//www.pp3china.com/webfile/upload/2023/11-07/15-07-410362938597955.png
//www.pp3china.com/webfile/upload/2023/11-07/15-07-480446-886560258.png
//www.pp3china.com/webfile/upload/2023/11-07/15-07-540674569945279.png
//www.pp3china.com/webfile/upload/2023/11-07/15-08-030256-1068989130.png
//www.pp3china.com/webfile/upload/2023/11-07/15-08-090272-952467223.png
在數據庫運維安全場景中,單純的文字制度規范已經無法真正抑制安全問題的發生,只能借助技術工具手段才能從源頭改善問題。
對此,廣東鴻數科技提出數據庫運維安全解決方案,將基于數據庫審計、敏感數據識別、數據分類分級、運維側動態脫敏等多種技術產品,助力用戶建設智能運維安全防護體系,實現數據庫運維安全。
//www.pp3china.com/webfile/upload/2023/11-07/15-23-190895-400263833.png
1. 安全管控事前工作
系統通過識別數據庫中的敏感數據,對敏感數據按照內置的分類分級標準進行數據歸類和分級,生成分類分級清單,進而對不同等級的用戶訪問不同級別的敏感數據做出劃分,保證敏感數據不泄露,滿足相關法規的安全要求。
2. 操作審批與控制
在數據庫之前安裝動態脫敏代理集群,用戶通過代理端口間接訪問數據庫。管理員可根據事前配置的管控策略對各類用戶授權,支持數據庫運維操作申請,審批通過后的運維人員才能執行具體的SQL命令,控制運維人員的SQL操作行為,阻斷高危操作,減少誤操作。
3. 敏感數據線上實時脫敏
以往通過直連數據庫IP端口的用戶,改為連接代理服務端口,在不改變底層數據庫原始數據的前提下,代理根據管控策略對查詢結果集中的敏感數據進行實時脫敏,保證敏感數據不泄露,滿足數據安全要求。
4. 高危操作阻斷
對于用戶的SQL操作,當系統識別到用戶的操作范圍超過允許的執行范圍時,系統會自動對該用戶的操作進行阻斷,從而保證數據庫的運維安全。
5. 風險違規事中告警,及時發現違規越權訪問行為
針對數據庫的攻擊和風險操作等可實時告警,以便快速做出應對措施,從而避免數據泄露或破壞。主要基于sql的語句準確解析技術,利用對SQL語句的特征分析,快速發現數據庫入侵行為、數據庫異常行為、數據庫違規訪問行為,并通過短信、郵件、Syslog等多種方式實時告警。
6.多方位檢索
系統的分析視角包括:風險、語句、會話等多個維度。可查詢的審計日志包括:應用信息、客戶端信息、訪問工具、操作行為、執行對象、響應時長、應答結果、影響范疇等20 多類元素,從而形成數據庫的全量行為記錄,可有效的追溯和定責。系統提供全局檢索能力,從訪問來源角度實現多個數據庫的關聯查詢,定位數據庫風險;提供會話和語句的深度關聯分析,展現會話和語句詳情;提供應用關聯分析能力,使數據庫的訪問行為有效定位到業務工作人員,進行有效的追溯和定責。
//www.pp3china.com/webfile/upload/2023/11-07/15-10-4906501449416915.png
運維使用方便,無需更改現有用戶習慣
無需改變數據庫運維人員的工具和使用習慣,有效地化解數據庫共享賬號治理難題;場景化的數據脫敏策略,全鏈路的訪問軌跡,高效地建立敏感數據保護技術措施;精細化的數據訪問控制,自動化的策略配置,極大地提升數據安全運維工作效率。
//www.pp3china.com/webfile/upload/2023/11-07/15-11-200782-327862189.png
滿足數據合規管控要求
該方案實現生產環境數據庫中的敏感數據識別與分類分級,并形成敏感數據資產管理目錄。并且在此基礎之上提供運維側數據動態脫敏功能,滿足數據安全合規和個人信息保護合規要求,讓企業的數據更安全、合規和高效。
//www.pp3china.com/webfile/upload/2023/11-07/15-12-0403491787118126.png
滿足權限管控,事中事后行為審計
在該方案滿足數據庫權限的管控審計,及時阻止了用戶的高危行為,有效防止了敏感數據泄露,滿足數據合規和業務要求。
數據庫運維安全解決方案
//www.pp3china.com/webfile/upload/2023/11-07/15-04-030990371743715.png
