闪捷信息数据库运维管理_数据库运维人员行为审计_数据库运维人员行为安全管控-云巴巴

申请试用

闪捷信息数据库运维管理

闪捷数据库运维管理（Secsmart DOM）产品是一款针对数据库运维人员操作行为安全管控的数据安全产品。通过统一登录、权限管控、多因素认证、操作审批、动态脱敏等技术，可实现对于运维人员的最小化权限控制、危险操作阻断以及行为审计。

立即咨询

首页 > 产品中心 > 数据安全 > 闪捷信息数据库运维管理

数据库运维安全现状及问题 icon

数据库运维人员往往拥有数据库的最高权限，其针对数据库的所有操作行为均难以管控。一旦高权限账号丢失或遭运维人员恶意操作（误操作），对于用户数据及核心业务将造成难以追回的破坏和损失。具体问题包括：

账号共用
数据库高权限账号往往由多名运维人员共享，具体操作行为难以定位到个人，且极易造成账号泄漏，风险巨大。

权限过大
由于运维工作需要，分配给运维人员所拥有的账号权限不能太小。这虽然便利了运维工作，但同样也埋下了安全风险。

高危操作
运维人员一般已是最高权限，其对于数据库的操作无人能再管控。如发生误操作或恶意操作将造成不可挽回的后果。

难以追溯
由于运维人员掌握最高权限，其对于数据库的所有操作行为均可自行删除或不记录。导致安全事件发生后难以追溯。

传统技术手段对于数据库操作行为难以管控 icon

以堡垒机为代表的传统技术手段主要以“人员”和“资产”为颗粒度构建运维管理体系，对于运维人员针对数据库的具体操作行为无法有效管控。

闪捷数据库运维管理产品介绍 icon

产品价值

人员身份认证

通过多因子认证与堡垒机联动等方式完成强身份认证，实现运维操作到人。

运维权限控制

所有运维操作均有细粒度的授权控制，拒绝人员误操作和风险操作，防止数据泄漏。

敏感操作审批

涉及对敏感表格、敏感字段的操作，必须通过工单流经运维主管审批。

核心功能：访问控制

为便于工作，普通运维人员或第三方运维人员一般拥有数据库高权限账户。闪捷数据库运维管理基于SQL协议解析技术设计，能够提供语句级的访问控制，支持对各种风险操作、高危操作、敏感数据查询以及漏洞攻击等行为的自动识别和阻断。同时支持基于返回结果的策略，包括返回行数限制、误删恢复、动态脱敏等，最大限度的保障生产数据安全。

核心功能：身份认证

传统环境下，数据运维人员只需拥有数据库账号、密码即可对数据库进行操作，可能存在账号共用、密码泄露等风险。堡垒机虽然可以实现人员身份认证，但却无法识别人员具体操作行为。闪捷数据库运维管理提供多因子认证以及堡垒机联动认证两种认证机制，灵活应对多种运维场景。

核心功能：免密登陆（安全客户端） icon

数据库运维人员掌握数据库账号密码，是导致数据库账号共用、密码泄露的根本原因。闪捷数据库运维管理通过内置网页版的安全客户端实现数据库权限自动分配以及数据库免密登陆功能；在不影响运维操作的前提下，防止运维人员获知数据库鉴权密码，同时还可避免运维人员使用非授权的第三方客户端进行非法操作。

核心功能：操作审批

对于超出一般访问控制权限以外的运维操作，运维人员如确需执行的，闪捷数据库运维管理还提供了工单审批机制。运维人员可以预先将需要操作的语句、脚本、对象以及所需要的权限填入工单进行申请，由系统指定的审批人员批准之后，方可在指定的时间窗口内进行操作，操作完成后权限自动收回，完美兼顾安全和业务。

