<strike id="nxvzp"></strike>

      <strike id="nxvzp"></strike>
      <ol id="nxvzp"></ol>

      客戶痛點

      • 數據庫合規準入

        目前數據庫管理方式通常是賬號密碼登陸,在這種場景下,存在賬號密碼被盜、共享賬戶、臨時賬號、登陸工具可能被惡意篡改等等問題,導致重要數據泄漏、刪庫、數據被篡改等事件發生,且事后難以定位責任人。針對以上問題,需要有效的準入方法,對接入數據庫的人員進行有效的身份識別和認證,放行合法用戶,拒絕非法接入。同時結合有效的識別手段,將數據庫登陸及管理行為與具體人員相關聯,便于定位數據庫登陸及管理行為的主體。
      • 各類權限管理需求

        運維管控中權限管理往往極其復雜,數據庫特權賬號具有較高的權限,權限高意味著風險高。為避免運維過程出現敏感數據泄露、數據高危操作等事件,數據庫的特權賬戶應與敏感數據相隔離,并且將特權賬戶權限分離。同時加強內部數據庫管理員、開發人員、測試人員、系統維護人員、業務數據維護員、網絡管理員及第三方運維人員等的權限管理,避免權限濫用,確保權限合法使用。
      • 訪問控制需求

        調研發現,企業對數據庫管理人員、第三方運維人員等的管理方式大多為粗放式管理,缺少統一的運維操作策略。通用的堡壘機管理數據庫更多是基于身份層面的準入識別,而對于登陸數據庫后的所有操作(如新增、修改、刪除等)是無法控制管理。
      • 實時監控及告警需求

        業務系統運行期間需實時監控數據庫安全,如若數據庫出現違規或非法事件,應第一時間進行告警,提示管理人員進行處理。用戶可以制定告警策略,并輸出相應報告,保證實時監控數據庫運行情況。

      產品介紹

              數據庫防水壩系統主要解決當前運維環境下復雜的權限管控問題,從源頭上對運維人員和業務人員進行分離管控,采用多維度的安全認證方式,如對業務系統的終端認證,對sqlplus、Toad等常見運維工具的識別認證,保證運維來源的可信、可控。系統針對不同級別的DBA數據庫權限進行分類,Schema級別的敏感數據分類,權限粒度細化到表格級別,對數據庫的敏感信息進行分類從而保障用戶數據資產的安全。系統主要由訪問控制模塊、數據庫解析模塊、防篡改模塊、合規審計模塊等幾大核心模塊組成。

      產品亮點

      1、敏感數據分類分級
      清楚保護目標才能落實安全保護措施,數據安全和運維安全需要重點關注1%~10%的敏感數據,必須把敏感數據從普通業務數據中識別出來并進行獨立管理。敏感數據分類是數據安全和運維安全的基礎性工作,也是重點工作,數據庫防水壩系統通過以下三個方面進行數據分級分類:
      ● 以表格為基礎的敏感數據分類:支持自定義敏感表格組成敏感數據集合,方便管理。
      ● Schema級別的敏感數據分類:支持Schema級別所有表格形成敏感數據集合,自動管理敏感數據表格的生成、變更和消亡,簡化敏感數據管理。
      ● 以業務為單元的敏感數據分類:敏感數據集合作為一個獨立于數據庫之外的訪問控制單元,按照應用程序進行歸類,合法應用程序可以自動訪問敏感數據。

      2、多維度準入控制
      數據庫防水壩系統對于接入數據庫的行為提供多維度的監控,包括身份管理、應用防假冒、防撞庫、直連控制和免密登陸等。身份管理通過應用程序名、IP地址、主機名、操作系統賬戶、數據庫賬戶、數據庫實例名、時間、U盾等因素進行任意組合,形成新的登陸認證規則,同時支持簽名登陸驗證和數字證書認證方式,符合規則予以準入,反之則阻斷;對于應用防假冒,防水壩能夠識別真實應用特征,防止人為惡意將其他的應用改成業務系統應用,假冒應用訪問數據庫,進行非法操作;對于撞庫攻擊,數據庫防水壩系統可建立用戶信息白名單,通過限制同一個IP的請求次數和請求頻率來防止;對于直連控制,在反向代理部署模式下,可對直連數據庫的行為進行控制;防水壩系統可通過安全客戶端免密登錄數據庫,避免密碼泄露。數據庫防水壩系統整體將系統管理員、數據庫管理員、第三方代維人員和運維開發人員等的身份進行統一管理,隔離敏感數據,使運維操作更加規范、透明、可控,構建多維度數據庫接入認證體系。

      3、高危性操作防護
      數據庫存在眾多特權賬號,如系統管理員、數據庫管理員、開發人員等,可執行DDL、DML、代碼類的高危操作,并存在誤操作的可能。為解決此類問題,結合防水壩系統訪問控制功能,執行delete、update等高風險操作時要求攜帶where條件,只有符合要求才可進行操作,降低員工誤操作的可能性。

