醫療行業數據安全解決方案數據安全背景進入DT數據時代，醫療機構數據保護工作也變得更加復雜，HIS、RIS、LIS、CIS、PACS、CPR等系統的應用逐漸深入整合，為醫療衛生行業的高效、快捷、便民提供了信息化基礎，但是醫療數據具有普遍的真實性，包含了患者個體患病情況、生物組學等數據；從宏觀上看，則包含了疾病傳播、地區流行病發病發展、區域人口健康狀況等數據。這些數據具有很高的質量和價值，同時也具有隱私性，在巨大商業利益的驅使下，醫療行業的數據庫面臨來自內部威脅和外部威脅的雙重包夾。一旦泄露會對患者生活、醫生工作，醫院公眾形象帶來很大影響和負面作用；微觀上看，醫療數據能否安全使用，還關乎社會穩定、國家安全。《網絡安全法》和《數據安全法》的出臺，也讓數據安全的責任界定有了更為明確的責任主體，醫院的信息部門無疑是“壓力山大”。醫療機構需要將數據保護工作作為基礎要求，同時規劃醫療數據統計、分析、挖掘、應用是等未來醫療行業數據流動的趨勢。＞在系統的建設和應用方面，從單機、單用戶應用發展到部門級、全院級管理信息系統應用。＞從以財務、藥品和管理為中心的發展，開始集中向以病人信息為中心的臨床業務支持和電子病歷應用。＞微信、支付寶等快捷支付方式深入民生行業，使得醫療信息化系統從局限在醫院內部的應用，逐步走向開放的互聯網。＞國家區域醫療建設的規劃，對區域醫療信息化多接口的應用，提出了前所未有的高要求。面對如此嚴重的安全風險，要堅持規范有序、安全可控是國家發展醫療大數據的基本原則。國辦發[2016]47號文中指出，強化標準和安全體系建設，強化安全管理責任，妥善處理應用發展與保障安全的關系，增強安全技術支撐能力，有效保護個人隱私和信息安全。同時指出，面對醫療數據的“萬無一失，一失萬無的”的高要求，安全保護作為一個復雜的技術和管理問題，將成為醫療數據的核心技術和首要問題。風險分析在眾多數據安全件中，黑客和IT事故是主要原因，占所有數據泄漏的60%以上。這并不難理解，數據庫是網絡犯罪分子的主要攻擊目標，因為這里擁有大量的敏感信息，例如病史、賬號、個人財務數據等。所以，醫療行業必須采用主動防御的技術和安全可靠的數據安全最佳實踐，以確保其IT系統中的所有數據全天候安全。醫療數據安全存在哪些風險?＞數據管控風險雖然醫療組織正在逐漸增強數據安全意識，但關于數據管控尚未建立統一管理機制，制度的完善相對滯后，同時“互聯網+”等新興業態的不斷涌現，并滲透至醫療領域的各個環節，客觀上導致原本相對封閉的使用環境被逐漸打破。＞外部攻擊風險醫療行業數據價值高，很容易引發來自互聯網的攻擊行為，漏洞如果無法及時修復，自然會為外部攻擊提供了途徑，黑客能夠非常精準地獲取數據，繼而進行精確詐騙，因此必須采取有效措施應對外部攻擊風險。＞數據交換風險為了規避數據交換風險，需要建立科學的對外數據交換標準，提高數據安全要求，同時強化對病患敏感數據的脫敏處理能力。＞數據泄露風險內部人員的權限管控制度如不完善，非權限人員便可隨意訪問病患隱私信息，數據泄露風險很大;加之內部人員監管手段不足，引發取證難等更多問題。另外導致醫院數據安全問題的原因很多，概括如下：＞保密意識不強在使用社交媒體和手機App時，也無意中泄露了個人隱私數據。如發布的JPG、TIFF圖片就泄露了一些私密數據，因這些圖片文件頭部記錄了照相設備、作者、日期、GPS位置等數據。