//www.gd-hstech.com/webfile/upload/2023/11-07/15-07-410362938597955.png
//www.gd-hstech.com/webfile/upload/2023/11-07/15-07-480446-886560258.png
//www.gd-hstech.com/webfile/upload/2023/11-07/15-07-540674569945279.png
//www.gd-hstech.com/webfile/upload/2023/11-07/15-08-030256-1068989130.png
//www.gd-hstech.com/webfile/upload/2023/11-07/15-08-090272-952467223.png
在数据库运维安全场景中,单纯的文字制度规范已经无法真正抑制安全问题的发生,只能借助技术工具手段才能从源头改善问题。
对此,广东鸿数科技提出数据库运维安全解决方案,将基于数据库审计、敏感数据识别、数据分类分级、运维侧动态脱敏等多种技术产品,助力用户建设智能运维安全防护体系,实现数据库运维安全。
//www.gd-hstech.com/webfile/upload/2023/11-07/15-23-190895-400263833.png
1. 安全管控事前工作
系统通过识别数据库中的敏感数据,对敏感数据按照内置的分类分级标准进行数据归类和分级,生成分类分级清单,进而对不同等级的用户访问不同级别的敏感数据做出划分,保证敏感数据不泄露,满足相关法规的安全要求。
2. 操作审批与控制
在数据库之前安装动态脱敏代理集群,用户通过代理端口间接访问数据库。管理员可根据事前配置的管控策略对各类用户授权,支持数据库运维操作申请,审批通过后的运维人员才能执行具体的SQL命令,控制运维人员的SQL操作行为,阻断高危操作,减少误操作。
3. 敏感数据线上实时脱敏
以往通过直连数据库IP端口的用户,改为连接代理服务端口,在不改变底层数据库原始数据的前提下,代理根据管控策略对查询结果集中的敏感数据进行实时脱敏,保证敏感数据不泄露,满足数据安全要求。
4. 高危操作阻断
对于用户的SQL操作,当系统识别到用户的操作范围超过允许的执行范围时,系统会自动对该用户的操作进行阻断,从而保证数据库的运维安全。
5. 风险违规事中告警,及时发现违规越权访问行为
针对数据库的攻击和风险操作等可实时告警,以便快速做出应对措施,从而避免数据泄露或破坏。主要基于sql的语句准确解析技术,利用对SQL语句的特征分析,快速发现数据库入侵行为、数据库异常行为、数据库违规访问行为,并通过短信、邮件、Syslog等多种方式实时告警。
6.多方位检索
系统的分析视角包括:风险、语句、会话等多个维度。可查询的审计日志包括:应用信息、客户端信息、访问工具、操作行为、执行对象、响应时长、应答结果、影响范畴等20 多类元素,从而形成数据库的全量行为记录,可有效的追溯和定责。系统提供全局检索能力,从访问来源角度实现多个数据库的关联查询,定位数据库风险;提供会话和语句的深度关联分析,展现会话和语句详情;提供应用关联分析能力,使数据库的访问行为有效定位到业务工作人员,进行有效的追溯和定责。
//www.gd-hstech.com/webfile/upload/2023/11-07/15-10-4906501449416915.png
运维使用方便,无需更改现有用户习惯
无需改变数据库运维人员的工具和使用习惯,有效地化解数据库共享账号治理难题;场景化的数据脱敏策略,全链路的访问轨迹,高效地建立敏感数据保护技术措施;精细化的数据访问控制,自动化的策略配置,极大地提升数据安全运维工作效率。
//www.gd-hstech.com/webfile/upload/2023/11-07/15-11-200782-327862189.png
满足数据合规管控要求
该方案实现生产环境数据库中的敏感数据识别与分类分级,并形成敏感数据资产管理目录。并且在此基础之上提供运维侧数据动态脱敏功能,满足数据安全合规和个人信息保护合规要求,让企业的数据更安全、合规和高效。
//www.gd-hstech.com/webfile/upload/2023/11-07/15-12-0403491787118126.png
满足权限管控,事中事后行为审计
在该方案满足数据库权限的管控审计,及时阻止了用户的高危行为,有效防止了敏感数据泄露,满足数据合规和业务要求。
数据库运维安全解决方案
//www.gd-hstech.com/webfile/upload/2023/11-07/15-04-030990371743715.png