医疗行业数据安全解决方案

医疗行业数据安全解决方案数据安全背景进入DT数据时代，医疗机构数据保护工作也变得更加复杂，HIS、RIS、LIS、CIS、PACS、CPR等系统的应用逐渐深入整合，为医疗卫生行业的高效、快捷、便民提供了信息化基础，但是医疗数据具有普遍的真实性，包含了患者个体患病情况、生物组学等数据；从宏观上看，则包含了疾病传播、地区流行病发病发展、区域人口健康状况等数据。这些数据具有很高的质量和价值，同时也具有隐私性，在巨大商业利益的驱使下，医疗行业的数据库面临来自内部威胁和外部威胁的双重包夹。一旦泄露会对患者生活、医生工作，医院公众形象带来很大影响和负面作用；微观上看，医疗数据能否安全使用，还关乎社会稳定、国家安全。《网络安全法》和《数据安全法》的出台，也让数据安全的责任界定有了更为明确的责任主体，医院的信息部门无疑是“压力山大”。医疗机构需要将数据保护工作作为基础要求，同时规划医疗数据统计、分析、挖掘、应用是等未来医疗行业数据流动的趋势。＞在系统的建设和应用方面，从单机、单用户应用发展到部门级、全院级管理信息系统应用。＞从以财务、药品和管理为中心的发展，开始集中向以病人信息为中心的临床业务支持和电子病历应用。＞微信、支付宝等快捷支付方式深入民生行业，使得医疗信息化系统从局限在医院内部的应用，逐步走向开放的互联网。＞国家区域医疗建设的规划，对区域医疗信息化多接口的应用，提出了前所未有的高要求。面对如此严重的安全风险，要坚持规范有序、安全可控是国家发展医疗大数据的基本原则。国办发[2016]47号文中指出，强化标准和安全体系建设，强化安全管理责任，妥善处理应用发展与保障安全的关系，增强安全技术支撑能力，有效保护个人隐私和信息安全。同时指出，面对医疗数据的“万无一失，一失万无的”的高要求，安全保护作为一个复杂的技术和管理问题，将成为医疗数据的核心技术和首要问题。风险分析在众多数据安全件中，黑客和IT事故是主要原因，占所有数据泄漏的60%以上。这并不难理解，数据库是网络犯罪分子的主要攻击目标，因为这里拥有大量的敏感信息，例如病史、账号、个人财务数据等。所以，医疗行业必须采用主动防御的技术和安全可靠的数据安全最佳实践，以确保其IT系统中的所有数据全天候安全。医疗数据安全存在哪些风险?＞数据管控风险虽然医疗组织正在逐渐增强数据安全意识，但关于数据管控尚未建立统一管理机制，制度的完善相对滞后，同时“互联网+”等新兴业态的不断涌现，并渗透至医疗领域的各个环节，客观上导致原本相对封闭的使用环境被逐渐打破。＞外部攻击风险医疗行业数据价值高，很容易引发来自互联网的攻击行为，漏洞如果无法及时修复，自然会为外部攻击提供了途径，黑客能够非常精准地获取数据，继而进行精确诈骗，因此必须采取有效措施应对外部攻击风险。＞数据交换风险为了规避数据交换风险，需要建立科学的对外数据交换标准，提高数据安全要求，同时强化对病患敏感数据的脱敏处理能力。＞数据泄露风险内部人员的权限管控制度如不完善，非权限人员便可随意访问病患隐私信息，数据泄露风险很大;加之内部人员监管手段不足，引发取证难等更多问题。另外导致医院数据安全问题的原因很多，概括如下：＞保密意识不强在使用社交媒体和手机App时，也无意中泄露了个人隐私数据。如发布的JPG、TIFF图片就泄露了一些私密数据，因这些图片文件头部记录了照相设备、作者、日期、GPS位置等数据。调查显示，文档类泄密事件97%是内部员工有意或无意泄露造成的。＞内部管理漏洞因管理不严，医生办公室的电脑很容易被盗用，数据也易泄露。部分医院数据中心主机房和分布在医院各栋楼宇的网络设备间也可能因管理不严，存在信息设备被人断电或接入不安全设备或恶意操作的隐患。＞人员误操作误操作也是数据错误的重要原因，尤其是人们习惯打开多个界面同时操作，经常在不同界面切换。＞人为故意隐私数据被有意收集、盗取的事件时有发生，如拍照留存快递单、统方、蓄意删除病人费用记录、为掩盖错误而篡改医嘱活库存数据等。