調查顯示，文檔類泄密事件97%是內部員工有意或無意泄露造成的。＞內部管理漏洞因管理不嚴，醫生辦公室的電腦很容易被盜用，數據也易泄露。部分醫院數據中心主機房和分布在醫院各棟樓宇的網絡設備間也可能因管理不嚴，存在信息設備被人斷電或接入不安全設備或惡意操作的隱患。＞人員誤操作誤操作也是數據錯誤的重要原因，尤其是人們習慣打開多個界面同時操作，經常在不同界面切換。＞人為故意隱私數據被有意收集、盜取的事件時有發生，如拍照留存快遞單、統方、蓄意刪除病人費用記錄、為掩蓋錯誤而篡改醫囑活庫存數據等。還有人為搞破壞惡意篡改醫院網站網頁、植入病毒或木馬致系統癱瘓。＞系統架構缺陷醫院信息系統在設計之初就存在缺陷，對數據安全考慮不足，如如數據駐留、數據傳輸未加密等也可能導致數據安全問題。針對醫療數據使用主要有兩種方式，一是通過對病例檢索系統、患者隨訪系統、專病數據庫系統等應用系統的使用，其安全防護的特點相對容易。二是“裸”數據訪問服務，包含數據整合、數據預處理、數據分析建模、可視化等，其安全防護特點相對困難。面臨的安全風險主要是隱私暴露、數據盜取、數據遺失和非法利用。同時安全防護既要防外（針對合作單位、外部廠商），又要防內（針對科室用戶、技術人員）。醫療行業的數據和其他行業不太一樣，大部分醫療數據不會放在網絡上，所以對內防控更為重要。在醫療健康大數據的背景下，醫療數據的安全管理存在四大難點：＞數據使用者多樣化。＞數據使用方式的多樣化。＞數據需求的多樣化。＞技術環境的多樣化。面對上述難點問題，醫院需要建立完整的數據安全防護體系。三、解決方案3.1方案設計隨著《數據安全法》的發布，其中也強調數據全生命周期安全管理，醫療數據安全措施應貫穿于數據管理全生命周期，確保數據不丟失、不被篡改、不被泄露和可用。＞引導醫療數據有序流動根據數據的特性，醫療數據可分為絕密、機密、保密、內部共享、醫院間共享和對外公開幾個等級。應根據不同的等級，制定不同的的管理規程，包括數據保密范圍、保密時效、授權范圍、授權流程、操作規程、操作核對規程、操作記錄規程、操作審查機制、責任追究機制、技術保護策略、應急預案等。＞構建以患者為中心的醫療數據安全防護體系現有的隱私安全防護，大多只是注重脫敏和匿名化保護，不是全方位體系。需要加強構建“以患者為中心”的個人醫療信息風險評估和防護體系，覆蓋信息錄入、個人隱私管理、加密存儲、訪問控制、匿名化處理、信息發布流通、監管審計等多個環節。＞最小特權化管理，實現數據資源訪問可控最小特權原則有效地限制、分割了用戶對數據資料進行訪問時的權限，降低了非法用戶或非法操作可能給系統及數據帶來的損失。3.2敏感數據分類分級首先對醫院數據資產梳理系統實現數據資源分級、分類管理，針對不同分類分級數據制定安全防護策略，從而保障了數據安全同時且實現數據資源統一匯聚和集中向社會開放。敏感數據在數據庫中的分布，是實現管控的關鍵。只有梳理清楚敏感數據在數據庫中分布，才能針對數據庫實現安全管控策略；對該庫的運維人員實現安全管控措施；對該庫的數據導出，實現具體的模糊化策略；對該庫數據的存儲實現加密安全方案。3.4數據安全防御體系3.4.1訪問控制防護醫療行業業務應用系統種類繁多，其中不乏有需要對公眾開放的系統，而WEB服務器被暴露在網絡之中，攻擊者對WEB服務器進行網段掃描很容易得到后臺數據的IP和開放端口。