安華金和數據庫安全實驗室（DBSec Labs）于2010年11月成立，是我國一支獨立的、持久的針對數據庫安全漏洞、數據庫攻擊技術模擬和數據庫安全防護技術進行研究的專業隊伍。安華金和數據庫安全實驗室。通過對數據庫自身、數據庫使用環節存在的安全漏洞及黑客如何利用數據庫漏洞對客戶信息資產進行侵害的研究，團隊人員研究有效防御手段，降低數據庫安全風險，以實現對數據資產的保護。

DBSec Labs采用開放的心態積極與學院和社會數據庫安全研究組織團體進行溝通，積極參與CVE組織（Common Vulnerabilities and Exposures，國際漏洞公布組織）、CNNVD（China National Vulnerability Database of Information Security，中國國家信息安全漏洞庫）組織的活動，以及國家等級保護和分級保護的技術研究中。


DBSec Labs研究職責

1、對數據庫安全漏洞進行研究，是DBSec Labs的首要職責。

當前我國廣泛地使用Oracle、SQL Server和DB2等國外數據庫產品，隨著我國安全產品自主化的基本國策，確定了對國外數據庫產品的漏洞和后門研究，關系著國家安全需求。

DBSec Labs同時將投入力量對廣泛使用的MySQL、Postgre等開源數據庫進行安全漏洞研究；投入力量對武漢達夢、人大金倉、神舟通用、南大通用的數據庫產品進行安全漏洞研究。

2、黑客數據庫入侵手段研究

黑客入侵數據庫不僅利用數據庫的自身漏洞，還會利用合法應用系統提供的漏洞途徑（如SQL注入），操作系統漏洞（文件層攻擊），網絡漏洞（網絡通訊捕獲）等手段獲得數據庫內的儲存信息。DBSec Labs針對這些黑客攻擊手段進行研究。

3、數據庫防護手段研究

DBSec Labs將對數據庫漏洞掃描、Web SQL注入掃描、網絡監控與分析、數據庫加密、增強認證、增強權限、數據庫應用安全、數據庫審計等數據庫防護手段進行追蹤和研究。

DBSec Labs部分成果

1、數據庫漏洞提交

DBSec Labs將發現的數據庫漏洞提交給CVE組織，以及我國的CNNVD、CNVD等漏洞平臺，以利于安全廠商和安全用戶共享。

截止2020年8月，安華金和攻防實驗室向IBM、達夢、Gbase、Informix、DB2、Oracle、MongoDB等數據庫廠商提交并獲認證的數據庫漏洞共82個，其中包括1個超高危漏洞、36個高危漏洞，36中高危漏洞，9個低危漏洞。累計復現數據庫漏洞 74個，其中高危數據庫漏洞 23個，中危數據庫漏洞 29個，低危數據庫漏洞 5個，未定級數據庫漏洞 17個，另外提交漏洞正在確認中。

具體漏洞認證證書請跳轉至數據庫漏洞挖掘頁面。

2、研究成果公開

DBSec Labs把大部分研究成果轉化成專業論文在專業雜志和網絡期刊進行公開發表，將相關的數據庫攻擊手段和防御措施錄制成視頻在網上發布，對典型數據庫安全事件進行分析幫助用戶了解數據庫安全威脅，制作《數據庫安全威脅與防護》企業內部雜志免費提供給用戶，參與編寫第三方機構的數據庫安全研究報告，分享數據庫安全態勢及攻防技術研究成果。

DBSec Labs根據多年以來對數據庫安全風險分析與防護實踐的經驗總結，陸續編寫并發布專門針對Oracle、MySQL、SQL Server、DB2、MongoDB、PostgreSQL六大國際主流數據庫以及GBase、Kingbase、達夢三大國產主流數據庫的《安全配置指導手冊》。

3、數據庫安全產品研發

DBSec Labs的研究成果融入到安華金和的數據庫安全產品系列中。數據庫漏洞研究成果不斷融入到安華金和現有系列產品中，升級完善產品，持續提升客戶交付能力。DBSec Labs通過整合自身對數據庫漏洞及數據庫攻擊技術的全部研究成果，獨家設計研發出一套專業、高效、可靠的數據庫漏洞驗證工具——支持多種主流數據庫類型、20+數據庫版本以及100+漏洞的驗證；漏洞類型更涵蓋算法破解、監聽劫持、緩沖區溢出、sql注入、靜態注入、符號鏈接、反序列化等；并支持滲透模塊與腳本免殺。