//wfwqd.com/webfile/upload/2023/11-07/15-07-410362938597955.png
//wfwqd.com/webfile/upload/2023/11-07/15-07-480446-886560258.png
//wfwqd.com/webfile/upload/2023/11-07/15-07-540674569945279.png
//wfwqd.com/webfile/upload/2023/11-07/15-08-030256-1068989130.png
//wfwqd.com/webfile/upload/2023/11-07/15-08-090272-952467223.png
在數(shù)據(jù)庫(kù)運(yùn)維安全場(chǎng)景中�,單純的文字制度規(guī)范已經(jīng)無(wú)法真正抑制安全問(wèn)題的發(fā)生,只能借助技術(shù)工具手段才能從源頭改善問(wèn)題�。
對(duì)此,廣東鴻數(shù)科技提出數(shù)據(jù)庫(kù)運(yùn)維安全解決方案,將基于數(shù)據(jù)庫(kù)審計(jì)�、敏感數(shù)據(jù)識(shí)別����、數(shù)據(jù)分類分級(jí)、運(yùn)維側(cè)動(dòng)態(tài)脫敏等多種技術(shù)產(chǎn)品�,助力用戶建設(shè)智能運(yùn)維安全防護(hù)體系,實(shí)現(xiàn)數(shù)據(jù)庫(kù)運(yùn)維安全��。
//wfwqd.com/webfile/upload/2023/11-07/15-23-190895-400263833.png
1. 安全管控事前工作
系統(tǒng)通過(guò)識(shí)別數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)����,對(duì)敏感數(shù)據(jù)按照內(nèi)置的分類分級(jí)標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)歸類和分級(jí)����,生成分類分級(jí)清單,進(jìn)而對(duì)不同等級(jí)的用戶訪問(wèn)不同級(jí)別的敏感數(shù)據(jù)做出劃分���,保證敏感數(shù)據(jù)不泄露���,滿足相關(guān)法規(guī)的安全要求��。
2. 操作審批與控制
在數(shù)據(jù)庫(kù)之前安裝動(dòng)態(tài)脫敏代理集群��,用戶通過(guò)代理端口間接訪問(wèn)數(shù)據(jù)庫(kù)�。管理員可根據(jù)事前配置的管控策略對(duì)各類用戶授權(quán)�,支持?jǐn)?shù)據(jù)庫(kù)運(yùn)維操作申請(qǐng),審批通過(guò)后的運(yùn)維人員才能執(zhí)行具體的SQL命令����,控制運(yùn)維人員的SQL操作行為,阻斷高危操作����,減少誤操作。
3. 敏感數(shù)據(jù)線上實(shí)時(shí)脫敏
以往通過(guò)直連數(shù)據(jù)庫(kù)IP端口的用戶���,改為連接代理服務(wù)端口��,在不改變底層數(shù)據(jù)庫(kù)原始數(shù)據(jù)的前提下�,代理根據(jù)管控策略對(duì)查詢結(jié)果集中的敏感數(shù)據(jù)進(jìn)行實(shí)時(shí)脫敏��,保證敏感數(shù)據(jù)不泄露�����,滿足數(shù)據(jù)安全要求。
4. 高危操作阻斷
對(duì)于用戶的SQL操作���,當(dāng)系統(tǒng)識(shí)別到用戶的操作范圍超過(guò)允許的執(zhí)行范圍時(shí)��,系統(tǒng)會(huì)自動(dòng)對(duì)該用戶的操作進(jìn)行阻斷���,從而保證數(shù)據(jù)庫(kù)的運(yùn)維安全。
5. 風(fēng)險(xiǎn)違規(guī)事中告警�,及時(shí)發(fā)現(xiàn)違規(guī)越權(quán)訪問(wèn)行為
