產品概述

安華金和數據庫安全運維系統（簡稱DBController）是一款面向數據庫運維人員的數據庫安全加固與訪問管控產品，能夠有效提升數據庫日常運維管理工作的精細度及安全性。

DBController可以對運維行為進行流程化管理，提供事前審批、事中控制、事后審計、定期報表等功能，將審批、控制和追責有效結合，避免內部運維人員的惡意操作和誤操作行為，解決運維賬號共享帶來的身份不清問題，確保運維行為在受控的范疇內安全高效的執行。

產品價值

合規安全政策，提升運維管理安全

數據成為資產，網絡安全法公布后，數據所有者需要提供合理數據安全保護措施；諸多行業監管政策中，也提出對于數據庫高權限賬戶的審批、監控、權限分立等安全管理需求。

通過部署DBController，可以從技術角度滿足不同行業和領域對內部人員、第三方人員數據庫操作的管理要求。

規范審批流程，實現金庫模式管控

DBController內置數據庫運維安全審批流程管理，保證高危操作和敏感操作必須多人參與和批準，支持類金融的金庫模式。

DBController取代和提升傳統OA或紙質申請審批模式，確保實際操作與原申請的一致性。

動態數據遮蔽，有效防止敏感數據泄露

DBController提供敏感數據掩碼返回能力，能夠限制具有超高權限的運維賬戶讀取敏感數據。

運維人員的日常工作如數據備份恢復、資源清理、系統狀態監控與維護工作不受影響，但是一旦查詢敏感數據，在沒有訪問數據權限的情況下即返回遮蔽后的結果。

產品優勢

更加便捷的數據庫運維管理

DBController作為專業的數據庫運維產品，提供強大而易用的數據庫運維管理能力。

可以根據運維人員的不同角色、運維數據的重要度、運維操作的風險類型，設置正常行為放行、可疑操作告警、重點操作審批、異常行為攔截。

更為精細的操作控制粒度

DBController不同于傳統的堡壘機，對于數據庫的運維行為可以提供更加精細化的管控；控制對象可以是庫，可以是表，也可以精細到列；除了傳統的增刪改查，可以根據訪問影響行判斷是否高危；管控對象可以包括用戶、登錄IP、時間。

更為豐富的操作申請類型

對于運維行為申請，可提供多種提交方式：

1） 提交完整SQL語句，選擇對應審批人，并根據操作時間指定本人執行或授權其他人員操作;

2） 可以上傳運維腳本進行申請，支持單次多個腳本申請;

3） 按照“時間+對象+操作”的條件組合提交申請。

功能特性

運維人員身份鑒別

可以通過雙因素認證機制，解決數據庫賬戶共享、運維主機共享場景下的運維人員精準身份鑒別及權限劃分問題。認證機制包括：

審批口令碼：運維人員提交申請并通過后獲得審批碼，運維人員登錄數據庫需提交審批碼，方可繼續執行獲準的運維操作。

動態令牌：運維人員在登錄數據庫后，通過輸入動態令牌顯示的數字校驗身份，通過后方可執行與身份相符的運維操作。

運維行為審批

提供運維審批功能，敏感數據操作行為需要經過審批；審批通過后配發唯一口令碼，確保操作執行者為信任用戶，且執行行為屬于獲批行為。

敏感數據遮蔽

根據不同運維人員訪問敏感數據權限，DBController能夠通過內置的敏感數據訪問規則，對其訪問數據中的身份證號、銀行卡號、電話號碼、姓名、住址等敏感數據信息進行掩碼處理，實現敏感數據動態遮蔽，防止內部運維人員泄露敏感數據。

運維異常行為管控

對于數據庫風險行為，如SQL注入、漏洞攻擊、批量數據下載、危險SQL語句（如No where 、truncate）等，提供攔截、阻斷、實時告警等管控模式，支持短信、郵件、APP、syslog等多種通知方式。

支持多種數據庫與SQL語句類型

數據庫

國際：Oracle、MSSQL、Mysql、DB2、Informix、Sybase

國內：達夢、金倉、GBASE、Oscar

SQL類型

數據定義語言DDL：create、alter、drop、declare

數據操作語言DML：select、insert、update、delete

數據控制語言DCL：grant、revoke、set、commit、rollback

多角色多權限管理

可設置普通用戶、審批人、安全管理員、系統管理員、審計管理員五種角色，對應不同操作權限。

提供豐富報表與技術報告

內嵌報表功能模塊，實時提供不同維度專項報表，如風險統計報表、申請/審批統計報表、日常運維報表等，支持word、pdf、html多格式輸出。

提供全面統計分析，按月度、季度、年度輸出工作分析報告。

高可用、 高性能、高易用

高可用：DBController串接于運維側與數據庫之間，為了保障運維工作不受影響，提供主備模式及雙機負載均衡兩種容災機制；同時，在單臺設備上提供Bypass能力，避免出現，單點故障影響正常業務運行。

高性能: 支持大量運維人員同時在線執行申請/審批及運維操作；語句執行時對業務系統的性能影響控制在微秒級，使用者基本無感。

高易用: DBController提供更人性化的圖形界面，以及高易用性的交互體驗，將復雜的運維審批流程簡單化，實現快速申請審批，明顯提高工作效率。

部署方式        

DBController采用串聯的方式部署于數據庫訪問運維側與數據庫服務器之間。所有運維側的數據庫訪問均需經過數據庫安全運維系統，而應用系統訪問數據庫的行為不會受到影響，仍然采用原有拓撲與數據庫連接。