對這樣的隱患進行數據庫級別的訪問行為控制、危險操作阻斷、可疑行為攔截，面對來自于外部的入侵行為，提供防SQL注入禁止和數據庫虛擬補訂包功能；通過虛擬補丁防護，保證數據庫系統不用升級、打補丁，即可完成對主要數據庫漏洞的防控。有效的保護后臺數據庫不暴露在復雜的網絡環境中，構建數據庫的安全防護蛹蔚蒸器邊界網關事中防御系蜿應用用戶應用腮務器訪問應用服務蛹蔚蒸器邊界網關事中防御系蜿應用用戶應用腮務器訪問應用服務3.4.2網絡可信接入應用服務器可信：通過IP/MAC綁定，確保只有授權服務器、設備可以訪問數據庫。3.4.3應用身份識別通過對應用身份識別，讓合法應用發出的SQL語句可以直接訪問數據庫，而其他登陸工具和應用未經過授權或綁定，都無法登陸后臺數據庫，確保數據來自指定應用。3.4.4抵御SQL注入建立SQL注入特征庫，通過對SQL語句進行注入特征描述，完成對“SQL注入”行為的檢測和阻斷。3.4.5虛擬補丁防護在數據庫外的網絡訪問路徑上創建了一個安全層，數據庫在無需補丁情況下，完成對數據庫漏洞防護，對于有“擴展腳本”和“緩沖區溢出”攻擊的特征的SQL語句，可通過匹配特征庫直接進行攔截。3.4.6阻斷漏洞攻擊對數據庫的訪問設置許可或禁止模型，按照SQL自身語法結構劃分SQL類別，通過自定義模型添加新的SQL注入特征，進行有效攔截。數據庫漏洞攻擊防控：開啟虛擬補丁配置策略，即可防范數據庫漏洞的攻擊。3.4.7權限細粒度管理建立比DBMS系統更詳細的虛擬權限控制，對建立的虛擬權限的用戶提供細粒度的控制。控制策略例如：用戶+操作+對象+時間；在控制操作中增加了UpdateNowhere、deleteNowhere等高危操作阻斷；對于返回行數和影響行數實現精確控制。3.5規范數據運維管理（數據庫防水壩）3.5.1運維行為流程化管理債用侵*?戶甜｝驗連接.無按柞宙枇適過r捉柞碼立ft&q刃審批人員債用侵*?戶甜｝驗連接.無按柞宙枇適過r捉柞碼立ft&q刃審批人員運堆人員合法訴問”放石碼或曲珠申請的］腓.?!柜葩牌作申諸:時佩提作內容、撮柞對贏口揺的攜庫価用usspsiiii連損」mKmas2ft6q59F￡?”Wfr申肯的IS柞用戶可以通過第三方工具登錄數據庫進行操作，簡單口令認證，不改變原有工作習慣，口令通過者只能執行其申請的操作內容，杜絕誤操作及違規操作。未經口令認證者無法操作敏感對象，防止越權操作。申請人在提交申請的過程中，系統會對語句的合理性，語法的正確性，以及是否存在潛在的風險進行判斷與分析，并將其呈現給審批人作參考。申請人提交的內容和審批人的審核結果都會被系統保存，為日后的追責提供重要依據。自主識別、自主記憶、自主學習基于精確協議解析技術，能夠根據用戶申請SQL的語法特征和關鍵詞進行自動識別，對輸入SQL能夠實時、快速、準確判斷是否語法語義錯誤；對申請未通過的相同語句進行自動記憶以避免他人申請相同語句時造成反復操作。本系統通過自主學習模式以及SQL語法分析構建動態模型，形成SQL名單，對符合SQL白名單語句正常執行，對符合SQL黑名單特征語句進行進行及時告警。3.5.3靈活的策略和風險感知具備風險感知能力，系統提供了規則庫，規則庫中包含異常風險操作、SQL規則、漏洞攻擊庫、自定義規則、白名單黑名單規則。