返回大厅
DBSec Labs(安华金和数据库安全实验室)
投票数量:339 票
助力海报
团队介绍
核心成员介绍
研究方向与成果
荣誉及资质
安华金和数据库安全实验室成立于2010年,是中国第一批成立的、规模化的数据库安全研究机构,是具备“国际数据库漏洞挖掘能力”的专业实验室,也是国内首个针对数据库漏洞进行系统分类与定性分析的专业团队。团队由国内顶级的数据安全专家、漏洞挖掘和攻防演练专家组成。DBSec Labs持续跟踪国内外主流数据库漏洞、数据库攻击技术与数据库安全防护技术,重点围绕数据库自身、数据库使用环节存在的安全漏洞,以及黑客如何利用数据库漏洞对客户信息资产进行侵害等问题,分析、研究防御手段以降低数据库安全风险,实现对数据资产的有效保护。
作为一支能够独立且持久针对数据库漏洞、数据库攻击技术模拟与数据库安全防护技术进行研究的专业队伍,DBSec Labs重点围绕数据库自身、数据库使用环节存在的安全漏洞,以及黑客如何利用数据库漏洞对客户信息资产进行侵害等问题,分析、研究防御手段以降低数据库安全风险,实现对数据资产的有效保护。
DBSec Labs采用开放的心态积极与学院和社会数据库安全研究组织团体进行沟通,积极参与CVE(Common Vulnerabilities and Exposures,国际漏洞公布组织)、CNNVD(China National Vulnerability Database of Information Security,中国国家信息安全漏洞库)组织的活动,以及国家等级保护和分级保护的技术研究等。
1、截至2024年10月,安华金和数据库安全实验室向IBM、Oracle、达梦、人大金仓、Gbase等国内外主流数据库厂商提交并获认证的数据库漏洞累计达到287个(含国际漏洞54个,国内漏洞233个),其中包括2个超高危漏洞、66个高危漏洞,154个中危漏洞,65个低危漏洞。贡献了70%以上来自于中国区的CVE数据库漏洞,向CNNVD和CNVD贡献了超过80%的国产数据库漏洞。
2、DBSec Labs(安华金和数据库安全实验室)是中国第一批成立的、规模化的数据库安全研究机构,是具备“国际数据库漏洞挖掘能力”的专业实验室,也是国内首个针对数据库漏洞进行系统分类与定性分析的专业团队,团队人员二十余名,由十余名白帽子带队,外加行业资深数据安全技术人员。
3、迄今为止数据库漏洞挖掘数量最多,在CNVD、CNNVD上数据库漏洞收录数量最多的一家国内数据库安全实验室;曾一度填补了中国在数据库漏洞安全研究方面的空白。
4、DBSec Labs专注数据库攻防研究与漏洞挖掘工作,并将技术研究转化为产品成果,多年来陆续编写并发布专门针对Oracle、MySQL、SQL Server、DB2、MongoDB、PostgreSQL六大国际主流数据库以及GBase、Kingbase、达梦三大国产主流数据库的《安全配置指导手册》。
5、作为能够独立且持久针对数据库漏洞、数据库攻击技术模拟与数据库安全防护技术进行研究的专业队伍,DBSec Labs通过降低数据库安全风险,实现对数据资产的有效保护。并把大部分研究成果转化成专业论文在专业杂志和网络期刊进行公开发表,将相关的数据库攻击手段和防御措施录制成视频在网上发布,对典型数据库安全事件进行分析帮助用户了解数据库安全威胁,制作《数据库安全威胁与防护》企业内部杂志免费提供给用户,参与编写第三方机构的数据库安全研究报告,分享数据库安全态势及攻防技术研究成果。
实验室主任:
刘晓韬 北京安华金和科技有限公司 创始人兼董事长,专注数据库内核技术与数据安全领域研究近二十年,不仅在技术研究上有着深厚的造诣,更是数据安全治理的实践者和推动者。2016年刘晓韬在国内率先提出了数据安全治理的概念和体系,为当时尚处于萌芽状态的中国数据安全治理领域注入了新的活力。他通过持续推动数据安全治理的实践与生态建设,为行业的发展树立了标杆。
