客戶(hù)痛點(diǎn)

  • 數(shù)據(jù)庫(kù)合規(guī)準(zhǔn)入

    目前數(shù)據(jù)庫(kù)管理方式通常是賬號(hào)密碼登陸,在這種場(chǎng)景下,存在賬號(hào)密碼被盜、共享賬戶(hù)、臨時(shí)賬號(hào)、登陸工具可能被惡意篡改等等問(wèn)題,導(dǎo)致重要數(shù)據(jù)泄漏、刪庫(kù)、數(shù)據(jù)被篡改等事件發(fā)生,且事后難以定位責(zé)任人。針對(duì)以上問(wèn)題,需要有效的準(zhǔn)入方法,對(duì)接入數(shù)據(jù)庫(kù)的人員進(jìn)行有效的身份識(shí)別和認(rèn)證,放行合法用戶(hù),拒絕非法接入。同時(shí)結(jié)合有效的識(shí)別手段,將數(shù)據(jù)庫(kù)登陸及管理行為與具體人員相關(guān)聯(lián),便于定位數(shù)據(jù)庫(kù)登陸及管理行為的主體。

  • 各類(lèi)權(quán)限管理需求

    運(yùn)維管控中權(quán)限管理往往極其復(fù)雜,數(shù)據(jù)庫(kù)特權(quán)賬號(hào)具有較高的權(quán)限,權(quán)限高意味著風(fēng)險(xiǎn)高。為避免運(yùn)維過(guò)程出現(xiàn)敏感數(shù)據(jù)泄露、數(shù)據(jù)高危操作等事件,數(shù)據(jù)庫(kù)的特權(quán)賬戶(hù)應(yīng)與敏感數(shù)據(jù)相隔離,并且將特權(quán)賬戶(hù)權(quán)限分離。同時(shí)加強(qiáng)內(nèi)部數(shù)據(jù)庫(kù)管理員、開(kāi)發(fā)人員、測(cè)試人員、系統(tǒng)維護(hù)人員、業(yè)務(wù)數(shù)據(jù)維護(hù)員、網(wǎng)絡(luò)管理員及第三方運(yùn)維人員等的權(quán)限管理,避免權(quán)限濫用,確保權(quán)限合法使用。

  • 訪問(wèn)控制需求

    調(diào)研發(fā)現(xiàn),企業(yè)對(duì)數(shù)據(jù)庫(kù)管理人員、第三方運(yùn)維人員等的管理方式大多為粗放式管理,缺少統(tǒng)一的運(yùn)維操作策略。通用的堡壘機(jī)管理數(shù)據(jù)庫(kù)更多是基于身份層面的準(zhǔn)入識(shí)別,而對(duì)于登陸數(shù)據(jù)庫(kù)后的所有操作(如新增、修改、刪除等)是無(wú)法控制管理。

  • 實(shí)時(shí)監(jiān)控及告警需求

    業(yè)務(wù)系統(tǒng)運(yùn)行期間需實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)安全,如若數(shù)據(jù)庫(kù)出現(xiàn)違規(guī)或非法事件,應(yīng)第一時(shí)間進(jìn)行告警,提示管理人員進(jìn)行處理。用戶(hù)可以制定告警策略,并輸出相應(yīng)報(bào)告,保證實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)運(yùn)行情況。

產(chǎn)品介紹

        數(shù)據(jù)庫(kù)防水壩系統(tǒng)主要解決當(dāng)前運(yùn)維環(huán)境下復(fù)雜的權(quán)限管控問(wèn)題,從源頭上對(duì)運(yùn)維人員和業(yè)務(wù)人員進(jìn)行分離管控,采用多維度的安全認(rèn)證方式,如對(duì)業(yè)務(wù)系統(tǒng)的終端認(rèn)證,對(duì)sqlplus、Toad等常見(jiàn)運(yùn)維工具的識(shí)別認(rèn)證,保證運(yùn)維來(lái)源的可信、可控。系統(tǒng)針對(duì)不同級(jí)別的DBA數(shù)據(jù)庫(kù)權(quán)限進(jìn)行分類(lèi),Schema級(jí)別的敏感數(shù)據(jù)分類(lèi),權(quán)限粒度細(xì)化到表格級(jí)別,對(duì)數(shù)據(jù)庫(kù)的敏感信息進(jìn)行分類(lèi)從而保障用戶(hù)數(shù)據(jù)資產(chǎn)的安全。系統(tǒng)主要由訪問(wèn)控制模塊、數(shù)據(jù)庫(kù)解析模塊、防篡改模塊、合規(guī)審計(jì)模塊等幾大核心模塊組成。