部署方式

独立布署桥接模式

数据库运维管理桥接在运维人员与数据库之间。运维人员访问数据库的地址和端口不变。

独立布署反向代理

数据库运维管理网络可达。运维人员改为访问数据库运维管理的地址和端口。数据库运维管理作为中间节点，处理并转发流量。

与堡垒机联动

数据库运维管理布署在堡垒机与数据库之间。需要在堡垒机侧提供简单的联动适配。支持桥接模式和反向代理模式。

闪捷数据库运维管理优势特性 icon

丰富协议支持
支持包括主流数据库、大数据、国产库等20余种数据库协议，兼容性极强。

精细权限管控
支持用户、IP、表、行、列、操作、语句、频次等30余种细粒度权限管控。

强大防护能力
内置丰富策略模板，能够精准检测并拒绝拖库、删库、SQL注入等风险操作。

特色增强功能
支持敏感数据发现、数据库误操作恢复以及FreeOTP多因子认证等特色功能。

灵活的运维管控粒度

闪捷数据库运维管理支持细粒度的运维管控，操作主体定位到人、操作行为管控到语句、操作目标精确到敏感数据标签，并且支持通过、告警、阻断、限制返回行数、动态脱敏以及运维审批（临时通过）等丰富的响应模式。在不影响运维人员操作的前提下，极大的保障了用户数据的安全性。

强大的安全防护能力

闪捷数据库运维管理产品内置丰富的数据库漏洞信息、SQL注入攻击、以及其它高危风险操作特征模板，能够精准检测数据库风险操作，并定位至具体用户、实时阻断，保障客户数据资产安全。

特色的安全增强功能

敏感数据发现

内置敏感数据特征，支持敏感数据扫描并打标，支持自定义敏感数据特征。支持针对一个或多个敏感数据类型设置自定义策略。

误操作恢复

运维人员执行Delete、Truncate等删表语句时，DOM会自动将原表数据备份，并生成一条可恢复的记录，以备不时之需。

OTP认证

用户登录认证时，需要输入手机App上的数字验证码方可登录。既能解决管理员双因素认证的需求，又能解决运维人员数据库账号共用的问题。

应用场景

数据库运维安全管控针对数据库运维场景设计，能够有效解决数据库运维工作中的数据安全风险，实现：

人员身份有认证

通过多因子认证与堡垒机联动等方式完成强身份认证，实现运维操作到人。

运维权限可控制

所有运维操作均有细粒度的授权控制，拒绝人员误操作和风险操作，防止数据泄漏。

敏感操作需审批

涉及对敏感表格、敏感字段的操作，必须通过工单流经运维主管申批。

操作日志全记录

所有运维人员对所有数据库的操作，均有独立日志记录，不容篡改，集中审计。

应用案例1：浩鲸云薪酬在线项目数据库运维管理 icon

客户需求：1. 通过数据库运维管理能区分应用开发人员和运维人员对数据库有不同操作权限。2. 应用开发人员禁止访问薪资生产数据库，运维人员授权访问，薪资脱敏访问，运维人员登录数据库可以审批访问。解决方案：1. 闪捷数据库运维管理通过传统的反向代理模式部署；2. 数据库运维管理作为“中间人”的方式对数据库进行运维管理和安全防护。用户收益：1. 满足了客户核心数据库对于运维安全操作防护的要求；2. 解决用户对数据库访问权限分离的要求；3. 对访问数据库运维人员做到审批登录的目的。

应用案例2：益阳公积金数据库运维管理 icon

客户需求：1. 通过数据库运维管理对所有update、insert、drop操作进行阻断。2. 通过工单审批方式，对操作、操作语句、sql脚本审批，特定IP进行放行等。解决方案：1. 闪捷数据库运维管理通过传统的反向代理模式部署；2. 数据库运维管理作为“中间人”的方式对数据库进行运维管理和安全防护。用户收益：1. 满足了客户核心数据库对于运维安全操作防护的要求；2. 解决用户对指定操作语句的阻断；3.通过工单审批方式，对操作、操作语句、sql脚本审批，特定IP进行放行。