在安华金和的创立和发展过程中,刘晓韬带领团队率先推出了数据资产梳理、数据库防火墙、动态数据脱敏、数据库加密等一系列数据安全产品和技术,为用户提供了全方位的数据安全保障。这些成果的推出,不仅展示了安华金和的技术实力,也体现了刘晓韬对数据安全的深刻理解和独到见解。
近年来,刘晓韬更是提出了“体系化数据安全防护”、“云上数据安全保障”、“可信数据空间助力数据要素X”以及“让数据使用自由而安全”等创新理念。这些理念不仅引领了行业的发展方向,也推动了安华金和在数据安全领域的持续创新。基于这些理念,安华金和研发推出了数据安全评估系统、数据安全运营系统、数据分类分级咨询服务等一系列平台型、综合性、体系化的数据安全创新技术、产品和服务,为用户提供了可靠、高效的数据安全解决方案。参与和主持过产业化项目《目录服务系统和授权管理系统的产业化》、国家产业化项目《南大通用安全数据库系统的产业化》、工信部电子发展基金项目《安全目录服务系统》、工信部电子基金项目《数据库标准研究与制定》、我国金盾工程目录服务标准制作、安标委安全目录服务标准、中国数据库标准制作等。
实验室副主任:
夏旭东,北京安华金和科技有限公司 副总裁,负责公司研发中心管理,兼实验室副主任,20余年网络和数据库内核开发经验;6年流控产品和MPP数据库开发负责;5年传统防火墙和流量控制产品的开发负责。曾经担任某国产数据库厂商的分析型数据库的研发负责人。曾担任AscenLink产品研发负责人。
(1)对数据库安全漏洞进行研究,是DBSec Labs的首要职责。
当前,Oracle、SQL Server和DB2等国际主流数据库产品在我国被广泛使用,伴随我国安全产品“自主化”基本国策的持续推进,针对国际主流数据库安全漏洞的研究攸关国家安全,DBSec Labs投入力量对上述国际主流数据库进行安全漏洞研究。同时,DBSec Labs也投入力量对广泛使用的MySQL、Postgre等开源数据库,以及武汉达梦、人大金仓、神舟通用、南大通用等国产主流数据库产品进行安全漏洞研究。
(2)黑客数据库入侵手段研究
黑客入侵数据库不仅利用数据库的自身漏洞,还会利用合法应用系统提供的漏洞途径(如SQL注入)、操作系统漏洞(文件层攻击)、网络漏洞(网络通讯捕获)等手段获得数据库内的储存信息。DBSec Labs针对这些黑客攻击手段进行研究。
(3)数据库防护手段研究
DBSec Labs将对数据库漏洞扫描、Web SQL注入扫描、网络监控与分析、数据库加密、增强认证、增强权限、数据库应用安全、数据库审计等数据库防护手段进行追踪和研究。
(4)应用系统/API入侵和防护手段研究
针对常见应用系统/API的漏洞进行研究,对于OWASP TOP10进行研究和总结,对于未鉴权、弱密码、弱加密、数据暴露、SQL注入、越权访问等常见漏洞的防护手段进行追踪和研究。
成果:
截至2024年10月,安华金和数据库安全实验室向IBM、Oracle、达梦、人大金仓、Gbase等国内外主流数据库厂商提交并获认证的数据库漏洞累计达到287个(含国际漏洞54个,国内漏洞233个),其中包括2个超高危漏洞、66个高危漏洞,154个中危漏洞,65个低危漏洞。贡献了70%以上来自于中国区的CVE数据库漏洞,向CNNVD和CNVD贡献了超过80%的国产数据库漏洞。
特殊说明:
1)DBSec Labs2019-2021连续三年当选“金帽子”年度杰出安全实验室
2)国家工业信息安全发展研究中心 信创政务产品安全漏洞专业库技术支撑单位
1、专利资质
授权发明专利:40+项
计算机软件著作权:90+项
产品兼容性认证:180+项
2、参与标准(共31项)
《信息安全技术 政务信息共享 数据安全技术要求》
《信息安全技术 防火墙安全技术要求和测试评价方法》
《信息安全技术 政务大数据安全风险评估实施指南》
《数据安全保密防护产品技术要求》
《数据安全技术 数据安全风险评估办法》
《数据安全技术 敏感个人信息处理安全要求》
《工业互联网企业网络安全 第4部分:数据防护要求》
《信息安全技术 个人信息保护合规审计指南》
《数据安全风险监测评估实施指南》
《数据处理活动安全要素识别与表示方法》
....