產(chǎn)品亮點(diǎn)

1、敏感數(shù)據(jù)分類(lèi)分級(jí)
清楚保護(hù)目標(biāo)才能落實(shí)安全保護(hù)措施,數(shù)據(jù)安全和運(yùn)維安全需要重點(diǎn)關(guān)注1%~10%的敏感數(shù)據(jù),必須把敏感數(shù)據(jù)從普通業(yè)務(wù)數(shù)據(jù)中識(shí)別出來(lái)并進(jìn)行獨(dú)立管理。敏感數(shù)據(jù)分類(lèi)是數(shù)據(jù)安全和運(yùn)維安全的基礎(chǔ)性工作,也是重點(diǎn)工作,數(shù)據(jù)庫(kù)防水壩系統(tǒng)通過(guò)以下三個(gè)方面進(jìn)行數(shù)據(jù)分級(jí)分類(lèi):
● 以表格為基礎(chǔ)的敏感數(shù)據(jù)分類(lèi):支持自定義敏感表格組成敏感數(shù)據(jù)集合,方便管理。
● Schema級(jí)別的敏感數(shù)據(jù)分類(lèi):支持Schema級(jí)別所有表格形成敏感數(shù)據(jù)集合,自動(dòng)管理敏感數(shù)據(jù)表格的生成、變更和消亡,簡(jiǎn)化敏感數(shù)據(jù)管理。
● 以業(yè)務(wù)為單元的敏感數(shù)據(jù)分類(lèi):敏感數(shù)據(jù)集合作為一個(gè)獨(dú)立于數(shù)據(jù)庫(kù)之外的訪問(wèn)控制單元,按照應(yīng)用程序進(jìn)行歸類(lèi),合法應(yīng)用程序可以自動(dòng)訪問(wèn)敏感數(shù)據(jù)。

2、多維度準(zhǔn)入控制
數(shù)據(jù)庫(kù)防水壩系統(tǒng)對(duì)于接入數(shù)據(jù)庫(kù)的行為提供多維度的監(jiān)控,包括身份管理、應(yīng)用防假冒、防撞庫(kù)、直連控制和免密登陸等。身份管理通過(guò)應(yīng)用程序名、IP地址、主機(jī)名、操作系統(tǒng)賬戶(hù)、數(shù)據(jù)庫(kù)賬戶(hù)、數(shù)據(jù)庫(kù)實(shí)例名、時(shí)間、U盾等因素進(jìn)行任意組合,形成新的登陸認(rèn)證規(guī)則,同時(shí)支持簽名登陸驗(yàn)證和數(shù)字證書(shū)認(rèn)證方式,符合規(guī)則予以準(zhǔn)入,反之則阻斷;對(duì)于應(yīng)用防假冒,防水壩能夠識(shí)別真實(shí)應(yīng)用特征,防止人為惡意將其他的應(yīng)用改成業(yè)務(wù)系統(tǒng)應(yīng)用,假冒應(yīng)用訪問(wèn)數(shù)據(jù)庫(kù),進(jìn)行非法操作;對(duì)于撞庫(kù)攻擊,數(shù)據(jù)庫(kù)防水壩系統(tǒng)可建立用戶(hù)信息白名單,通過(guò)限制同一個(gè)IP的請(qǐng)求次數(shù)和請(qǐng)求頻率來(lái)防止;對(duì)于直連控制,在反向代理部署模式下,可對(duì)直連數(shù)據(jù)庫(kù)的行為進(jìn)行控制;防水壩系統(tǒng)可通過(guò)安全客戶(hù)端免密登錄數(shù)據(jù)庫(kù),避免密碼泄露。數(shù)據(jù)庫(kù)防水壩系統(tǒng)整體將系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、第三方代維人員和運(yùn)維開(kāi)發(fā)人員等的身份進(jìn)行統(tǒng)一管理,隔離敏感數(shù)據(jù),使運(yùn)維操作更加規(guī)范、透明、可控,構(gòu)建多維度數(shù)據(jù)庫(kù)接入認(rèn)證體系。

3、高危性操作防護(hù)
數(shù)據(jù)庫(kù)存在眾多特權(quán)賬號(hào),如系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、開(kāi)發(fā)人員等,可執(zhí)行DDL、DML、代碼類(lèi)的高危操作,并存在誤操作的可能。為解決此類(lèi)問(wèn)題,結(jié)合防水壩系統(tǒng)訪問(wèn)控制功能,執(zhí)行delete、update等高風(fēng)險(xiǎn)操作時(shí)要求攜帶where條件,只有符合要求才可進(jìn)行操作,降低員工誤操作的可能性。