还有人为搞破坏恶意篡改医院网站网页、植入病毒或木马致系统瘫痪。＞系统架构缺陷医院信息系统在设计之初就存在缺陷，对数据安全考虑不足，如如数据驻留、数据传输未加密等也可能导致数据安全问题。针对医疗数据使用主要有两种方式，一是通过对病例检索系统、患者随访系统、专病数据库系统等应用系统的使用，其安全防护的特点相对容易。二是“裸”数据访问服务，包含数据整合、数据预处理、数据分析建模、可视化等，其安全防护特点相对困难。面临的安全风险主要是隐私暴露、数据盗取、数据遗失和非法利用。同时安全防护既要防外（针对合作单位、外部厂商），又要防内（针对科室用户、技术人员）。医疗行业的数据和其他行业不太一样，大部分医疗数据不会放在网络上，所以对内防控更为重要。在医疗健康大数据的背景下，医疗数据的安全管理存在四大难点：＞数据使用者多样化。＞数据使用方式的多样化。＞数据需求的多样化。＞技术环境的多样化。面对上述难点问题，医院需要建立完整的数据安全防护体系。三、解决方案3.1方案设计随着《数据安全法》的发布，其中也强调数据全生命周期安全管理，医疗数据安全措施应贯穿于数据管理全生命周期，确保数据不丢失、不被篡改、不被泄露和可用。＞引导医疗数据有序流动根据数据的特性，医疗数据可分为绝密、机密、保密、内部共享、医院间共享和对外公开几个等级。应根据不同的等级，制定不同的的管理规程，包括数据保密范围、保密时效、授权范围、授权流程、操作规程、操作核对规程、操作记录规程、操作审查机制、责任追究机制、技术保护策略、应急预案等。＞构建以患者为中心的医疗数据安全防护体系现有的隐私安全防护，大多只是注重脱敏和匿名化保护，不是全方位体系。需要加强构建“以患者为中心”的个人医疗信息风险评估和防护体系，覆盖信息录入、个人隐私管理、加密存储、访问控制、匿名化处理、信息发布流通、监管审计等多个环节。＞最小特权化管理，实现数据资源访问可控最小特权原则有效地限制、分割了用户对数据资料进行访问时的权限，降低了非法用户或非法操作可能给系统及数据带来的损失。3.2敏感数据分类分级首先对医院数据资产梳理系统实现数据资源分级、分类管理，针对不同分类分级数据制定安全防护策略，从而保障了数据安全同时且实现数据资源统一汇聚和集中向社会开放。敏感数据在数据库中的分布，是实现管控的关键。只有梳理清楚敏感数据在数据库中分布，才能针对数据库实现安全管控策略；对该库的运维人员实现安全管控措施；对该库的数据导出，实现具体的模糊化策略；对该库数据的存储实现加密安全方案。3.4数据安全防御体系3.4.1访问控制防护医疗行业业务应用系统种类繁多，其中不乏有需要对公众开放的系统，而WEB服务器被暴露在网络之中，攻击者对WEB服务器进行网段扫描很容易得到后台数据的IP和开放端口。对这样的隐患进行数据库级别的访问行为控制、危险操作阻断、可疑行为拦截，面对来自于外部的入侵行为，提供防SQL注入禁止和数据库虚拟补订包功能；通过虚拟补丁防护，保证数据库系统不用升级、打补丁，即可完成对主要数据库漏洞的防控。有效的保护后台数据库不暴露在复杂的网络环境中，构建数据库的安全防护蛹蔚蒸器边界网关事中防御系蜿应用用户应用腮务器访问应用服务蛹蔚蒸器边界网关事中防御系蜿应用用户应用腮务器访问应用服务3.4.2网络可信接入应用服务器可信：通过IP/MAC绑定，确保只有授权服务器、设备可以访问数据库。3.4.3应用身份识别通过对应用身份识别，让合法应用发出的SQL语句可以直接访问数据库，而其他登陆工具和应用未经过授权或绑定，都无法登陆后台数据库，确保数据来自指定应用。3.4.4抵御SQL注入建立SQL注入特征库，通过对SQL语句进行注入特征描述，完成对“SQL注入”行为的检测和阻断。3.4.5虚拟补丁防护在数据库外的网络访问路径上创建了一个安全层，数据库在无需补丁情况下，完成对数据库漏洞防护，对于有“扩展脚本”和“缓冲区溢出”攻击的特征的SQL语句，可通过匹配特征库直接进行拦截。