产品功能
数据库安全审计
| 功能名称 | 功能描述 | 相关章节 |
|---|---|---|
| 配置数据库 | 数据库安全审计支持对华为云上的RDS关系型数据库、ECS/BMS自建数据库进行审计。购买数据库安全审计实例后,您需要将待审计的数据库添加至数据库安全审计实例中。成功添加数据库后,您可以查看数据库信息、关闭、删除数据库。 | |
| 配置Agent | 将待审计数据库添加至数据库安全审计实例后,您需要根据您在云上实际部署的数据库选择添加Agent的方式以及在应用端或数据库端安装Agent。Agent程序会获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据,帮助您实现对数据库的安全审计。安装Agent后,您才能开启数据库安全审计。支持在Linux操作系统和Windows操作系统安装Agent。数据库添加了Agent,您还可以查看Agent信息、关闭或删除Agent。 注意: 为实现非侵入式旁路解析流量,无法支持SSL加密通道,这会降低安全性。 | |
| 配置安全组规则 | Agent添加完成后,您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),使Agent与审计实例之间的网络连通,数据库安全审计才能对添加的数据库进行审计。 | |
| 实例管理 | 成功购买数据库安全审计实例后,您可以查看实例信息,开启、重启或关闭实例。 | |
| 配置审计范围 | 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计的所有数据库进行安全审计。您也可以通过添加审计范围,设置需要审计的数据库范围。添加审计范围后,您可以查看审计范围信息,启用、编辑、禁用或删除审计范围。 | |
| 风险操作管理 | 成功添加风险操作后,您可以查看风险操作信息,启用、编辑、禁用、删除风险操作,或设置风险操作优先级。 | |
| SQL注入 | 数据库安全审计的SQL注入检测默认开启,您可以禁用或启用SQL注入的检测规则。一条审计数据只能命中SQL注入检测中的一个规则。 | |
| 隐私数据保护 | 当需要对输入的SQL语句的敏感信息进行脱敏时,您可以通过开启隐私数据脱敏功能,以及配置隐私数据脱敏规则,防止数据库用户敏感信息泄露。 | |
| 报表管理 | 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计的所有数据库进行审计。添加的数据库连接到数据库安全审计实例后,您可以查看报表模板信息和报表结果。 | |
| 告警通知 | 通过设置告警通知,当数据库发生设置的告警事件时,您可以收到DBSS发送的告警通知,及时了解数据库的安全风险。否则,无论是否有危险,您都只能登录管理控制台自行查看,无法收到告警信息。告警通知信息可能会被误拦截,若您未收到相关告警信息,请在信息拦截中查看。系统每5分钟进行一次告警统计,并触发告警通知。 | |
| 审计日志 | 数据库安全审计支持将数据库的审计日志备份到OBS桶,实现高可用容灾。您可以根据需要备份或恢复数据库审计日志。备份审计日志后,您可以查看备份的审计日志信息,或删除备份的审计日志。 |
数据库安全加密
本节将介绍数据库安全加密,系列一与系列二的主要功能。
加密系列一
| 功能名称 | 功能描述 | 相关章节 |
|---|---|---|
| 资产管理 | 支持数据库资产的增删改查以及数据源连通性测试,并支持数据库读写分离配置、加密模式配置、返回值配置、账号权限检测。 | |
| 敏感数据发现 | 支持敏感数据扫描、敏感数据类型管理、敏感数据行业模板管理。 | |
| 业务测试 | 支持业务仿真测试,模拟是否可以正常加解密;支持在加密前接入网络进行业务SQL流量分析,定位出加密后可能执行异常的SQL,并生产分析报表。 | |
| 数据加密 | 在数据加密模块对加密与解密队列管理,支持对客户端和数据库用户授权限制用户访问,查看并下载加密日志、回滚表结构、管理加密表、下载bypass插件。 | |
| 动态脱敏 | 支持对敏感数据配置脱敏算法,对明文数据进行动态脱敏展示。 | |
| 密钥管理 | 支持三级密钥算法、密钥来源配置、密钥(DSK)周期轮转更新,支持配置KMS对接,密钥记录查看与密钥检索。 | |
| 平台管理 | 在平台管理模块对系统进行基础网卡与路由配置、系统升级、配置数据的备份与恢复、查看应用访问记录、安全口令配置等管理操作。 | |
| 系统管理 |
| |
| 日志管理 | 支持查看与检索系统所有操作行为的日志信息。 |
加密系列二
| 功能名称 | 功能描述 | 相关章节 |
|---|---|---|
| 资产管理 | 通过数据源资产库模块,用户可以高效地管理各种数据源资产,确保数据的可用性和安全性,为后续的数据加密和脱敏操作提供操作源。 | |
| 设备状态 | 实时监控各类设备的运行状态,包括服务器、网络设备、存储设备等。通过系统可以查看设备的性能指标、运行时间、故障信息等,及时发现设备异常,提前预警并进行维护,确保设备的稳定运行,保障系统的整体性能和可靠性。 | |