靈活的策略定制：根據登錄用戶、IP地址、端口號、數據庫對象（分為數據庫用戶、表、字段）、操作時間、操作類型、影響行數、記錄內容的靈活組合來定義用戶所關心的重要事件和風險事件。推薦默認規則：數據庫安全管控平臺的規則庫中有可供管理員選擇使用的推薦默認規則，對申請的SQL語句特征系統會自動感知是否會SQL注入攻擊、漏洞攻擊、高危操作等，系統隨即會提示給申請人/審批人。白名單、黑名單規則：管理員可以設置白黑名單用戶、IP、時間、語句等，如有申請觸發白名單和黑名單規則，系統按照制定規則自動執行。3.5.4運維監控、發現異常行為根據運維人員執行的操作數據分析，語句、會話、IP、數據庫用戶、業務用戶、響應時間、影響行數等數據庫操作的記錄和分析能力，形成DDL、DML、DCL類操作統計、執行操作TOP統計、高危操作、申請人/申請部門申請信息數據統計等數據分析，對其實時監控，一旦發現異常，系統會立即告警。3.5.5多角色多權限管理在管控平臺設置普通用戶、審批人、業務管理員、系統管理員四種角色，每種角色對應權限不同。普通用戶即一線運維人員，其權限是可以對執行的語句進行申請并根據申請結果執行操作。審批人即運維主管或安全主管，對申請人申請的語句進行審批，也可以申請語句并執行。安全管理員可以制定規則，管理數據庫，管理用戶，對運維數據實時監控，審計檢查。系統管理員主要權限是對主機管理、內存管理、網絡管理。

3.6去除敏感數據（數據庫脫敏）去除或變化醫療數據中的患者識別信息、不同應用目的對患者識別信息有不同需求、將結構化數據直接替換。其中，對于文本數據，可將姓名、居住地等敏感信息進行隱藏，通過采用自然語言處理技術進行識別與替換。對于醫學影像數據，DICOM影像中進行讀取數據文件進行結構化替換，將模擬影像使用模版進行遮蔽。3.6.1數據靜態脫敏系統數據靜態脫敏系統，可以有效防止醫院內部對隱私數據的濫用，防止隱私數據在未經脫敏的情況下從醫院流出。滿足既要保護隱私數據，又滿足開發、測試、模型訓練等業務對數據的需求，同時也保持監管合規，滿足合規性。數據管理區數據交換區數據使用區散據抽眠開發唄ftDI數據交件宅子郵件.電活號碼數據管理區數據交換區數據使用區散據抽眠開發唄ftDI數據交件宅子郵件.電活號碼.曰劇閆.朋爭悖自動識別敏感數據：按照用戶指定的一部分敏感數據或預定義的敏感數據特征，在執行任務過程中對抽取的數據進行自動的識別，發現敏感數據，并自動的根據規則對發現的敏感數據進行脫敏處理。豐富的脫敏算法：產品根據不同數據特征，內置了豐富高效的脫敏算法，可對常見數據如姓名、證件號、銀行賬戶、金額、日期、住址、電話號碼、Email地址、車牌號、車架號、企業名稱、工商注冊號、組織機構代碼、納稅人識別號等敏感數據進行脫敏。數據子集管理：在許多場景下，并不需要將全部生產環境中數據脫敏至目標環境使用，如開發環境可能僅需要生產環境中1%的數據；統計分析場景則需要對全部數據進行合理采樣。產品支持對目標數據庫中一部分數據進行脫敏，用戶可指定過濾條件，對數據來源進行過濾篩選形成數據子集，適應不同場景下脫敏需求。

