一体化数据安全平台-解决方案-数据库运维安全管控

企业的研发测试人员、数据库运维人员经常需要使用各种数据库运维工具直接访问企业的生产数据库，进行数据库运维、数据分析、故障定位等工作。有时候，企业还因为业务的需要，把数据库的访问权限开放给第三方外包人员。企业的生产数据库中可能存储着涉及知识产权的重要数据、涉及用户隐私的个人敏感信息，为保护这些敏感数据，企业需要加强研发运维人员、外包协作人员访问数据的权限管控和行为管理。

痛点需求

• 共享账号治理难题：

研发测试、数据库运维人员多人共享同一个数据库账号访问数据库的情况非常普遍，一旦发生数据违规使用、数据泄露之类的安全事件，事后追责难以查证到具体人员。同时，多人共享数据库账号还存在登录凭证外泄的风险，造成潜在的安全隐患。

• 权限管理复杂低效：

数据库系统自身提供的认证和授权机制也可以实现精确到个人的账号、权限管控。但是，当企业的数据库数量较多、研发运维人数较多、数据和人员变化频繁时，数据库账号权限的运维工作量会指数式增长，如何处理管控与效率，就成为了摆在数据管理人员面前的难题。

• 高风险指令难阻断：

研发测试、数据库运维人员在生产数据库运维过程中可能会有意无意输入高风险的SQL指令，例如drop、update等，从而造成业务连续性故障。数据管理人员需要精细化到SQL指令级别的访问控制技术手段。

• 敏感数据亟需保护：

研发测试、数据库运维人员访问数据过程中可能会涉及企业的重要数据、敏感数据。企业亟需对这些场景下的敏感数据访问进行有效的治理，在保证数据库运维业务正常开展的同时，保护企业的重要数据和敏感数据。

• 割裂的日志追溯难：

传统的数据安全产品往往是单点能力，因此产品组合方案提供的日志也往往是割裂的，拼凑的日志之间也很难建立起关联，这对完整的追踪溯源分析模型的建立造成了非常大的障碍。

解决方案

原点安全“一体化数据安全平台uDSP”产品能够帮助企业高效解决数据库运维场景下的安全管控难题。

• 无缝的数据库共享账户治理：

通过使用数据库认证代理功能，用虚拟账号口令代替数据库真实账号口令，降低数据库口令的泄露风险。无缝衔接原有的数据库运维管理工具，不改变数据库运维人员的使用习惯。

• 无缝的数据库共享账户治理：

通过使用数据库认证代理功能，用虚拟账号口令代替数据库真实账号口令，降低数据库口令的泄露风险。无缝衔接原有的数据库运维管理工具，不改变数据库运维人员的使用习惯。

• 一站式细粒度访问控制策略

可根据业务情况自定义数据集以及用户/用户组、敏感数据类型、安全级别来配置访问控制策略。进而允许、拒绝或告警特定用户对特定数据集的访问，化解账号共享风险，具备对高风险SQL指令的阻断能力。

• 实时更新的敏感数据目录

通过自动化的数据访问流量解析技术、敏感数据智能识别技术、数据分类分级自动化标注技术，帮助企业建立起敏感数据资目录，并有的放矢地配置实施灵活的敏感数据动态脱敏策略。

• 高效的授权策略配置自动化

uDSP平台支持与外部授权审批流程系统的集成，实现数据访问权限策略的自动化配置，实现审批即授权、承诺即授权。降低数据权限审批流程复杂度，提升数据权限管理效率。

• 全链路敏感数据用户访问轨迹

uDSP平台能够提供一体化的日志审计能力，分析和形成敏感数据的全链路访问轨迹，以安全运营分析视角对行为和风险进行快速排查和定位，保障业务使用合规有效开展。

方案价值

无需改变数据库运维人员的工具和使用习惯，有效地化解数据库共享账号治理难题；场景化的数据脱敏策略，全链路的访问轨迹，高效地建立敏感数据保护技术措施；精细化的数据访问控制，自动化的策略配置，极大地提升数据安全运维工作效率。