3.4.6阻断漏洞攻击对数据库的访问设置许可或禁止模型，按照SQL自身语法结构划分SQL类别，通过自定义模型添加新的SQL注入特征，进行有效拦截。数据库漏洞攻击防控：开启虚拟补丁配置策略，即可防范数据库漏洞的攻击。3.4.7权限细粒度管理建立比DBMS系统更详细的虚拟权限控制，对建立的虚拟权限的用户提供细粒度的控制。控制策略例如：用户+操作+对象+时间；在控制操作中增加了UpdateNowhere、deleteNowhere等高危操作阻断；对于返回行数和影响行数实现精确控制。3.5规范数据运维管理（数据库防水坝）3.5.1运维行为流程化管理債用侵*®户甜｝验连接.无按柞宙枇適过r捉柞码立ft&q刃审批人员債用侵*®户甜｝验连接.无按柞宙枇適过r捉柞码立ft&q刃审批人员运堆人员合法诉问”放石码或曲珠申请的］腓.«!柜葩牌作申诸:时佩提作内容、撮柞对贏口揺的携库価用usspsiiii连損」mKmas2ft6q59F£«”Wfr申肯的IS柞用户可以通过第三方工具登录数据库进行操作，简单口令认证，不改变原有工作习惯，口令通过者只能执行其申请的操作内容，杜绝误操作及违规操作。未经口令认证者无法操作敏感对象，防止越权操作。申请人在提交申请的过程中，系统会对语句的合理性，语法的正确性，以及是否存在潜在的风险进行判断与分析，并将其呈现给审批人作参考。申请人提交的内容和审批人的审核结果都会被系统保存，为日后的追责提供重要依据。自主识别、自主记忆、自主学习基于精确协议解析技术，能够根据用户申请SQL的语法特征和关键词进行自动识别，对输入SQL能够实时、快速、准确判断是否语法语义错误；对申请未通过的相同语句进行自动记忆以避免他人申请相同语句时造成反复操作。本系统通过自主学习模式以及SQL语法分析构建动态模型，形成SQL名单，对符合SQL白名单语句正常执行，对符合SQL黑名单特征语句进行进行及时告警。3.5.3灵活的策略和风险感知具备风险感知能力，系统提供了规则库，规则库中包含异常风险操作、SQL规则、漏洞攻击库、自定义规则、白名单黑名单规则。灵活的策略定制：根据登录用户、IP地址、端口号、数据库对象（分为数据库用户、表、字段）、操作时间、操作类型、影响行数、记录内容的灵活组合来定义用户所关心的重要事件和风险事件。推荐默认规则：数据库安全管控平台的规则库中有可供管理员选择使用的推荐默认规则，对申请的SQL语句特征系统会自动感知是否会SQL注入攻击、漏洞攻击、高危操作等，系统随即会提示给申请人/审批人。白名单、黑名单规则：管理员可以设置白黑名单用户、IP、时间、语句等，如有申请触发白名单和黑名单规则，系统按照制定规则自动执行。3.5.4运维监控、发现异常行为根据运维人员执行的操作数据分析，语句、会话、IP、数据库用户、业务用户、响应时间、影响行数等数据库操作的记录和分析能力，形成DDL、DML、DCL类操作统计、执行操作TOP统计、高危操作、申请人/申请部门申请信息数据统计等数据分析，对其实时监控，一旦发现异常，系统会立即告警。3.5.5多角色多权限管理在管控平台设置普通用户、审批人、业务管理员、系统管理员四种角色，每种角色对应权限不同。普通用户即一线运维人员，其权限是可以对执行的语句进行申请并根据申请结果执行操作。审批人即运维主管或安全主管，对申请人申请的语句进行审批，也可以申请语句并执行。安全管理员可以制定规则，管理数据库，管理用户，对运维数据实时监控，审计检查。系统管理员主要权限是对主机管理、内存管理、网络管理。