針對(duì)數(shù)據(jù)庫(kù)的攻擊和風(fēng)險(xiǎn)操作等可實(shí)時(shí)告警,以便快速做出應(yīng)對(duì)措施����,從而避免數(shù)據(jù)泄露或破壞。主要基于sql的語(yǔ)句準(zhǔn)確解析技術(shù)���,利用對(duì)SQL語(yǔ)句的特征分析,快速發(fā)現(xiàn)數(shù)據(jù)庫(kù)入侵行為�、數(shù)據(jù)庫(kù)異常行為、數(shù)據(jù)庫(kù)違規(guī)訪問(wèn)行為��,并通過(guò)短信���、郵件��、Syslog等多種方式實(shí)時(shí)告警�。
6.多方位檢索
系統(tǒng)的分析視角包括:風(fēng)險(xiǎn)、語(yǔ)句�、會(huì)話等多個(gè)維度?���?刹樵兊膶徲?jì)日志包括:應(yīng)用信息、客戶端信息�、訪問(wèn)工具、操作行為��、執(zhí)行對(duì)象�����、響應(yīng)時(shí)長(zhǎng)����、應(yīng)答結(jié)果、影響范疇等20 多類元素�,從而形成數(shù)據(jù)庫(kù)的全量行為記錄,可有效的追溯和定責(zé)。系統(tǒng)提供全局檢索能力�����,從訪問(wèn)來(lái)源角度實(shí)現(xiàn)多個(gè)數(shù)據(jù)庫(kù)的關(guān)聯(lián)查詢����,定位數(shù)據(jù)庫(kù)風(fēng)險(xiǎn);提供會(huì)話和語(yǔ)句的深度關(guān)聯(lián)分析����,展現(xiàn)會(huì)話和語(yǔ)句詳情;提供應(yīng)用關(guān)聯(lián)分析能力��,使數(shù)據(jù)庫(kù)的訪問(wèn)行為有效定位到業(yè)務(wù)工作人員�,進(jìn)行有效的追溯和定責(zé)。
//wfwqd.com/webfile/upload/2023/11-07/15-10-4906501449416915.png
運(yùn)維使用方便�����,無(wú)需更改現(xiàn)有用戶習(xí)慣
無(wú)需改變數(shù)據(jù)庫(kù)運(yùn)維人員的工具和使用習(xí)慣����,有效地化解數(shù)據(jù)庫(kù)共享賬號(hào)治理難題;場(chǎng)景化的數(shù)據(jù)脫敏策略����,全鏈路的訪問(wèn)軌跡���,高效地建立敏感數(shù)據(jù)保護(hù)技術(shù)措施;精細(xì)化的數(shù)據(jù)訪問(wèn)控制,自動(dòng)化的策略配置���,極大地提升數(shù)據(jù)安全運(yùn)維工作效率�����。
//wfwqd.com/webfile/upload/2023/11-07/15-11-200782-327862189.png
滿足數(shù)據(jù)合規(guī)管控要求
該方案實(shí)現(xiàn)生產(chǎn)環(huán)境數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)識(shí)別與分類分級(jí)���,并形成敏感數(shù)據(jù)資產(chǎn)管理目錄。并且在此基礎(chǔ)之上提供運(yùn)維側(cè)數(shù)據(jù)動(dòng)態(tài)脫敏功能���,滿足數(shù)據(jù)安全合規(guī)和個(gè)人信息保護(hù)合規(guī)要求����,讓企業(yè)的數(shù)據(jù)更安全��、合規(guī)和高效��。
//wfwqd.com/webfile/upload/2023/11-07/15-12-0403491787118126.png
滿足權(quán)限管控��,事中事后行為審計(jì)
在該方案滿足數(shù)據(jù)庫(kù)權(quán)限的管控審計(jì),及時(shí)阻止了用戶的高危行為�����,有效防止了敏感數(shù)據(jù)泄露�,滿足數(shù)據(jù)合規(guī)和業(yè)務(wù)要求。
數(shù)據(jù)庫(kù)運(yùn)維安全解決方案
//wfwqd.com/webfile/upload/2023/11-07/15-04-030990371743715.png
