网络安全产品公司产品
深信服 IP-guard 火绒安全 安华金和 绿盟科技
安华金和数据库安全运维系统DBController
  • 性能特点

 

产品概述 

 

 

安华金和数据库安全运维系统(简称DBController)是一款面向数据库运维人员的数据库安全加固与访问管控产品,能够有效提升数据库日常运维管理工作的精细度及安全性。

DBController可以对运维行为进行流程化管理,提供事前审批、事中控制、事后审计、定期报表等功能,将审批、控制和追责有效结合,避免内部运维人员的恶意操作和误操作行为,解决运维账号共享带来的身份不清问题,确保运维行为在受控的范畴内安全高效的执行。

 

产品价值 

合规安全政策,提升运维管理安全

数据成为资产,网络安全法公布后,数据所有者需要提供合理数据安全保护措施;诸多行业监管政策中,也提出对于数据库高权限账户的审批、监控、权限分立等安全管理需求。

通过部署DBController,可以从技术角度满足不同行业和领域对内部人员、第三方人员数据库操作的管理要求。

规范审批流程,实现金库模式管控

DBController内置数据库运维安全审批流程管理,保证高危操作和敏感操作必须多人参与和批准,支持类金融的金库模式。

DBController取代和提升传统OA或纸质申请审批模式,确保实际操作与原申请的一致性。

动态数据遮蔽,有效防止敏感数据泄露

DBController提供敏感数据掩码返回能力,能够限制具有超高权限的运维账户读取敏感数据。

运维人员的日常工作如数据备份恢复、资源清理、系统状态监控与维护工作不受影响,但是一旦查询敏感数据,在没有访问数据权限的情况下即返回遮蔽后的结果。

 

 

产品优势 

更加便捷的数据库运维管理

DBController作为专业的数据库运维产品,提供强大而易用的数据库运维管理能力。

可以根据运维人员的不同角色、运维数据的重要度、运维操作的风险类型,设置正常行为放行、可疑操作告警、重点操作审批、异常行为拦截。

更为精细的操作控制粒度

DBController不同于传统的堡垒机,对于数据库的运维行为可以提供更加精细化的管控;控制对象可以是库,可以是表,也可以精细到列;除了传统的增删改查,可以根据访问影响行判断是否高危;管控对象可以包括用户、登录IP、时间。

更为丰富的操作申请类型

对于运维行为申请,可提供多种提交方式:

1) 提交完整SQL语句,选择对应审批人,并根据操作时间指定本人执行或授权其他人员操作;

2) 可以上传运维脚本进行申请,支持单次多个脚本申请;

3) 按照“时间+对象+操作”的条件组合提交申请。

 

 

功能特性 

运维人员身份鉴别

可以通过双因素认证机制,解决数据库账户共享、运维主机共享场景下的运维人员精准身份鉴别及权限划分问题。认证机制包括:

审批口令码:运维人员提交申请并通过后获得审批码,运维人员登录数据库需提交审批码,方可继续执行获准的运维操作。

动态令牌:运维人员在登录数据库后,通过输入动态令牌显示的数字校验身份,通过后方可执行与身份相符的运维操作。

运维行为审批

提供运维审批功能,敏感数据操作行为需要经过审批;审批通过后配发唯一口令码,确保操作执行者为信任用户,且执行行为属于获批行为。

敏感数据遮蔽

根据不同运维人员访问敏感数据权限,DBController能够通过内置的敏感数据访问规则,对其访问数据中的身份证号、银行卡号、电话号码、姓名、住址等敏感数据信息进行掩码处理,实现敏感数据动态遮蔽,防止内部运维人员泄露敏感数据。

运维异常行为管控

对于数据库风险行为,如SQL注入、漏洞攻击、批量数据下载、危险SQL语句(如No where 、truncate)等,提供拦截、阻断、实时告警等管控模式,支持短信、邮件、APP、syslog等多种通知方式。

支持多种数据库与SQL语句类型

数据库

国际:Oracle、MSSQL、Mysql、DB2、Informix、Sybase

国内:达梦、金仓、GBASE、Oscar

SQL类型

数据定义语言DDL:create、alter、drop、declare

数据操作语言DML:select、insert、update、delete

数据控制语言DCL:grant、revoke、set、commit、rollback

多角色多权限管理

可设置普通用户、审批人、安全管理员、系统管理员、审计管理员五种角色,对应不同操作权限。

提供丰富报表与技术报告

内嵌报表功能模块,实时提供不同维度专项报表,如风险统计报表、申请/审批统计报表、日常运维报表等,支持word、pdf、html多格式输出。

提供全面统计分析,按月度、季度、年度输出工作分析报告。

高可用、 高性能、高易用

高可用:DBController串接于运维侧与数据库之间,为了保障运维工作不受影响,提供主备模式及双机负载均衡两种容灾机制;同时,在单台设备上提供Bypass能力,避免出现,单点故障影响正常业务运行。

高性能: 支持大量运维人员同时在线执行申请/审批及运维操作;语句执行时对业务系统的性能影响控制在微秒级,使用者基本无感。

高易用: DBController提供更人性化的图形界面,以及高易用性的交互体验,将复杂的运维审批流程简单化,实现快速申请审批,明显提高工作效率。

部署方式        

DBController采用串联的方式部署于数据库访问运维侧与数据库服务器之间。所有运维侧的数据库访问均需经过数据库安全运维系统,而应用系统访问数据库的行为不会受到影响,仍然采用原有拓扑与数据库连接。