3.6去除敏感数据（数据库脱敏）去除或变化医疗数据中的患者识别信息、不同应用目的对患者识别信息有不同需求、将结构化数据直接替换。其中，对于文本数据，可将姓名、居住地等敏感信息进行隐藏，通过采用自然语言处理技术进行识别与替换。对于医学影像数据，DICOM影像中进行读取数据文件进行结构化替换，将模拟影像使用模版进行遮蔽。3.6.1数据静态脱敏系统数据静态脱敏系统，可以有效防止医院内部对隐私数据的滥用，防止隐私数据在未经脱敏的情况下从医院流出。满足既要保护隐私数据，又满足开发、测试、模型训练等业务对数据的需求，同时也保持监管合规，满足合规性。数据管理区数据交换区数据使用区散据抽眠开发呗ftDI數据交件宅子邮件.电活号码数据管理区数据交换区数据使用区散据抽眠开发呗ftDI數据交件宅子邮件.电活号码.曰剧闫.朋争悖自动识别敏感数据：按照用户指定的一部分敏感数据或预定义的敏感数据特征，在执行任务过程中对抽取的数据进行自动的识别，发现敏感数据，并自动的根据规则对发现的敏感数据进行脱敏处理。丰富的脱敏算法：产品根据不同数据特征，内置了丰富高效的脱敏算法，可对常见数据如姓名、证件号、银行账户、金额、日期、住址、电话号码、Email地址、车牌号、车架号、企业名称、工商注册号、组织机构代码、纳税人识别号等敏感数据进行脱敏。数据子集管理：在许多场景下，并不需要将全部生产环境中数据脱敏至目标环境使用，如开发环境可能仅需要生产环境中1%的数据；统计分析场景则需要对全部数据进行合理采样。产品支持对目标数据库中一部分数据进行脱敏，用户可指定过滤条件，对数据来源进行过滤筛选形成数据子集，适应不同场景下脱敏需求。

＞脱敏数据验证：在脱敏产品的使用过程中，会面临生产环境中数据或数据结构频繁发生变化的场景，如果脱敏策略没有及时进行调整，会造成敏感数据“漏网”的现象，造成敏感数据泄露。3.6.2数据动态脱敏系统动态脱敏系统，一般部署在数据共享和交换服务、数据应用和运维区，和数据库之间；形成自动化的敏感数据匿名化边界，防止隐私数据在未经脱敏的情况下从数据区流出。数据共享、交换区数据管理区动态脱敏一DDM数据应用、运维区数据库大数据6225-75004800-4438-9018脱敏值4467-2231-2391-8873$471-3981-3902-1290ETL覷户6225750002318731|…；•数据管理区动态脱敏一DDM数据应用、运维区数据库大数据6225-75004800-4438-9018脱敏值4467-2231-2391-8873$471-3981-3902-1290ETL覷户6225750002318731|…；•:i敏感信息进行脱敏漂白处理XXXX-XXXX-XXXX-8731XXXX-XXXX-XXXX-9018―IF-按访问的来源、时间和访问数据对象多种数据脱敏方法满足不同的隐私数据匿名化需求:1）数据屏蔽2）数据加密3）数据替换I鸾I数据查询

服务II数据同步i—月服务＞提供基于数据库访问来源ip、数据库应用系统、应用系统账户、时间等因素的策略，对需要共享的敏感数据，用户可根据数据的敏感级别和应用的需要，灵活的配置动态脱敏策略，从而实现外部应用能够安全可控的使用共享的敏感数据，防敏感数据泄露。＞根据不同数据特征，内置了丰富高效的动态脱敏算法，包括屏蔽、变形、替换、随机。可支持自定义脱敏算法，用户可按需定义。3.7数据流向监控审计对于通过应用程序后门批量导出敏感数据的“刷库”行为，首先要构建核心应用的行为模型，通过数据库防火墙的学习期将合法应用的SQL语句全部捕获，统一放到“白名单”里，防止合法语句被误报，通过学期完善期，然后切换到保护期，此时如果出现了通过Web访问应用程序后门批量导出敏感数据的操作，数据库防火墙会报“新型语句”，这类语句属于“灰名单”语句，安全管理员要根据具体情况判断语句风险，防止通过后门程序批量导出敏感信息的行为。业务人员的数据库操作基本是合法的，但是也不能排除被利用或被攻击的情况，通过数据库审计精确记录关键业务操作和关联具体业务操作人员，为事后追溯定责提供准确依据，同时对数据库运维操作和非法批量导出行为进行告警。建议采用应用关联审计实现对业务用户的100%准确关联，在出现问题的时候能够实现准确的追责和定责。