安华金和数据库安全实验室成立于2010年，是中国第一批成立的、规模化的数据库安全研究机构，是具备“国际数据库漏洞挖掘能力”的专业实验室，也是国内首个针对数据库漏洞进行系统分类与定性分析的专业团队。团队由国内顶级的数据安全专家、漏洞挖掘和攻防演练专家组成。

作为一支能够独立且持久针对数据库漏洞、数据库攻击技术模拟与数据库安全防护技术进行研究的专业队伍，DBSec Labs重点围绕数据库自身、数据库使用环节存在的安全漏洞，以及黑客如何利用数据库漏洞对客户信息资产进行侵害等问题，分析、研究防御手段以降低数据库安全风险，实现对数据资产的有效保护。

DBSec Labs采用开放的心态积极与学院和社会数据库安全研究组织团体进行沟通，积极参与CVE（Common Vulnerabilities and Exposures，国际漏洞公布组织）、CNNVD（China National Vulnerability Database of Information Security，中国国家信息安全漏洞库）组织的活动，以及国家等级保护和分级保护的技术研究等。

DBSec Labs特点：

01第一批成立、规模化的数据库安全研究机构：DBSec Labs（安华金和数据库安全实验室）是中国第一批成立的、规模化的数据库安全研究机构，是具备“国际数据库漏洞挖掘能力”的专业实验室，也是国内首个针对数据库漏洞进行系统分类与定性分析的专业团队。

02数据库漏洞收录数量最多：迄今为止数据库漏洞挖掘数量最多，在CNVD、CNNVD上数据库漏洞收录数量最多的一家国内数据库安全实验室；曾一度填补了中国在数据库漏洞安全研究方面的空白。

03编写《安全配置指导手册》：DBSec Labs专注数据库攻防研究与漏洞挖掘工作，并将技术研究转化为产品成果，多年来陆续编写并发布专门针对Oracle、MySQL、SQL Server、DB2、MongoDB、PostgreSQL六大国际主流数据库以及GBase、Kingbase、达梦三大国产主流数据库的《安全配置指导手册》。

04分享数据库安全态势及攻防技术研究成果：作为能够独立且持久针对数据库漏洞、数据库攻击技术模拟与数据库安全防护技术进行研究的专业队伍，DBSec Labs通过降低数据库安全风险，实现对数据资产的有效保护。并把大部分研究成果转化成专业论文在专业杂志和网络期刊进行公开发表，将相关的数据库攻击手段和防御措施录制成视频在网上发布，对典型数据库安全事件进行分析帮助用户了解数据库安全威胁，制作《数据库安全威胁与防护》企业内部杂志免费提供给用户，参与编写第三方机构的数据库安全研究报告，分享数据库安全态势及攻防技术研究成果。

DBSec Labs研究职责：

01对数据库安全漏洞进行研究，是DBSec Labs的首要职责。

当前，Oracle、SQL Server和DB2等国际主流数据库产品在我国被广泛使用，伴随我国安全产品“自主化”基本国策的持续推进，针对国际主流数据库安全漏洞的研究攸关国家安全，DBSec Labs投入力量对上述国际主流数据库进行安全漏洞研究。

同时，DBSec Labs也投入力量对广泛使用的MySQL、Postgre等开源数据库，以及武汉达梦、人大金仓、神舟通用、南大通用等国产主流数据库产品进行安全漏洞研究。

02黑客数据库入侵手段研究

黑客入侵数据库不仅利用数据库的自身漏洞，还会利用合法应用系统提供的漏洞途径（如SQL注入）、操作系统漏洞（文件层攻击）、网络漏洞（网络通讯捕获）等手段获得数据库内的储存信息。DBSec Labs针对这些黑客攻击手段进行研究。

03数据库防护手段研究

DBSec Labs将对数据库漏洞扫描、Web SQL注入扫描、网络监控与分析、数据库加密、增强认证、增强权限、数据库应用安全、数据库审计等数据库防护手段进行追踪和研究。

DBSec Labs部分成果

01数据库漏洞提交

DBSec Labs将发现的数据库漏洞提交给CVE组织，以及我国的CNNVD、CNVD等漏洞平台，以利于安全厂商和安全用户共享。

DBSec Labs采用开放的心态积极与学院（南开大学等）和社会数据库安全研究组织团体进行沟通，积极参与CVE（Common Vulnerabilities and Exposures）、CNNVD（China National Vulnerability Database of Information Security）组织的活动，以及国家等级保护和分级保护的技术研究等。截止2022年10月，累计向IBM、Oracle、Informix、DB2以及达梦、人大金仓、Gbase等国内外主流数据库厂商提交并获认证的数据库漏洞累计达到195个（含国际漏洞51个，国内漏洞144个），其中包括1个超高危漏洞、62个高危漏洞；累计复现数据库漏洞 102个，其中包括10个超高危漏洞、27个高危漏洞。

02研究成果公开

DBSec Labs把大部分研究成果转化成专业论文在专业杂志和网络期刊进行公开发表，将相关的数据库攻击手段和防御措施录制成视频在网上发布，对典型数据库安全事件进行分析帮助用户了解数据库安全威胁，制作《数据库安全威胁与防护》企业内部杂志免费提供给用户，参与编写第三方机构的数据库安全研究报告，分享数据库安全态势及攻防技术研究成果。

DBSec Labs根据多年以来对数据库安全风险分析与防护实践的经验总结，陆续编写并发布专门针对Oracle、MySQL、SQL Server、DB2、MongoDB、PostgreSQL六大国际主流数据库以及GBase、Kingbase、达梦三大国产主流数据库的《安全配置指导手册》。

03数据库安全产品研发

DBSec Labs将研究成果积极融入安华金和数据库安全产品之中，以促进产品的优化完善与迭代升级，持续提升客户交付能力。DBSec Labs通过整合自身对数据库漏洞及数据库攻击技术的全部研究成果，独家设计研发出一套专业、高效、可靠的数据库漏洞验证工具——支持多种主流数据库类型、20+数据库版本以及100+漏洞的验证；数据库漏洞类型更涵盖算法破解、监听劫持、缓冲区溢出、sql注入、静态注入、符号链接、反序列化等；并支持渗透模块与脚本免杀。

04权威机构支撑单位：中国国家信息安全漏洞库CNNVD技术支撑单位；国家工业信息安全发展研究中心政务信创漏洞支撑单位。