＞脫敏數據驗證：在脫敏產品的使用過程中，會面臨生產環境中數據或數據結構頻繁發生變化的場景，如果脫敏策略沒有及時進行調整，會造成敏感數據“漏網”的現象，造成敏感數據泄露。3.6.2數據動態脫敏系統動態脫敏系統，一般部署在數據共享和交換服務、數據應用和運維區，和數據庫之間；形成自動化的敏感數據匿名化邊界，防止隱私數據在未經脫敏的情況下從數據區流出。數據共享、交換區數據管理區動態脫敏一DDM數據應用、運維區數據庫大數據6225-75004800-4438-9018脫敏值4467-2231-2391-8873$471-3981-3902-1290ETL覷戶6225750002318731|…；?數據管理區動態脫敏一DDM數據應用、運維區數據庫大數據6225-75004800-4438-9018脫敏值4467-2231-2391-8873$471-3981-3902-1290ETL覷戶6225750002318731|…；?:i敏感信息進行脫敏漂白處理XXXX-XXXX-XXXX-8731XXXX-XXXX-XXXX-9018―IF-按訪問的來源、時間和訪問數據對象多種數據脫敏方法滿足不同的隱私數據匿名化需求:1）數據屏蔽2）數據加密3）數據替換I鸞I數據查詢

服務II數據同步i—月服務＞提供基于數據庫訪問來源ip、數據庫應用系統、應用系統賬戶、時間等因素的策略，對需要共享的敏感數據，用戶可根據數據的敏感級別和應用的需要，靈活的配置動態脫敏策略，從而實現外部應用能夠安全可控的使用共享的敏感數據，防敏感數據泄露。＞根據不同數據特征，內置了豐富高效的動態脫敏算法，包括屏蔽、變形、替換、隨機。可支持自定義脫敏算法，用戶可按需定義。3.7數據流向監控審計對于通過應用程序后門批量導出敏感數據的“刷庫”行為，首先要構建核心應用的行為模型，通過數據庫防火墻的學習期將合法應用的SQL語句全部捕獲，統一放到“白名單”里，防止合法語句被誤報，通過學期完善期，然后切換到保護期，此時如果出現了通過Web訪問應用程序后門批量導出敏感數據的操作，數據庫防火墻會報“新型語句”，這類語句屬于“灰名單”語句，安全管理員要根據具體情況判斷語句風險，防止通過后門程序批量導出敏感信息的行為。業務人員的數據庫操作基本是合法的，但是也不能排除被利用或被攻擊的情況，通過數據庫審計精確記錄關鍵業務操作和關聯具體業務操作人員，為事后追溯定責提供準確依據，同時對數據庫運維操作和非法批量導出行為進行告警。建議采用應用關聯審計實現對業務用戶的100%準確關聯，在出現問題的時候能夠實現準確的追責和定責。時間戳三層關聯審計最高準確率為80%，在對業務用戶操作進行追責的時候往往會出現A做的事情記成B,并且在高并發的情況下極易出現錯誤審計，因此不推薦使用。3.7.1全面精細的審計分析系統提供了靈活而豐富的策略配置功能，協助用戶完成審計策略的精確定義。審計策略可根據業務主機和業務用戶（包括業務服務器IP范圍，業務用戶IP范圍、業務用戶認證身份、業務用戶訪問服務器使用的資源賬號）、時間（即策略生效時間，可以是某一固定時間，也可以是某個周期性時間）、規則集（定義需要被審計的操作集合）、動作（包括阻斷或者放行）、響應方式（包括事件風險級別、是否記錄入庫等）等要素來定義，并且可以提供全面驚喜的審計分析：提供全面詳細審計記錄，告警審計和會話事件記錄，并在此基礎上實現了內容豐富的審計瀏覽、訪問分析和問題追蹤，提供實時訪問首頁統計圖。Ofc-ishiM-kkt鼻*|?和d■■DfLFS容豐富的審計瀏覽、訪問分析和問題追蹤，提供實時訪問首頁統計圖。Ofc-ishiM-kkt鼻*|?和d■■DfLFS■冊Q■^+061―M1^00-uwit.io-oc-aiij!■OKl<?-1(.77OKIdM總踴城ItJCWfi3J<JS413btts*H士蹩±"!t上旦?MKri43-!D3:CH能夠根據訪問數據庫的源程序名、登陸數據庫的賬號、數據庫命令、數據庫名、數據庫表名、數據庫字段名、數據庫字段值、數據庫返回碼等作為條件，對用戶關心的違規行為進行響應，特別是針對重要表、重要字段的各