| 角色管理 | 提供灵活的用户角色管理功能,允许管理员根据不同的业务需求和安全策略,创建和配置多种用户角色。每个角色可被赋予不同的权限,如访问特定数据、执行特定操作等,从而实现对用户权限的精细化管理,确保系统的安全性和数据的保密性。 | |
| 密钥管理 | 系统支持多种加密算法,能够对密钥进行集中管理。用户可以方便地创建、存储、更新和删除密钥,同时确保密钥的安全性和可用性。此外,系统还支持与密钥管理服务(KMS)进行对接,满足不同用户对密钥管理的多样化需求。 | |
| 数据发现梳理 | 自动扫描和识别系统中的敏感数据,包括个人身份信息、财务数据、商业机密等。通过预设的规则和算法,系统能够快速定位敏感数据的存储位置和使用情况,为后续的数据加密、脱敏等操作提供依据,帮助用户更好地管理和保护敏感数据。 | |
| 数据域管理 | 将数据按照不同的业务需求和安全级别进行分类和分域管理。用户可以根据数据的类型、重要性、使用场景等因素,将数据划分到不同的数据域中,并为每个数据域设置相应的安全策略和访问权限,实现数据的精细化管理和安全防护。 | |
| 动态脱敏 | 在数据的传输、展示和共享过程中,根据预设的脱敏规则,对敏感数据进行实时脱敏处理。脱敏后的数据保留原始数据的格式和部分特征,但无法还原为真实数据,从而在不影响业务正常运行的前提下,有效保护数据的隐私性和安全性。 | |
| 应用管理 | 系统提供应用管理功能,用于控制哪些应用程序可以使用数据加解密和脱敏服务。通过明确授权,确保只有经过批准的应用程序能够访问和操作敏感数据,从而实现对数据访问的精细化管理,保障数据的安全性和合规性。 | |
| 日志审计 | 系统详细记录所有用户的操作行为、数据访问记录、系统运行日志等信息。通过日志审计功能,管理员可以实时监控系统的运行状态,追溯数据的使用和修改过程,及时发现异常行为和潜在的安全威胁,为系统的安全管理和事故调查提供有力支持。 |
数据库安全运维
本节将介绍数据库安全运维,系列一与系列二的主要功能。
运维系列一
| 功能名称 | 功能描述 | 相关章节 |
|---|---|---|
| 首页 | 统计数据源概览,风险类型分布top,访问请求趋势、访问请求、并发趋势、流量趋势等数据,及提供风险分布、审计日志、安全防护规则、流程审批等业务信息概览。 | |
| 资产管理 | 可添加、编辑、删除数据源。支持对数据库账号进行管理。 | |
| 安全策略 | 为数据源配置安全策略。包括黑白名单、安全规则、虚拟补丁、误删恢复、客户端语句过滤等,并提供对象管理提高策略配置效率。 | |
| 审计中心 | 审计日志内容能够详尽地显示访问行为发生的具体特征,还原用户的访问行为;支持配置业务字典,将日志中的IP、账号、操作命令、操作对象翻译成易于用户理解的字段。 | |
| 风险管控 | 支持对数据源进行风险项扫描,并生成相应的分析报告。 | |
| 报表管理 | 支持基于概览,数据源分析、访问分析、风险分析、运维分析等维度生成报表。支持针对各类型报表进行详细内容的自定义配置与周期性生成;支持报表任务管理,并进行报表的下载。 | |
| 运维管理 | 系统管理员可对已经提交的工单进行审批、驳回操作,并支持对工单进行监控,手动回收工单权限;可对安全客户端免密登录的运维账号授权。 | |
| 系统管理(安全管理员) | 支持系统账号审核、角色管理、系统登录安全设置、密码安全设置等 | |
| 系统管理 |
| |
| 日志管理 | 支持查看与检索系统所有操作行为的日志信息。 | |
| 运维管理(数据库操作员) | 数据库操作员可通过发起工单申请运维操作权限,同时系统提供安全客户端对数据库进行安全操作。 |
运维系列二
| 功能名称 | 功能描述 | 相关章节 |
|---|---|---|
| 首页 | 介绍展品的三大核心安全能力,数据访问权限控制、动态脱敏能力和运维堡垒机能力。 | |
| 运维资产管理 | 可添加、编辑、删除资产。支持对资产库账号进行纳管,在运维资产库控制里可以对资产库的访问权限审批。为“资产控制”配置基于身份和访问条件的安全策略,策略包含:敏感数据脱敏策略、高危操作阻断策略、行访问控制策略、SQL替换策略、黑白名单策略以及审计策略等。 | |
| 用户管理 | 内置系统管理员、安全管理员、安全审计员,并且支持三权分立。三者权利相互制衡。防止角色权限过大导致的数据泄漏。 | |
| 规则管理 | 系统内置规则管理,包含发现规则和脱敏规则。同时支持用户自定义规则。 | |
| 行为审计 | 审计日志内容能够详尽地显示访问行为发生的具体特征,还原用户的访问行为。 审计日志除了记录平台操作日志之外,还有运维人员的访问业务数据的访问日志。 | |
| 系统管理 | 展示设备信息、设备状态,管理设备,对系统内存、CPU、硬盘、网络流量等使用情况进行诊断、进行系统升级、系统时间管理等。 支持网卡管理。用户配置信息的导出和还原导入。 | |
| 运维堡垒机入口 | 通过运维入口,管理人员可以新打开一个运维界面,通过WebSQL运维工具,完成日常运维工作。 数据库操作员可以在数据运维的过程中,发起工单申请,申请通过后,可通过WebSQL安全客户端对数据库进行相应操作。 |