數據庫安全運維技術是對數據庫的訪問和操作等運維行為,進行流程審批和阻斷管控的技術。首先,數據庫安全運維會對所有數據庫運維行為,建立規范的運維流程,包括事前審批,事中控制,事后記錄操作信息,來實現全運維流程的管理,保障數據庫的運維安全。
其次,數據庫安全運維初始默認狀態會拒絕一切數據庫運維和動作通過。因此,如果要對數據庫進行運維操作,需要提交運維申請。隨后,審批人會對提交的操作時間、操作內容、操作對象、操作目標庫等均做出審批,并且只有在審批通過獲得唯一操作碼后方可進行操作,因此,數據庫安全運維產品可以極大地降低誤操作、違規操作等不規范運維行為,從而避免因誤操作、違規操作造成的數據篡改和泄露。
審批操作流程圖
目前數據庫安全運維的關鍵技術如下:
事前審批:數據庫運維人員對數據庫進行運維之前,需要登錄運維審批系統,提交包括運維時間、目標數據庫、操作對象、操作內容等在內的操作申請信息,然后提交申請至審批人(可進行多級審批)。
事中控制:審批通過后數據庫安全運維會自動生成白名單策略,僅限在運維人員申請的指定時間對指定數據庫或表進行指定的操作,任何未申請操作都無法執行,超時賬號失效。
同時數據庫安全運維也支持按照黑名單的方式,僅對敏感對象的表和數據、敏感的SQL命令進行審批。
事后審計:當運維人員完成對數據庫運維操作后,數據庫安全運維系統會對所有操作進行記錄包括事前審批內容、審批人審計操作、事中運維操作等,并定期匯總生成報表,規范流程管理的同時,一旦發生數據安全事故,可以做到有效的追責定責。
通過上文的介紹我們對數據庫安全運維的技術與功能有了一定的了解。除此之外,我們還要清楚數據庫安全運維不同于傳統的堡壘機。首先,堡壘機對數據庫協議的解析和審計有著先天的局限性和不足。堡壘機并不解析和分析數據庫協議,以及記錄SQL語句。其次,堡壘機無法識別運維人員對數據庫訪問和操作的行為尤其是危害的行為,更無法做到運維流程上審批和操作行為的阻斷。
數據庫安全運維是作為專業的數據庫運維產品,提供有強大而易用的數據庫運維管理能力。可以根據數據庫運維人員的不同角色、運維數據的重要度、運維操作的風險類型,設置正常行為放行、可疑操作告警、重點操作審批、異常行為攔截。
安華金和數據庫安全運維系統(簡稱DBController)基于以上數據庫安全運維技術可以對數據庫運維行為進行流程化管理,提供事前審批、事中控制、事后審計、定期報表等功能,將審批、控制和追責有效結合,避免內部運維人員的惡意操作和誤操作行為,解決運維賬號共享帶來的身份不清問題,確保運維行為在受控的范疇內安全高效的執行。
產品咨詢:4000 258 365 
