更新时间:2026-06-26 GMT+08:00
分享

产品功能

数据库安全审计

功能名称

功能描述

相关章节

配置数据库

数据库安全审计支持对华为云上的RDS关系型数据库、ECS/BMS自建数据库进行审计。购买数据库安全审计实例后,您需要将待审计的数据库添加至数据库安全审计实例中。成功添加数据库后,您可以查看数据库信息、关闭、删除数据库。

管理数据库资产

配置Agent

将待审计数据库添加至数据库安全审计实例后,您需要根据您在云上实际部署的数据库选择添加Agent的方式以及在应用端或数据库端安装Agent。Agent程序会获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据,帮助您实现对数据库的安全审计。安装Agent后,您才能开启数据库安全审计。支持在Linux操作系统和Windows操作系统安装Agent。数据库添加了Agent,您还可以查看Agent信息、关闭或删除Agent。

注意:

为实现非侵入式旁路解析流量,无法支持SSL加密通道,这会降低安全性。

管理Agent

配置安全组规则

Agent添加完成后,您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),使Agent与审计实例之间的网络连通,数据库安全审计才能对添加的数据库进行审计。

步骤四:添加安全组规则

实例管理

成功购买数据库安全审计实例后,您可以查看实例信息,开启、重启或关闭实例。

管理数据库审计实例

配置审计范围

数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计的所有数据库进行安全审计。您也可以通过添加审计范围,设置需要审计的数据库范围。添加审计范围后,您可以查看审计范围信息,启用、编辑、禁用或删除审计范围。

管理审计范围规则

风险操作管理

成功添加风险操作后,您可以查看风险操作信息,启用、编辑、禁用、删除风险操作,或设置风险操作优先级。

管理风险操作规则

SQL注入

数据库安全审计的SQL注入检测默认开启,您可以禁用或启用SQL注入的检测规则。一条审计数据只能命中SQL注入检测中的一个规则。

配置SQL注入规则

隐私数据保护

当需要对输入的SQL语句的敏感信息进行脱敏时,您可以通过开启隐私数据脱敏功能,以及配置隐私数据脱敏规则,防止数据库用户敏感信息泄露。

配置隐私数据保护规则

报表管理

数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计的所有数据库进行审计。添加的数据库连接到数据库安全审计实例后,您可以查看报表模板信息和报表结果。

报表中心

告警通知

通过设置告警通知,当数据库发生设置的告警事件时,您可以收到DBSS发送的告警通知,及时了解数据库的安全风险。否则,无论是否有危险,您都只能登录管理控制台自行查看,无法收到告警信息。告警通知信息可能会被误拦截,若您未收到相关告警信息,请在信息拦截中查看。系统每5分钟进行一次告警统计,并触发告警通知。

设置告警通知

审计日志

数据库安全审计支持将数据库的审计日志备份到OBS桶,实现高可用容灾。您可以根据需要备份或恢复数据库审计日志。备份审计日志后,您可以查看备份的审计日志信息,或删除备份的审计日志。

如何查看云审计事件

数据库安全加密

本节将介绍数据库安全加密,系列一与系列二的主要功能。

加密系列一

功能名称

功能描述

相关章节

资产管理

支持数据库资产的增删改查以及数据源连通性测试,并支持数据库读写分离配置、加密模式配置、返回值配置、账号权限检测。

添加数据资产

敏感数据发现

支持敏感数据扫描、敏感数据类型管理、敏感数据行业模板管理。

敏感数据发现

业务测试

支持业务仿真测试,模拟是否可以正常加解密;支持在加密前接入网络进行业务SQL流量分析,定位出加密后可能执行异常的SQL,并生产分析报表。

仿真加密测试仿真解密测试业务测试和分析

数据加密

数据加密模块对加密与解密队列管理,支持对客户端和数据库用户授权限制用户访问查看并下载加密日志、回滚表结构、管理加密表、下载bypass插件。

数据加密和解密

动态脱敏

支持对敏感数据配置脱敏算法,对明文数据进行动态脱敏展示。

动态脱敏

密钥管理

支持三级密钥算法、密钥来源配置、密钥(DSK)周期轮转更新,支持配置KMS对接,密钥记录查看与密钥检索。

初始化密钥密钥管理

平台管理

在平台管理模块对系统进行基础网卡与路由配置、系统升级、配置数据的备份与恢复、查看应用访问记录、安全口令配置等管理操作。

平台管理

系统管理

  • 系统管理模块支持对平台使用用户进行维护,包括账号的管理、组织架构管理、角色的管理、账户的审核等,同时支持对系统各类消息进行查看与管理。
  • 展示设备状态,管理设备,对系统内核、CPU、硬盘等使用情况进行诊断、进行系统升级、系统安全配置等。

系统管理

日志管理

支持查看与检索系统所有操作行为的日志信息。

查看系统操作日志

加密系列二

功能名称

功能描述

相关章节

资产管理

通过数据源资产库模块,用户可以高效地管理各种数据源资产,确保数据的可用性和安全性,为后续的数据加密和脱敏操作提供操作源。

资产库

项目管理

设备状态

实时监控各类设备的运行状态,包括服务器、网络设备、存储设备等。通过系统可以查看设备的性能指标、运行时间、故障信息等,及时发现设备异常,提前预警并进行维护,确保设备的稳定运行,保障系统的整体性能和可靠性。

管理首页

设备信息

系统状态

角色管理

提供灵活的用户角色管理功能,允许管理员根据不同的业务需求和安全策略,创建和配置多种用户角色。每个角色可被赋予不同的权限,如访问特定数据、执行特定操作等,从而实现对用户权限的精细化管理,确保系统的安全性和数据的保密性。