3、行业市场研究机构认可(2022-2023年摘选)
安华金和全面入选中国信通院《数据安全产品与服务图谱(2.0)》
安华金和荣列《CCSIP 2022 中国网络安全行业全景册》
安华金和荣获中国软件评测中心“2022年度数据安全优秀案例”
安华金和“数据安全运营平台解决方案”获评数据安全产业成果展“先进技术应用案例”
安华金和登榜2023年中国市场网络安全“大众点评”百强
安华金和全面入选嘶吼《数据安全细分市场调研报告2023》
安华金和登榜《嘶吼2023网络安全产业图谱》
安华金和列入IDC中国等保合规市场报告推荐厂商
安华金和入选赛博研究院《2023年度中国隐私科技厂商图谱》
安华金和列为IDC中国数据安全及数据库安全市场代表厂商
安华金和稳居IDC“数据安全管理平台”领导者类别
安华金和入选“IDC中国未来信任优秀案例”
安华金和广东移动数据安全防护建设实践案例入选中国信通院“2023年数据安全技术与产品应用优秀案例”
安华金和-湖南省卫生健康委员会数据安全治理案例实践成功入选中国网络空间安全协会“2023年数据安全典型实践案例”
安华金和数据安全评估案例实践入选中国信通院“2022年数据安全技术与产品应用优秀案例”
安华金和六款产品获中国信通院“数据安全类产品能力验证计划”评测证书
安华金和荣获中国信通院“联邦学习+多方安全计算”能力评测证书
安华金和数据安全协同平台入选中国网络空间安全协会“2022年数据安全典型实践案例”
4、GARTNER&IDC 入选简介
GARTNER:作为中国专业的数据安全产品与解决方案提供商,安华金和(DBSEC)在2017-2024年间累计入选Gartner涵盖“数据安全、数据管理、威胁应对、应用安全、风险管理、隐私保护”六个领域及“企业内部关键数据的分级加密”、“中国网络安全市场”在内的共14份技术成熟度曲线研究报告;入选静态脱敏、动态脱敏、数据安全审计与保护、数据库加密、数据安全平台领域的全球代表厂商。
此外,2021-2023,安华金和连续三个年度进入国际权威IT研究与顾问咨询公司 Gartner 发布的 Market Guide for Data Masking(数据脱敏市场指南),跻身数据脱敏领域全球代表厂商行列,与国际知名厂商一同由Gartner面向其全球客户进行品牌及产品推荐。
· Hype Cycle for Threat-Facing Technologies,2017
· Hype Cycle for Risk Management, 2017
· Hype Cycle for Data Security, 2017
· Hype Cycle for Application Security, 2017
· Prioritize Enterprisewide Encryption for CriticalDatasets
· Hype Cycle for Threat-Facing Technologies,2018
· Hype Cycle for Privacy, 2018
· Hype Cycle for Data Security, 2018
· Hype Cycle for Application Security, 2018
· Hype Cycle for Data Management, 2020
· Hype Cycle for Privacy, 2020
· Hype Cycle for Data Security, 2020
· Market Guide for Data Masking,2020
· Market Guide for Data Masking,2021
· Market Guide for Data Masking,2022
· Hype Cycle for Security in China, 2022
· Hype Cycle for Security in China, 2023
· Hype Cycle for Security in China, 2024
· 《Market Guide for Data Masking and Synthetic Data》, 2024
IDC:2023年,安华金和入选《IDC MarketScape:中国数据安全管理平台,2023》报告并稳居领导者象限;同时作为代表厂商入选IDC数据安全、数据库安全、等保合规等报告,入选CIO 视角-中国未来信任优秀案例。
· 《IDC MarketScape:中国数据安全管理平台,2023》“领导者”类别
· 《IDC Perspective:中国数据安全市场发展趋势,2023》代表厂商
· 《IDC Perspective:中国数据库安全市场洞察,2023》代表厂商
· 《IDC Perspective: 中国等保合规解决方案市场洞察,2023》代表厂商
· 《CIO 视角-中国未来信任优秀案例,2023》
5、产业联盟会员单位及主要资质
国家高新技术企业
国家级专精特新小巨人企业
国家信息安全漏洞库CNNVD技术支撑单位
工信部信创漏洞库CITIVD “首批支撑单位”
首批CNCERT数据与软件安全评测领域应急服务支撑单位
北京市知识产权试点单位
ISO9001质量管理体系认证证书
ISO27001信息安全管理体系认证证书
ISO20000信息技术服务管理体系认证证书
信息安全风险评估服务资质
信息系统安全集成服务资质
信息系统安全运维服务资质
CMMI 软件能力成熟度三级资质
中关村网络安全与信息化产业联盟 数据安全治理工作委员会(发起&主任单位)
中国网络安全产业联盟 数据安全工作委员会(CCIA-DSC)
中国网络空间安全协会(数据治理专家组、跨境数据安全评估专家组)
中国计算机学会计算机安全专业委员会 数据安全工作组
中国计算机行业协会 数据安全专业委员会首批会员单位
中国互联网协会 数据安全治理工作委员会
工业信息安全产业发展联盟 数据安全专业委员会
北京工业互联网技术创新与产业发展联盟 数据安全专委会
中国电子商会自主创新与安全技术委员会 常务理事单位
电信和互联网行业数据安全人才强基计划 成员单位
长按海报可保存至本地
提供云计算服务
