安华金和数据库安全实验室成立于2010年，是中国第一批成立的、规模化的数据库安全研究机构，是具备“国际数据库漏洞挖掘能力”的专业实验室，也是国内首个针对数据库漏洞进行系统分类与定性分析的专业团队。团队由国内顶级的数据安全专家、漏洞挖掘和攻防演练专家组成。DBSec Labs持续跟踪国内外主流数据库漏洞、数据库攻击技术与数据库安全防护技术，重点围绕数据库自身、数据库使用环节存在的安全漏洞，以及黑客如何利用数据库漏洞对客户信息资产进行侵害等问题，分析、研究防御手段以降低数据库安全风险，实现对数据资产的有效保护。

 

作为一支能够独立且持久针对数据库漏洞、数据库攻击技术模拟与数据库安全防护技术进行研究的专业队伍，DBSec Labs重点围绕数据库自身、数据库使用环节存在的安全漏洞，以及黑客如何利用数据库漏洞对客户信息资产进行侵害等问题，分析、研究防御手段以降低数据库安全风险，实现对数据资产的有效保护。

 

DBSec Labs采用开放的心态积极与学院和社会数据库安全研究组织团体进行沟通，积极参与CVE（Common Vulnerabilities and Exposures，国际漏洞公布组织）、CNNVD（China National Vulnerability Database of Information Security，中国国家信息安全漏洞库）组织的活动，以及国家等级保护和分级保护的技术研究等。

 

截至2023年8月，安华金和数据库安全实验室向IBM、Oracle、达梦、人大金仓、Gbase等国内外主流数据库厂商提交并获认证的数据库漏洞累计达到258个（含国际漏洞49个，国内漏洞209个），其中包括1个超高危漏洞、63个高危漏洞，133个中危漏洞，61个低危漏洞。贡献了70%以上来自于中国区的CVE数据库漏洞，向CNNVD和CNVD贡献了超过80%的国产数据库漏洞。

1、DBSec Labs（安华金和数据库安全实验室）是中国第一批成立的、规模化的数据库安全研究机构，是具备“国际数据库漏洞挖掘能力”的专业实验室，也是国内首个针对数据库漏洞进行系统分类与定性分析的专业团队，团队人员二十余名，由十余名白帽子带队，外加行业资深数据安全技术人员。

2、迄今为止数据库漏洞挖掘数量最多，在CNVD、CNNVD上数据库漏洞收录数量最多的一家国内数据库安全实验室；曾一度填补了中国在数据库漏洞安全研究方面的空白。

3、DBSec Labs专注数据库攻防研究与漏洞挖掘工作，并将技术研究转化为产品成果，多年来陆续编写并发布专门针对Oracle、MySQL、SQL Server、DB2、MongoDB、PostgreSQL六大国际主流数据库以及GBase、Kingbase、达梦三大国产主流数据库的《安全配置指导手册》。

4、作为能够独立且持久针对数据库漏洞、数据库攻击技术模拟与数据库安全防护技术进行研究的专业队伍，DBSec Labs通过降低数据库安全风险，实现对数据资产的有效保护。并把大部分研究成果转化成专业论文在专业杂志和网络期刊进行公开发表，将相关的数据库攻击手段和防御措施录制成视频在网上发布，对典型数据库安全事件进行分析帮助用户了解数据库安全威胁，制作《数据库安全威胁与防护》企业内部杂志免费提供给用户，参与编写第三方机构的数据库安全研究报告，分享数据库安全态势及攻防技术研究成果。

研究方向：

（1）对数据库安全漏洞进行研究，是DBSec Labs的首要职责。

当前，Oracle、SQL Server和DB2等国际主流数据库产品在我国被广泛使用，伴随我国安全产品“自主化”基本国策的持续推进，针对国际主流数据库安全漏洞的研究攸关国家安全，DBSec Labs投入力量对上述国际主流数据库进行安全漏洞研究。同时，DBSec Labs也投入力量对广泛使用的MySQL、Postgre等开源数据库，以及武汉达梦、人大金仓、神舟通用、南大通用等国产主流数据库产品进行安全漏洞研究。

（2）黑客数据库入侵手段研究

黑客入侵数据库不仅利用数据库的自身漏洞，还会利用合法应用系统提供的漏洞途径（如SQL注入）、操作系统漏洞（文件层攻击）、网络漏洞（网络通讯捕获）等手段获得数据库内的储存信息。DBSec Labs针对这些黑客攻击手段进行研究。

（3）数据库防护手段研究

DBSec Labs将对数据库漏洞扫描、Web SQL注入扫描、网络监控与分析、数据库加密、增强认证、增强权限、数据库应用安全、数据库审计等数据库防护手段进行追踪和研究。

(4)应用系统/API入侵和防护手段研究

针对常见应用系统/API的漏洞进行研究，对于OWASP TOP10进行研究和总结，对于未鉴权、弱密码、弱加密、数据暴露、SQL注入、越权访问等常见漏洞的防护手段进行追踪和研究。

成果：

截至2023年8月，安华金和数据库安全实验室向IBM、Oracle、达梦、人大金仓、Gbase等国内外主流数据库厂商提交并获认证的数据库漏洞累计达到258个（含国际漏洞49个，国内漏洞209个），其中包括1个超高危漏洞、63个高危漏洞，133个中危漏洞，61个低危漏洞。贡献了70%以上来自于中国区的CVE数据库漏洞，向CNNVD和CNVD贡献了超过80%的国产数据库漏洞。