種操作，能夠通過簡單的規則定義，實現精確審計，降低過多審計數據給管理員帶來的信息爆炸。通過對捕獲的SQL語句進行精細SQL語法分析,并根據SQL行為特征和關鍵詞特征進行自動分類，系統訪問SQL語句有效“歸類”到幾百個類別范圍內，完成審計結果的高精確和高可用分析。擁有數據庫安全漏洞和SQL注入兩個特征庫，實現惡意攻擊快速識別并告警，審計系統提供了針對數據庫漏洞進行攻擊的描述模型，使對這些典型的數據庫攻擊行為被迅速發現。系統提供了系統性的SQL注入庫，以及基于語法抽象的SQL注入描述擴展。同時提供了強大的入侵檢測能力，對入侵行為進行重點監控和告警，對入侵檢測行為提供了大量的檢測策略定義方法。3.7.2全面審計策略所有的數據庫請求都會被審計，保證審計的全面性；通過Tracelog機制，實現對數據庫所有訪問行為的全面記錄，包括SQL語句、SQL語句參數、執行結果（成功、失敗和詳細的失敗原因）、被影響的記錄、詳細的查詢結果集、事務狀態、客戶端IP、MAC、應用類型、會話登錄和退出信息等。3.7.3風險審計策略根據對象、操作（上百種操作可選）、SQL分類類型（基于DBAudit對SQL的語法抽象結果進行篩選）、用戶、指定的客戶端（IP、MAC）、客戶端工具或應用系統等多種策略定制風險檢測策略。3.7.4實時準確的運行監控提供對風險訪問行為統計、SQL吞吐量統計、網絡流量和平均響應時間統計、SQL訪問類別統計、告警SQL統計。3.7.5風險分析提供對風險和危害訪問的分析，包括：sql注入風險，違規操作風險，DB漏洞風險，批量數據泄露，批量數據篡改，違規登錄等。3.7.6準確的關聯審計用戶對數據庫的操作方式多種多樣，包括通過Linux操作系統登錄數據庫、通過程序連接數據庫、通過PLSQL、Navicat等工具登錄數據庫進行數據庫嵌套操作。其中，業務系統對數據庫的訪問，目前應用最為廣泛，也是大量數據庫操作的來源。經調查，80%的業務系統服務模式是應用程序－應用服務器－數據庫的三層架構。數據庫審計系統采用獨有技術通過前后臺關聯，通過在應用服務器安裝JTap包，獲取應用戶ip、用戶名及操作的SQL語句，完美的解決了這一難題，實現了數據庫操作行為（SQL）與應用用戶（User-ID）的實時關聯。■系統針對三層關聯結果，提供完整的事件信息查詢和獨有的關聯報表。在事件查詢頁面，用戶能看到每個訪問行為的業務用戶名、客戶端IP、數據庫用戶、執行的SQL語句以及應用服務器所使用的工具等信息。可以將業務系統訪問數據庫產生的SQL語句翻譯成中文，支持把審計到的表信息、對象信息人工翻譯成能夠理解的中文，將執行的語句翻譯成能夠讀懂的業務化語言，方便管理員直觀的查看審計信息。、方案優勢4.1周期防護構建縱深為了解決數據庫在防攻擊、防篡改、防丟失、防泄密、防超級權限等問題。提出：針從數據庫安全的三維角度，構建事前-事中-事后的全生命周期數據安全過程，并結合多層次安全技術防護能力，形成整體的數據庫縱深防護體系。