时间戳三层关联审计最高准确率为80%，在对业务用户操作进行追责的时候往往会出现A做的事情记成B,并且在高并发的情况下极易出现错误审计，因此不推荐使用。3.7.1全面精细的审计分析系统提供了灵活而丰富的策略配置功能，协助用户完成审计策略的精确定义。审计策略可根据业务主机和业务用户（包括业务服务器IP范围，业务用户IP范围、业务用户认证身份、业务用户访问服务器使用的资源账号）、时间（即策略生效时间，可以是某一固定时间，也可以是某个周期性时间）、规则集（定义需要被审计的操作集合）、动作（包括阻断或者放行）、响应方式（包括事件风险级别、是否记录入库等）等要素来定义，并且可以提供全面惊喜的审计分析：提供全面详细审计记录，告警审计和会话事件记录，并在此基础上实现了内容丰富的审计浏览、访问分析和问题追踪，提供实时访问首页统计图。Ofc-ishiM-kkt鼻*|•和d■■DfLFS容丰富的审计浏览、访问分析和问题追踪，提供实时访问首页统计图。Ofc-ishiM-kkt鼻*|•和d■■DfLFS■册Q■^+061―M1^00-uwit.io-oc-aiij!■OKl<»-1(.77OKIdM总踊城ItJCWfi3J<JS413btts*H士蹩±"!t上旦?MKri43-!D3:CH能够根据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件，对用户关心的违规行为进行响应，特别是针对重要表、重要字段的各

种操作，能够通过简单的规则定义，实现精确审计，降低过多审计数据给管理员带来的信息爆炸。通过对捕获的SQL语句进行精细SQL语法分析,并根据SQL行为特征和关键词特征进行自动分类，系统访问SQL语句有效“归类”到几百个类别范围内，完成审计结果的高精确和高可用分析。拥有数据库安全漏洞和SQL注入两个特征库，实现恶意攻击快速识别并告警，审计系统提供了针对数据库漏洞进行攻击的描述模型，使对这些典型的数据库攻击行为被迅速发现。系统提供了系统性的SQL注入库，以及基于语法抽象的SQL注入描述扩展。同时提供了强大的入侵检测能力，对入侵行为进行重点监控和告警，对入侵检测行为提供了大量的检测策略定义方法。3.7.2全面审计策略所有的数据库请求都会被审计，保证审计的全面性；通过Tracelog机制，实现对数据库所有访问行为的全面记录，包括SQL语句、SQL语句参数、执行结果（成功、失败和详细的失败原因）、被影响的记录、详细的查询结果集、事务状态、客户端IP、MAC、应用类型、会话登录和退出信息等。3.7.3风险审计策略根据对象、操作（上百种操作可选）、SQL分类类型（基于DBAudit对SQL的语法抽象结果进行筛选）、用户、指定的客户端（IP、MAC）、客户端工具或应用系统等多种策略定制风险检测策略。3.7.4实时准确的运行监控提供对风险访问行为统计、SQL吞吐量统计、网络流量和平均响应时间统计、SQL访问类别统计、告警SQL统计。3.7.5风险分析提供对风险和危害访问的分析，包括：sql注入风险，违规操作风险，DB漏洞风险，批量数据泄露，批量数据篡改，违规登录等。3.7.6准确的关联审计用户对数据库的操作方式多种多样，包括通过Linux操作系统登录数据库、通过程序连接数据库、通过PLSQL、Navicat等工具登录数据库进行数据库嵌套操作。其中，业务系统对数据库的访问，目前应用最为广泛，也是大量数据库操作的来源。经调查，80%的业务系统服务模式是应用程序－应用服务器－数据库的三层架构。数据库审计系统采用独有技术通过前后台关联，通过在应用服务器安装JTap包，获取应用户ip、用户名及操作的SQL语句，完美的解决了这一难题，实现了数据库操作行为（SQL）与应用用户（User-ID）的实时关联。■系统针对三层关联结果，提供完整的事件信息查询和独有的关联报表。