策略模板配置
策略模板:在模块,新建和编辑策略时,可直接引用策略模板,这将大大减少操作人员的工作量和操作时间,从而达到快速配置策略规则的目的,策略模板可以被所有同数据库类型的运维资产库所使用。
新增策略模板
- 使用系统管理员sysadmin账号登录数据库运维管理系统。
- 在左侧导航栏,选择,页面按数据库类型展示策略模板信息。
- 页面右侧默认展示第一个数据库类型下的策略模板。
- 规则类型选择模糊匹配脱敏、SQL阻断、行访问控制、SQL替换、表名替换、访问审计其中的一种。
- 单击“新增模板”按钮。
- 配置策略模板基本信息。 图1 基本信息
表1 新增策略模板的“基本信息”参数说明 参数
说明
模板名称
输入以字符开头的任意字符串,以方便管理记忆为原则。(必填)
模板类型
包括模糊匹配脱敏、SQL阻断、行访问控制、SQL替换、表名替换、访问审计策略类型。(必填)
按DB分组
数据库类型,支持的数据库类型包括但不限于:MySQL、PostgreSQL、Oracle、DB2、SQL Server、MariaDB、Kingbase、达梦、Greenplum、OpenGauss。(必填)
模板描述
输入当前规则的描述性信息。
- 配置策略模板的条件信息。 图2 条件信息
表2 新增策略模板的“条件信息”参数说明 参数
说明
运维用户
用于定义应用用户的防控范围。
运维角色
功能定义的角色信息,每个用户可以属于一个或者多个角色。
组织机构
功能定义的组织机构信息,每个用户可以属于一个组织机构。
数据库用户
用于定义数据库用户的防控范围。
客户端IP
用于定义IP地址的范围,通过IP地址不同的操作符,如:等于、包含、不包含等确定安全防控的范围。同样,支持IP模板的直接引用。
客户端主机名
终端主机名(ORACLE、达梦、MS_SQLSERVER数据库类型时可用)
客户端OS用户
客户端OS用户(ORACLE数据库类型时可用)
客户端工具
运维人员访问数据所使用的客户端工具名称,例如WebSQL。
影响时间段
当前规则生效的时间范围,选择“开始时间-结束时间”。
- 配置策略模板的匹配信息。
- 模板类型-模糊匹配脱敏 图3 匹配信息-模糊匹配脱敏
表3 新增策略模板的“模糊匹配脱敏”参数说明 参数
说明
匹配内容
“模板类型”选择“模糊匹配脱敏”时生效。
匹配条件的一种。通过正则表达式匹配SQL语句。
填写正则表达式,例如:.*代表所有SQL语句。select.*代表匹配所有以select开头的语句
列脱敏
匹配条件的一种。通过正则表达式匹配SCHEMA名、表名、列名,通过配置“数据域”为满足条件的字典批量配置脱敏规则。
当规则类型为:模糊匹配脱敏时展示。
举例说明:
- SCHEMA名:.*,这是一个正则表达式,针对任意的模式。
- 表名:.*,这是一个正则表达式,针对任意的表。
- 列名:.*name.*,这是一个正则表达式,它的含义是针对任意字段名包含NAME的字段。
- 模板类型-SQL阻断 图4 匹配信息-SQL阻断
表4 新增策略模板的“SQL阻断”参数说明 参数
说明
匹配内容
“模板类型”选择“SQL阻断”时生效。
可选择SQL匹配时候的使用场景。
匹配条件的一种。通过正则表达式匹配SQL语句。
填写正则表达式,例如:.* 代表所有SQL语句。 select.* 代表匹配所有以select开头的语句
- 模板类型-行访问控制 图5 匹配信息-行访问控制
表5 新增策略模板的“行访问控制”参数说明 参数
说明
可访问行数
“模板类型”选择“行访问控制”时生效。
用来控制访问数据的返回行数。必须填写为数字类型。
- 模板类型-SQL替换 图6 匹配信息-SQL替换
表6 新增策略模板的“SQL替换”参数说明 参数
说明
匹配内容
“模板类型”选择“SQL替换”时生效。
匹配条件的一种。通过正则表达式匹配SQL语句。
填写正则表达式,例如:.* 代表所有SQL语句。 select.* 代表匹配所有以select开头的语句
替换SQL
当规则类型为:SQL替换类型时展示。
此处输入一个SQL语句,所有满足该策略条件的SQL都会被系统替换为这个SQL语句。
- 模板类型-表名替换 图7 模板类型-表名替换
表7 新增策略模板的“表名替换”参数说明 参数
说明
匹配内容
“模板类型”选择“SQL阻断”时生效。
可选择SQL匹配时候的使用场景。
匹配条件的一种。通过正则表达式匹配SQL语句。
填写正则表达式,例如:.* 代表所有SQL语句。 select.* 代表匹配所有以select开头的语句。
替换表
当规则类型为:表名替换类型时展示。
配置被替换的表名、替换后的表名。
此处可以同时对多个表进行表名替换。
- 模板类型-模糊匹配脱敏
- 配置策略模板的响应动作信息。 图8 响应动作
表8 新增策略模板的“响应动作”参数说明 参数
说明
审计
默认是不审计,可以选择“审计”、“告警审计”。
开启审计时,用户访问数据行为满足该策略条件时,是否要记录到“策略匹配日志”中。
开启告警审计时,用户访问数据行为满足该策略条件时,是否要记录到“策略匹配日志”中,同时还会根据告警方式选择邮件告警,告警信息会以邮件方式发送给管理人员,接受告警信息的人员在运维资产控制里的“数据专员”处配置。
告警方式
当“审计”参数选择“告警审计”时展示。
可以选择邮件告警方式。
告警邮件服务器配置,请参见邮箱管理。
控制动作
当规则类型为“SQL阻断”时展示。展示选项卡为“阻断”。
阻断返回消息
当规则类型为“SQL阻断”时展示。(必填)
功能是可以自定义SQL阻断消息。
- 单击“确定”。
相关操作
后续您可以根据情况,在策略模板管理页面进行以下操作:
- 编辑:修改策略模板的信息,可以重新设置策略模板的基本信息。要修改策略模板,请执行以下操作:
- 在左侧树单击数据库类型名称后面的“眼睛”图标。
- 在页面右侧展示当前数据库类型下的策略模板,单击“编辑”按钮。
- 修改策略模板的信息,操作步骤类似“新增策略模板”。
- 单击“确定”。
- 删除:要删除策略模板,请执行以下操作:
- 在左侧树的数据库类型列表中选择要修改的策略模板所属的数据库类型。
- 单击数据库类型名称后面的“眼睛”图标。
- 在页面右侧展示当前数据库类型下的策略模板。
- 要删除一个策略模板,请选择该策略模板,然后单击“删除”。
- 提示“删除后无法恢复,是否确认删除”。
- 单击“确定”,删除策略模板。
按数据库类型配置策略模板是因为,系统采用修改访问SQL方式。不同数据库类型的数据库函数不同,因此需要对不同数据库类型分别配置不同的策略模板。