用户管理

密钥管理

系统支持多种加密算法,能够对密钥进行集中管理。用户可以方便地创建、存储、更新和删除密钥,同时确保密钥的安全性和可用性。此外,系统还支持与密钥管理服务(KMS)进行对接,满足不同用户对密钥管理的多样化需求。

加密规则

密钥管理

加密算法

数据发现梳理

自动扫描和识别系统中的敏感数据,包括个人身份信息、财务数据、商业机密等。通过预设的规则和算法,系统能够快速定位敏感数据的存储位置和使用情况,为后续的数据加密、脱敏等操作提供依据,帮助用户更好地管理和保护敏感数据。

发现梳理

数据域管理

将数据按照不同的业务需求和安全级别进行分类和分域管理。用户可以根据数据的类型、重要性、使用场景等因素,将数据划分到不同的数据域中,并为每个数据域设置相应的安全策略和访问权限,实现数据的精细化管理和安全防护。

发现规则

动态脱敏

在数据的传输、展示和共享过程中,根据预设的脱敏规则,对敏感数据进行实时脱敏处理。脱敏后的数据保留原始数据的格式和部分特征,但无法还原为真实数据,从而在不影响业务正常运行的前提下,有效保护数据的隐私性和安全性。

脱敏策略管理

脱敏算法

应用管理

系统提供应用管理功能,用于控制哪些应用程序可以使用数据加解密和脱敏服务。通过明确授权,确保只有经过批准的应用程序能够访问和操作敏感数据,从而实现对数据访问的精细化管理,保障数据的安全性和合规性。

应用用户

插件同步管理

日志审计

系统详细记录所有用户的操作行为、数据访问记录、系统运行日志等信息。通过日志审计功能,管理员可以实时监控系统的运行状态,追溯数据的使用和修改过程,及时发现异常行为和潜在的安全威胁,为系统的安全管理和事故调查提供有力支持。

日志

数据库安全运维

本节将介绍数据库安全运维,系列一与系列二的主要功能。

运维系列一

功能名称

功能描述

相关章节

首页

统计数据源概览,风险类型分布top,访问请求趋势、访问请求、并发趋势、流量趋势等数据,及提供风险分布、审计日志、安全防护规则、流程审批等业务信息概览。

首页信息

资产管理

可添加、编辑、删除数据源。支持对数据库账号进行管理。

资产管理

安全策略

为数据源配置安全策略。包括黑白名单、安全规则、虚拟补丁、误删恢复、客户端语句过滤等,并提供对象管理提高策略配置效率。

安全策略

审计中心

审计日志内容能够详尽地显示访问行为发生的具体特征,还原用户的访问行为;支持配置业务字典,将日志中的IP、账号、操作命令、操作对象翻译成易于用户理解的字段。

审计中心

风险管控

支持对数据源进行风险项扫描,并生成相应的分析报告。

风险管控

报表管理

支持基于概览,数据源分析、访问分析、风险分析、运维分析等维度生成报表。支持针对各类型报表进行详细内容的自定义配置与周期性生成;支持报表任务管理,并进行报表的下载。

报表管理

运维管理

系统管理员可对已经提交的工单进行审批、驳回操作,并支持对工单进行监控,手动回收工单权限;可对安全客户端免密登录的运维账号授权。

运维管理

系统管理(安全管理员)

支持系统账号审核、角色管理、系统登录安全设置、密码安全设置等

安全管理员操作指南

系统管理

  • 平台信息展示、进行系统授权操作。
  • 系统账号管理、组织架构管理。
  • 支持系统时间的配置、时间服务器配置、告警配置、安全口令配置。
  • 高可用管理,支持系统一键Bypass。
  • 支持系统监控、系统诊断、系统清理、系统升级。
  • 支持系统备份恢复。
  • 支持网口、路由配置。
  • 系统消息通知管理,可自定义消息通知、告警等细则。

系统管理

日志管理

支持查看与检索系统所有操作行为的日志信息。

查看操作日志

运维管理(数据库操作员)

数据库操作员可通过发起工单申请运维操作权限,同时系统提供安全客户端对数据库进行安全操作。

数据库操作员操作指南

运维系列二

功能名称

功能描述

相关章节

首页

介绍展品的三大核心安全能力,数据访问权限控制、动态脱敏能力和运维堡垒机能力。

首页信息

运维资产管理

可添加、编辑、删除资产。支持对资产库账号进行纳管,在运维资产库控制里可以对资产库的访问权限审批。为“资产控制”配置基于身份和访问条件的安全策略,策略包含:敏感数据脱敏策略、高危操作阻断策略、行访问控制策略、SQL替换策略、黑白名单策略以及审计策略等。

运维资产管理

用户管理

内置系统管理员、安全管理员、安全审计员,并且支持三权分立。三者权利相互制衡。防止角色权限过大导致的数据泄漏。

用户管理

规则管理

系统内置规则管理,包含发现规则和脱敏规则。同时支持用户自定义规则。

规则管理

行为审计

审计日志内容能够详尽地显示访问行为发生的具体特征,还原用户的访问行为。

审计日志除了记录平台操作日志之外,还有运维人员的访问业务数据的访问日志。

行为审计

系统管理

展示设备信息、设备状态,管理设备,对系统内存、CPU、硬盘、网络流量等使用情况进行诊断、进行系统升级、系统时间管理等。

支持网卡管理。用户配置信息的导出和还原导入。

系统管理

运维堡垒机入口

通过运维入口,管理人员可以新打开一个运维界面,通过WebSQL运维工具,完成日常运维工作。

数据库操作员可以在数据运维的过程中,发起工单申请,申请通过后,可通过WebSQL安全客户端对数据库进行相应操作。

运维堡垒机入口

相关文档