      4、全面運維審計
      數據庫防水壩系統提供全面的運維審計功能,可對數據庫查詢、新增、修改、刪除等行為進行監控,可對審計事件進行搜索、管理,審計結果能夠鎖定操作終端,可基于單個會話進行事件回溯,符合等保三級的核心要求,符合《網絡安全法》、《數據安全法》、《個人信息保護法》等對個人隱私數據信息的保護要求,符合GDPR、GLBA、CCPA等法案要求。保護敏感數據資產的安全審計,為運維管理提供極大的便利。

      5、實時安全風險感知
      為更加直觀、可視的監控數據庫整體的運行情況,防水壩提供數據庫安全實時風險感知平臺,實時展示數據庫的安全情況,出現風險時可快速定位當前被攻擊的數據庫及發起攻擊的客戶端,同時對注入攻擊、漏洞攻擊、敏感訪問、系統運行、流量等進行24小時實時監控,讓數據庫更安全,讓運維更輕松。

      6、敏感數據訪問控制
      為保證敏感數據安全使用,數據庫防水壩系統提供敏感數據訪問控制。需要授權才能訪問敏感數據集合,拒絕不具備訪問權限的操作。敏感數據集合支持設置訪問規則,訪問規則中可設定精細化的訪問因子,如應用程序名、IP地址、操作系統賬戶、數據庫實例名、時間、U盾等條件,滿足條件方可訪問敏感數據集合。同時支持限制特定的JOB作業訪問敏感數據集合,或設置特定的JOB作業才可以訪問敏感數據集合,多方面控制敏感數據的訪問,有效防止敏感數據泄漏。

      7、工作流臨時授權
      日常運維中經常會出現未授權訪問,或臨時需要訪問,為解決臨時授權訪問問題,數據庫防水壩系統設計工作流功能。未授權用戶操作數據庫前,需要通過工作流提交工單,將需要進行的操作一并提交,審批獲得權限即可進行后續操作。工作流包括流程管理和權限管理:
      流程管理:工單錄入、工單查看、流程提交、審批管理、實時跟蹤、統計報表等。
      權限管理:腳本上傳、SQL語句執行確認、提權確認、權限回收等。

      應用場景

      以下為數據庫防水壩系統適用場景:

      • 共享賬戶導致的責權不明問題

      • 大權限賬戶導致的數據泄露、數據丟失問題

      • 安全管理合規問題

      • 假冒應用訪問數據庫

      • 撞庫攻擊

      • 竊取備份數據

      • 通過JOB訪問敏感數據

      • 惡意代碼如勒索攻擊

      典型案例

      電網數據庫防水壩案例

      客戶價值:
      市電力公司隸屬國家電網公司,負責全市電網規劃、建設和運營,承擔保障能源安全,為經濟社會發展提供安全、可靠、優質電力供應的任務。公司供電面積1.18萬平方公里,供電營業戶數超過470萬戶,供電服務人口超過1200萬人。

      需求背景:
      ● 核心系統使用人員多
      核心系統有大量的運維、研發等人員使用,核心數據庫使用人員較大,存在安全風險。
      ● 核心數據庫缺少準入機制
      核心數據庫統一采用數據庫默認認證方式,核心數據庫密碼傳播較廣,存在安全風險。
      ● 敏感數據無防篡改機制
      核心系統存在大量的敏感數據,一旦這些數據遭到篡改,將帶來嚴重的損失。
      ● 符合相關法律法規要求
      需要滿足《網絡安全法》、《數據安全法》、等保2.0等相關要求。

      解決方案:
      ● 數據庫防水壩將以旁路的方式部署在核心網中。
      ● 數據庫防水壩通過反向代理的模式接管核心數據庫的運維流量。
      ● 在核心交換機上配置ACL策略,禁止用戶直接訪問核心數據庫。
      ● 數據庫防水壩具有多因子認證功能,并能夠實現列級訪問控制、動態脫敏等功能。
      ● 用戶通過工單流實現權限的發放與回收。

      客戶價值:
      ● 多維度安全訪問控制和授權管理,解決運維過程存在的賬戶共享、臨時賬號、賬號管理混亂、運維操作不透明等數據安全問題。
      ● 對核心生產庫的重要敏感數據進行動態脫敏,實現敏感資產數據和非敏感數據的分離,防止運維人員非法訪問敏感數據。
      ● 智能化報表與告警訂閱,利于把控數據庫運維的整體安全態勢。
      ● 滿足安全合規審計要求,保護敏感數據資產的安全審計。

      微信公眾號
      使用微信掃一掃
      或在微信中搜索
      "中國—東盟信息港股份有限公司"
      在線咨詢
      熱線電話
      舉報監督
      4006716888
      按需定制個性化數字轉型方案,全程360°服務
      立即咨詢
      野花在线观看免费播放,清纯白嫩大学生正在播放,爽爽影视18禁止进入