建设的IT系统包含运行核心业务系统的多台物理机、以及多种类型的数据库等。本溪市中心医院本溪市中心医院的手术麻醉、B超、院感、ERP、OA、财务等业务系统部署在X86平台物理机和虚拟化主机上，为提升业务系统运行连续性，降低数据丢失、信息系统宕机所带来的风险，需要加强业务系统的灾备建设，以满足数据安全与业务连续性的要求，具体需求如下：❖

近年来，伴随互联网、大数据技术的高速发展，国家对政府数字化转型和政务信息化服务相关工作的重视程度和建设要求与日俱增。2015年，我国首次指出云计算将成为建设网络强国的重要支撑,建立完善党政机关云计算服务安全管理制度。《云计算服务网络安全管理的意见》中进一步明确了云计算服务网络安全管理的“四不”准则，从而在政策和标准层面,

在医疗数字化的今天，IT系统如同医院的“中枢神经”支撑着医院业务的高效运转，其稳定运行以及数据安全也因此成为医院运营管控的重点，尤其是承载着关键数据的核心系统，确保其7*24小时不间断运行至关重要。HIS系统作为医院核心业务系统，其安全性、可靠性、稳定性需要格外关注，需要实现7*24小时的不间断运行。在医院业务不断发展，数据量的不断增加的今天，如何保障HIS系统的业务连续性？宁波市中医院HIS系统数据级容灾建设方案值得借鉴。需求背景宁波市中医院是宁波市唯一一家集医疗、科研、教学、预防、康复为一体的三级甲等中医医院。随着宁波市中医院信息化建设的推进，宁波市中医院信息化建设已具有规模，服务器，数据存储设备、网络设备、网络安全设备和软件等大都配备完成，运行多年。目前，HIS系统作为医院核心业务系统，承担着医院的重要业务工作，因此要求具有高度的安全性、可靠性、稳定性，实现7*24小时的不间断运行。尤其随着业务发展和数据量的不断增加，亟需一套高可用的灾备系统，为业务数据保驾护航：❖

CDP持续数据保护，系统平台可对需要容灾的主机实现IO级别的细颗粒度实时备份，不仅能够得到一份独立于生产数据的容灾数据，而且能够实现历史时间点的数据回滚，既可进行业务接管，也能解决数据逻辑错误；❖

金融行业一直走在信息化道路的第一线，各项业务与信息系统结合颇深，同时又较早实现了数据集中化管理，数据交互、调用类场景发生频繁。业务的多样化、服务的开放化等也使得应用越来越复杂，这也将导致出现技术脆弱性或者业务安全隐患的几率增大。尤其是由于金融数据的高价值、易变现等特性，数据安全问题尤为突出。

医院患者单体数据的巨大价值，使人的安全成为医院安全的最大问题所在。Verizon报告揭示医疗行业是唯一一个内部威胁远大于外部威胁的行业，内部威胁高达60%，外部威胁只有40%。更大的数据意味着更大的利益，网络的普及化与各类工具的便利化固然增大了数据“捕猎者”的基数，但如何解决源自于内部的安全威胁，尤其是运维端所引发的数据泄露风险，是各大医院所面临的难题。需求背景泰安市妇幼保健院（市儿童医院）是泰安市唯一一家三级甲等妇幼保健院，是泰山医学院实践教学医院、全国百姓放心示范医院，已连续十一年保持省级文明单位荣誉称号。医院环境优美、设施先进，引进超导核磁共振、复式数字钼靶等国际众多先进的医疗设备为泰安市民提供国内一流的优质医疗保健服务。近年来，随着泰安市妇幼保健院（市儿童医院）信息化建设迅速发展，数据规模和数据访问及操作日益增加。为保护重要、敏感数据安全，该院计划加强内部安全管控，并提出以下需求：❖

点击弹出不同海报样式说明：该样式效果为A图片点击以后出现其他不同图片海报，只支持手机上查看效果。点击前后所有图片需保持尺寸相同，需要使用同步保存功能同步到公众号。本段文字可自行删除☟

当数据流动到外部机构时，该数据的安全防护就失去了控制。大数据局作为数据提供方，可以采用数据水印技术提供数据溯源机制。当发生数据泄露的时候，可以知道数据泄露在哪个环节发生，便于数据泄漏溯源。客户收益➢

从“最多跑一次”到“一次不用跑”，随着智慧政务建设的不断深入，政务服务能力和现代化治理水平不断提升。而这背后，实现跨部门事项联办、数据信息互通，加快推进部门间信息共享和业务协同，

《教育信息化2.0行动计划》、《中国教育现代化2035》等一系列国家政策的相继出台，吹响了加快信息化时代教育变革的号角。如今，随着“三全两高一大”持续推进、信息技术广泛应用，海量数据随之产生，数据的使用方式和使用者也更加广泛。

三、对数据库的日常巡检,包括检查运行状态、空间使用、运行性能等,由数据库管理员通过人工方式逐个查看,不仅耗时长、效率低,而且容易因人为因素而忽略相关错误和无法及时发现问题隐患；☞

如今，大数据在各个领域的渗透正逐渐加深，证券行业作为高度信息化行业，越来越多的券商也在开始尝试采用数据驱动的方法来促进自身业务的升级转型。然而，随着大量生产数据应用在开发、测试、提取和分析挖掘等场景，敏感隐私数据泄露的风险也愈加严重，存在各种攻击风险。《证券期货业信息系统运维管理规范》、《证券公司网上证券信息系统技术指引》以及《证券基金经营机构信息技术管理办法》明确提出：生产环境在线数据和离线数据用于非生产环境时，需进行脱敏处理。在法规监管背景下，数据脱敏作为“数据可用”和“隐私保护”两难困境的有效技术得以广泛使用。那么，一套完善、可靠的脱敏体系如何搭建？如何在不改变业务逻辑的情况下进行安全低风险的脱敏？这家顶级券商如此应对。客户简介招商证券是百年招商局旗下金融企业，创立于1991年，经过二十余年发展，各项业务和综合实力均进入国内十强，是国内拥有证券市场业务全牌照的一流券商。业务范围包括：为投资者提供证券代理买卖、证券发行与承销、收购兼并、资产重组、财务顾问、资产管理、投资咨询等证券投、融资全方位服务。