//www.pacfzyz.com/webfile/upload/2023/11-07/15-07-410362938597955.png
//www.pacfzyz.com/webfile/upload/2023/11-07/15-07-480446-886560258.png
//www.pacfzyz.com/webfile/upload/2023/11-07/15-07-540674569945279.png
//www.pacfzyz.com/webfile/upload/2023/11-07/15-08-030256-1068989130.png
//www.pacfzyz.com/webfile/upload/2023/11-07/15-08-090272-952467223.png
在數(shù)據(jù)庫運維安全場景中,單純的文字制度規(guī)范已經(jīng)無法真正抑制安全問題的發(fā)生,只能借助技術工具手段才能從源頭改善問題。
對此,廣東鴻數(shù)科技提出數(shù)據(jù)庫運維安全解決方案,將基于數(shù)據(jù)庫審計、敏感數(shù)據(jù)識別、數(shù)據(jù)分類分級、運維側(cè)動態(tài)脫敏等多種技術產(chǎn)品,助力用戶建設智能運維安全防護體系,實現(xiàn)數(shù)據(jù)庫運維安全。
//www.pacfzyz.com/webfile/upload/2023/11-07/15-23-190895-400263833.png
1. 安全管控事前工作
系統(tǒng)通過識別數(shù)據(jù)庫中的敏感數(shù)據(jù),對敏感數(shù)據(jù)按照內(nèi)置的分類分級標準進行數(shù)據(jù)歸類和分級,生成分類分級清單,進而對不同等級的用戶訪問不同級別的敏感數(shù)據(jù)做出劃分,保證敏感數(shù)據(jù)不泄露,滿足相關法規(guī)的安全要求。
2. 操作審批與控制
在數(shù)據(jù)庫之前安裝動態(tài)脫敏代理集群,用戶通過代理端口間接訪問數(shù)據(jù)庫。管理員可根據(jù)事前配置的管控策略對各類用戶授權,支持數(shù)據(jù)庫運維操作申請,審批通過后的運維人員才能執(zhí)行具體的SQL命令,控制運維人員的SQL操作行為,阻斷高危操作,減少誤操作。
3. 敏感數(shù)據(jù)線上實時脫敏
以往通過直連數(shù)據(jù)庫IP端口的用戶,改為連接代理服務端口,在不改變底層數(shù)據(jù)庫原始數(shù)據(jù)的前提下,代理根據(jù)管控策略對查詢結(jié)果集中的敏感數(shù)據(jù)進行實時脫敏,保證敏感數(shù)據(jù)不泄露,滿足數(shù)據(jù)安全要求。
4. 高危操作阻斷
對于用戶的SQL操作,當系統(tǒng)識別到用戶的操作范圍超過允許的執(zhí)行范圍時,系統(tǒng)會自動對該用戶的操作進行阻斷,從而保證數(shù)據(jù)庫的運維安全。
5. 風險違規(guī)事中告警,及時發(fā)現(xiàn)違規(guī)越權訪問行為
針對數(shù)據(jù)庫的攻擊和風險操作等可實時告警,以便快速做出應對措施,從而避免數(shù)據(jù)泄露或破壞。主要基于sql的語句準確解析技術,利用對SQL語句的特征分析,快速發(fā)現(xiàn)數(shù)據(jù)庫入侵行為、數(shù)據(jù)庫異常行為、數(shù)據(jù)庫違規(guī)訪問行為,并通過短信、郵件、Syslog等多種方式實時告警。
6.多方位檢索
系統(tǒng)的分析視角包括:風險、語句、會話等多個維度。可查詢的審計日志包括:應用信息、客戶端信息、訪問工具、操作行為、執(zhí)行對象、響應時長、應答結(jié)果、影響范疇等20 多類元素,從而形成數(shù)據(jù)庫的全量行為記錄,可有效的追溯和定責。系統(tǒng)提供全局檢索能力,從訪問來源角度實現(xiàn)多個數(shù)據(jù)庫的關聯(lián)查詢,定位數(shù)據(jù)庫風險;提供會話和語句的深度關聯(lián)分析,展現(xiàn)會話和語句詳情;提供應用關聯(lián)分析能力,使數(shù)據(jù)庫的訪問行為有效定位到業(yè)務工作人員,進行有效的追溯和定責。
//www.pacfzyz.com/webfile/upload/2023/11-07/15-10-4906501449416915.png
運維使用方便,無需更改現(xiàn)有用戶習慣
無需改變數(shù)據(jù)庫運維人員的工具和使用習慣,有效地化解數(shù)據(jù)庫共享賬號治理難題;場景化的數(shù)據(jù)脫敏策略,全鏈路的訪問軌跡,高效地建立敏感數(shù)據(jù)保護技術措施;精細化的數(shù)據(jù)訪問控制,自動化的策略配置,極大地提升數(shù)據(jù)安全運維工作效率。
//www.pacfzyz.com/webfile/upload/2023/11-07/15-11-200782-327862189.png
滿足數(shù)據(jù)合規(guī)管控要求
該方案實現(xiàn)生產(chǎn)環(huán)境數(shù)據(jù)庫中的敏感數(shù)據(jù)識別與分類分級,并形成敏感數(shù)據(jù)資產(chǎn)管理目錄。并且在此基礎之上提供運維側(cè)數(shù)據(jù)動態(tài)脫敏功能,滿足數(shù)據(jù)安全合規(guī)和個人信息保護合規(guī)要求,讓企業(yè)的數(shù)據(jù)更安全、合規(guī)和高效。
//www.pacfzyz.com/webfile/upload/2023/11-07/15-12-0403491787118126.png
滿足權限管控,事中事后行為審計
在該方案滿足數(shù)據(jù)庫權限的管控審計,及時阻止了用戶的高危行為,有效防止了敏感數(shù)據(jù)泄露,滿足數(shù)據(jù)合規(guī)和業(yè)務要求。
數(shù)據(jù)庫運維安全解決方案
//www.pacfzyz.com/webfile/upload/2023/11-07/15-04-030990371743715.png