4、全面運(yùn)維審計(jì)
數(shù)據(jù)庫(kù)防水壩系統(tǒng)提供全面的運(yùn)維審計(jì)功能,可對(duì)數(shù)據(jù)庫(kù)查詢(xún)、新增、修改、刪除等行為進(jìn)行監(jiān)控,可對(duì)審計(jì)事件進(jìn)行搜索、管理,審計(jì)結(jié)果能夠鎖定操作終端,可基于單個(gè)會(huì)話進(jìn)行事件回溯,符合等保三級(jí)的核心要求,符合《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等對(duì)個(gè)人隱私數(shù)據(jù)信息的保護(hù)要求,符合GDPR、GLBA、CCPA等法案要求。保護(hù)敏感數(shù)據(jù)資產(chǎn)的安全審計(jì),為運(yùn)維管理提供極大的便利。

5、實(shí)時(shí)安全風(fēng)險(xiǎn)感知
為更加直觀、可視的監(jiān)控?cái)?shù)據(jù)庫(kù)整體的運(yùn)行情況,防水壩提供數(shù)據(jù)庫(kù)安全實(shí)時(shí)風(fēng)險(xiǎn)感知平臺(tái),實(shí)時(shí)展示數(shù)據(jù)庫(kù)的安全情況,出現(xiàn)風(fēng)險(xiǎn)時(shí)可快速定位當(dāng)前被攻擊的數(shù)據(jù)庫(kù)及發(fā)起攻擊的客戶(hù)端,同時(shí)對(duì)注入攻擊、漏洞攻擊、敏感訪問(wèn)、系統(tǒng)運(yùn)行、流量等進(jìn)行24小時(shí)實(shí)時(shí)監(jiān)控,讓數(shù)據(jù)庫(kù)更安全,讓運(yùn)維更輕松。

6、敏感數(shù)據(jù)訪問(wèn)控制
為保證敏感數(shù)據(jù)安全使用,數(shù)據(jù)庫(kù)防水壩系統(tǒng)提供敏感數(shù)據(jù)訪問(wèn)控制。需要授權(quán)才能訪問(wèn)敏感數(shù)據(jù)集合,拒絕不具備訪問(wèn)權(quán)限的操作。敏感數(shù)據(jù)集合支持設(shè)置訪問(wèn)規(guī)則,訪問(wèn)規(guī)則中可設(shè)定精細(xì)化的訪問(wèn)因子,如應(yīng)用程序名、IP地址、操作系統(tǒng)賬戶(hù)、數(shù)據(jù)庫(kù)實(shí)例名、時(shí)間、U盾等條件,滿(mǎn)足條件方可訪問(wèn)敏感數(shù)據(jù)集合。同時(shí)支持限制特定的JOB作業(yè)訪問(wèn)敏感數(shù)據(jù)集合,或設(shè)置特定的JOB作業(yè)才可以訪問(wèn)敏感數(shù)據(jù)集合,多方面控制敏感數(shù)據(jù)的訪問(wèn),有效防止敏感數(shù)據(jù)泄漏。

7、工作流臨時(shí)授權(quán)
日常運(yùn)維中經(jīng)常會(huì)出現(xiàn)未授權(quán)訪問(wèn),或臨時(shí)需要訪問(wèn),為解決臨時(shí)授權(quán)訪問(wèn)問(wèn)題,數(shù)據(jù)庫(kù)防水壩系統(tǒng)設(shè)計(jì)工作流功能。未授權(quán)用戶(hù)操作數(shù)據(jù)庫(kù)前,需要通過(guò)工作流提交工單,將需要進(jìn)行的操作一并提交,審批獲得權(quán)限即可進(jìn)行后續(xù)操作。工作流包括流程管理和權(quán)限管理:
流程管理:工單錄入、工單查看、流程提交、審批管理、實(shí)時(shí)跟蹤、統(tǒng)計(jì)報(bào)表等。
權(quán)限管理:腳本上傳、SQL語(yǔ)句執(zhí)行確認(rèn)、提權(quán)確認(rèn)、權(quán)限回收等。

應(yīng)用場(chǎng)景

以下為數(shù)據(jù)庫(kù)防水壩系統(tǒng)適用場(chǎng)景:

  • 共享賬戶(hù)導(dǎo)致的責(zé)權(quán)不明問(wèn)題

  • 大權(quán)限賬戶(hù)導(dǎo)致的數(shù)據(jù)泄露、數(shù)據(jù)丟失問(wèn)題

  • 安全管理合規(guī)問(wèn)題

  • 假冒應(yīng)用訪問(wèn)數(shù)據(jù)庫(kù)

  • 撞庫(kù)攻擊

  • 竊取備份數(shù)據(jù)

  • 通過(guò)JOB訪問(wèn)敏感數(shù)據(jù)

  • 惡意代碼如勒索攻擊

典型案例

電網(wǎng)數(shù)據(jù)庫(kù)防水壩案例

客戶(hù)價(jià)值:
市電力公司隸屬?lài)?guó)家電網(wǎng)公司,負(fù)責(zé)全市電網(wǎng)規(guī)劃、建設(shè)和運(yùn)營(yíng),承擔(dān)保障能源安全,為經(jīng)濟(jì)社會(huì)發(fā)展提供安全、可靠、優(yōu)質(zhì)電力供應(yīng)的任務(wù)。公司供電面積1.18萬(wàn)平方公里,供電營(yíng)業(yè)戶(hù)數(shù)超過(guò)470萬(wàn)戶(hù),供電服務(wù)人口超過(guò)1200萬(wàn)人。

需求背景:
● 核心系統(tǒng)使用人員多
核心系統(tǒng)有大量的運(yùn)維、研發(fā)等人員使用,核心數(shù)據(jù)庫(kù)使用人員較大,存在安全風(fēng)險(xiǎn)。
● 核心數(shù)據(jù)庫(kù)缺少準(zhǔn)入機(jī)制
核心數(shù)據(jù)庫(kù)統(tǒng)一采用數(shù)據(jù)庫(kù)默認(rèn)認(rèn)證方式,核心數(shù)據(jù)庫(kù)密碼傳播較廣,存在安全風(fēng)險(xiǎn)。
● 敏感數(shù)據(jù)無(wú)防篡改機(jī)制
核心系統(tǒng)存在大量的敏感數(shù)據(jù),一旦這些數(shù)據(jù)遭到篡改,將帶來(lái)嚴(yán)重的損失。
● 符合相關(guān)法律法規(guī)要求
需要滿(mǎn)足《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、等保2.0等相關(guān)要求。

解決方案:
● 數(shù)據(jù)庫(kù)防水壩將以旁路的方式部署在核心網(wǎng)中。
● 數(shù)據(jù)庫(kù)防水壩通過(guò)反向代理的模式接管核心數(shù)據(jù)庫(kù)的運(yùn)維流量。
● 在核心交換機(jī)上配置ACL策略,禁止用戶(hù)直接訪問(wèn)核心數(shù)據(jù)庫(kù)。
● 數(shù)據(jù)庫(kù)防水壩具有多因子認(rèn)證功能,并能夠?qū)崿F(xiàn)列級(jí)訪問(wèn)控制、動(dòng)態(tài)脫敏等功能。
● 用戶(hù)通過(guò)工單流實(shí)現(xiàn)權(quán)限的發(fā)放與回收。

客戶(hù)價(jià)值:
● 多維度安全訪問(wèn)控制和授權(quán)管理,解決運(yùn)維過(guò)程存在的賬戶(hù)共享、臨時(shí)賬號(hào)、賬號(hào)管理混亂、運(yùn)維操作不透明等數(shù)據(jù)安全問(wèn)題。
● 對(duì)核心生產(chǎn)庫(kù)的重要敏感數(shù)據(jù)進(jìn)行動(dòng)態(tài)脫敏,實(shí)現(xiàn)敏感資產(chǎn)數(shù)據(jù)和非敏感數(shù)據(jù)的分離,防止運(yùn)維人員非法訪問(wèn)敏感數(shù)據(jù)。
● 智能化報(bào)表與告警訂閱,利于把控?cái)?shù)據(jù)庫(kù)運(yùn)維的整體安全態(tài)勢(shì)。
● 滿(mǎn)足安全合規(guī)審計(jì)要求,保護(hù)敏感數(shù)據(jù)資產(chǎn)的安全審計(jì)。

微信公眾號(hào)
使用微信掃一掃
或在微信中搜索
"中國(guó)—東盟信息港股份有限公司"
在線咨詢(xún)
熱線電話
舉報(bào)監(jiān)督
4006716888
按需定制個(gè)性化數(shù)字轉(zhuǎn)型方案,全程360°服務(wù)
立即咨詢(xún)