在事件查询页面，用户能看到每个访问行为的业务用户名、客户端IP、数据库用户、执行的SQL语句以及应用服务器所使用的工具等信息。可以将业务系统访问数据库产生的SQL语句翻译成中文，支持把审计到的表信息、对象信息人工翻译成能够理解的中文，将执行的语句翻译成能够读懂的业务化语言，方便管理员直观的查看审计信息。、方案优势4.1周期防护构建纵深为了解决数据库在防攻击、防篡改、防丢失、防泄密、防超级权限等问题。提出：针从数据库安全的三维角度，构建事前-事中-事后的全生命周期数据安全过程，并结合多层次安全技术防护能力，形成整体的数据库纵深防护体系。主动防御减少威胁通过事中主动防御手段在数据库前端对入侵行为做到有效的控制，通过强大特征库和漏洞防御库，主动防御内外部用户的违规操作以及黑客的入侵行为。对IP/MAC等要素进行策略配置，确保应用程序的身份安全可靠。通过黑白名单对敏感数据访问控制，定义非法用户行为的方式定义安全策略，有效通过SQL注入特征识别库。权限控制解决拖库从数据库级别进行最小化权限控制，杜绝超级管理员的产生，通过数据库防火墙和数据库加密措施进行从根源上彻底控制数据信息的泄露，为信息化打好底层基础。有效防止存储文件和备份文件被“拖库”的风险。透明部署零改应用本方案所提出的技术实施，对于现有应用系统基本透明，无需改造，对原有数据库特性、原有应用无改造，不改变应用及用户使用习惯。保证快速、无缝地融合到现有业务系统中。

4.5政策合规满足标准在等级保护、分级保护基本要求中，数据库安全是主机安全的一个部分，数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。对等保三级、分保秘密级以上系统中，关键敏感数据的安全防护要求满足了标准特性：✓数据保密性满足了“实现系统管理数据、鉴别信息和重要业务数据的存储保密性”。✓访问控制性实现了最小授权原则，使得用户的权限最小化，同时要求对重要信息资源设置敏感标记。✓安全审计性完成了“对用户行为、安全事件等进行记录”。五、事项解答五、事项解答5.1防水坝与防火墙对比等A、数据库防水坝的具体功能，与数据库防火墙（网管）的差别？数据库防水坝主要部署在运维侧实现数据库运维人员（数据库管理员、测试开发人员、第三方运维人员等）在运维过程中对于数据资产的访问、操作的安全管理与审计防止高危操作与数据泄露，通过多因素认证、多维度的权限控制和细粒度的资产授权管理，实现操作定位到人、责任到人的目的，保障运维过程中的安全管理。数据库防火墙主要部署在业务侧实现对于外部黑客的数据库入侵行为的安全防范，对可疑的非法违规操作进行阻断，如撞库检测防御、漏洞攻击拦截、SQL注入攻击阻断、敏感SQL管理等，真正做到SQL危险操作的主动预防、实时审计。B、它在其它医院的应用怎么样？通常医院客户会整体的进行建设，或者根据自己关注的数据库运维问题或是是数据敏感防护安全问题进行优先建设考虑。C、产品使用的必要性？目前等级保护及数据安全法对机构和单位的数据类安全的要求非常高，因此很多客户都计划了数据安全产品的采购。D、是怎么样部署的（旁路还是）？数据库防水坝旁路反向代理部署，反向代理运维侧所有数据库的访问。数据库防火墙透明串接部署。E、怎么管理数据库的（有策略还是每次都要人工写脚本）？数据库防水坝、数据库防火墙均是通过设置相关的安全管控策略进行数据库的安全管理。F、和应用厂家的协作关系是怎么样的？数据库防水坝部署过程中需要应用厂商配合提供数据库相关信息，数据库防火墙基本不需要应用厂家配合。G、对数据库性能有什么影响？数据库防水坝、数据库防火墙均是通过设置相关的安全管控策略进行数据库的安全管理，不占用数据库性能开销，对数据库性能基本无影响。H、不同的数据库系统是怎么管理的？对于数据库统一管理，数据库防水坝目前支持的数据库类型：oracle、sqlserver、DB2、Sybase、informix、hana、DM、Gbase、