主動防御減少威脅通過事中主動防御手段在數據庫前端對入侵行為做到有效的控制，通過強大特征庫和漏洞防御庫，主動防御內外部用戶的違規操作以及黑客的入侵行為。對IP/MAC等要素進行策略配置，確保應用程序的身份安全可靠。通過黑白名單對敏感數據訪問控制，定義非法用戶行為的方式定義安全策略，有效通過SQL注入特征識別庫。權限控制解決拖庫從數據庫級別進行最小化權限控制，杜絕超級管理員的產生，通過數據庫防火墻和數據庫加密措施進行從根源上徹底控制數據信息的泄露，為信息化打好底層基礎。有效防止存儲文件和備份文件被“拖庫”的風險。透明部署零改應用本方案所提出的技術實施，對于現有應用系統基本透明，無需改造，對原有數據庫特性、原有應用無改造，不改變應用及用戶使用習慣。保證快速、無縫地融合到現有業務系統中。

4.5政策合規滿足標準在等級保護、分級保護基本要求中，數據庫安全是主機安全的一個部分，數據庫的測評指標是從“主機安全”和“數據安全及備份恢復”中根據數據庫的特點映射得到的。對等保三級、分保秘密級以上系統中，關鍵敏感數據的安全防護要求滿足了標準特性：?數據保密性滿足了“實現系統管理數據、鑒別信息和重要業務數據的存儲保密性”。?訪問控制性實現了最小授權原則，使得用戶的權限最小化，同時要求對重要信息資源設置敏感標記。?安全審計性完成了“對用戶行為、安全事件等進行記錄”。五、事項解答五、事項解答5.1防水壩與防火墻對比等A、數據庫防水壩的具體功能，與數據庫防火墻（網管）的差別？數據庫防水壩主要部署在運維側實現數據庫運維人員（數據庫管理員、測試開發人員、第三方運維人員等）在運維過程中對于數據資產的訪問、操作的安全管理與審計防止高危操作與數據泄露，通過多因素認證、多維度的權限控制和細粒度的資產授權管理，實現操作定位到人、責任到人的目的，保障運維過程中的安全管理。數據庫防火墻主要部署在業務側實現對于外部黑客的數據庫入侵行為的安全防范，對可疑的非法違規操作進行阻斷，如撞庫檢測防御、漏洞攻擊攔截、SQL注入攻擊阻斷、敏感SQL管理等，真正做到SQL危險操作的主動預防、實時審計。B、它在其它醫院的應用怎么樣？通常醫院客戶會整體的進行建設，或者根據自己關注的數據庫運維問題或是是數據敏感防護安全問題進行優先建設考慮。C、產品使用的必要性？目前等級保護及數據安全法對機構和單位的數據類安全的要求非常高，因此很多客戶都計劃了數據安全產品的采購。D、是怎么樣部署的（旁路還是）？數據庫防水壩旁路反向代理部署，反向代理運維側所有數據庫的訪問。數據庫防火墻透明串接部署。E、怎么管理數據庫的（有策略還是每次都要人工寫腳本）？數據庫防水壩、數據庫防火墻均是通過設置相關的安全管控策略進行數據庫的安全管理。F、和應用廠家的協作關系是怎么樣的？數據庫防水壩部署過程中需要應用廠商配合提供數據庫相關信息，數據庫防火墻基本不需要應用廠家配合。G、對數據庫性能有什么影響？數據庫防水壩、數據庫防火墻均是通過設置相關的安全管控策略進行數據庫的安全管理，不占用數據庫性能開銷，對數據庫性能基本無影響。H、不同的數據庫系統是怎么管理的？對于數據庫統一管理，數據庫防水壩目前支持的數據庫類型：oracle、sqlserver、DB2、Sybase、informix、hana、DM、Gbase、