闪捷运维安全管理系统_账号统一管理系统_多因素身份认证系统-云巴巴

申请试用

闪捷运维安全管理系统

闪捷运维安全管理系统是集账户管理、授权管理、认证管理和综合审计于一体的集中运维管理系统。通过身份授权分离、协议代理和集中管理等技术实现对用户行为的控制、追踪、判定，满足企业内部网络对安全性及合规性的要求。

立即咨询

首页 > 产品中心 > 数据安全 > 闪捷运维安全管理系统

数据库运维安全现状及问题 icon

数据库运维人员往往拥有数据库的最高权限，对数据库的操作行为难以被细化管控，核心数据资产通常面临因高权限账号丢失被泄漏，或因运维人员的恶意操作、误操作被破坏等风险。具体问题包括:

账号共用
数据库高权限账号往往由多名运维人员共享，具体操作行为难以定位到个人，且极易造成账号泄漏，风险巨大。

权限过大
由于运维工作需要，分配给运维人员所拥有的账号权限不能太小。这虽然便利了运维工作，但极易造成数据泄露等安全事故。

高危操作
运维人员对数据库可能存在一些高危操作，若缺少流程化管理，一旦发生误操作或恶意操作，无法及时阻止，数据被破坏将造成不可挽回的后果。

难以追溯
通常运维人员对数据库的操作行为可自行删除或不记录，导致安全事件发生后难以溯源定责。

数据库运维安全事件频发，后果愈发严重 icon

随着大数据时代的到来，数据存储、使用、交换的规模呈指数级增长，数据安全风险也同比放大。然而除了外部风险之外近年来因为运维人员恶意操作或操作不慎造成的数据安全事件亦时有发生，且造成的后果和影响皆不容小视。

某电商业务数据库被删，停产七天损失过亿

2020年，某电商平台的业务系统数据库（包括主备）遭遇其公司运维人员删除。事件导致其市值极速基发20亿港元，旗下300万商家生意全线停摆长达7天以上，事后该平台向旗下商家提供1.5亿元赔付。

某快递公司运维误删生产库，致系统故障

2018年，某快递公司运维工程师误删生产数据库，导致该快递公司的运营监控管控系统发生故障，持续近十个小时。该运维工程师据传后遭解雇。

传统技术手段对于数据库操作行为难以管控 icon

以堡垒机为代表的传统技术手段主要以“人员”和“资产”为颗粒度构建运维管理体系，对于运维人员针对数据库的具体操作行为无法有效管控。

产品架构

闪捷数据库运维安全管理产品介绍 icon

闪捷数据库运维管理（Secsmart DOM）产品是一款针对数据库运维人员操作行为安全管控的数据安全产品。系统通过权限控制。操作审批、动态脱敏、误删恢复、行为审计等功能，对运维行为进行全周期管理，可有效避免运维人员的误操作和恶意操作行为同时解决运维人员共享数据库账号场景下的越权问题，实现“权”“责”分离，从而保障运维行为的安全性和运维流程的高效性。

核心功能：访问控制

闪捷数据库运维安全管理基于深度协议解析技术，能够提供语句级的访问控制能力，管控对象精确到列，可支持对各种风险操作、高危操作、敏感数据查询以及漏洞攻击等行为的自动识别和阻断。同时提供返回行数限制、动态脱敏、误删恢复等功能，最大限度的保障生产数据安全。

核心功能：本地保护

本地化防护技术主要用于解决直连数据库时的数据安全防护问题。闪捷数据库运维安全管理系统通过安全插件可识别直连数据库时的相关操作，实现对高危操作及时阻断，敏感数据访问按需脱敏，放行指令全文记录等，做到安全策略全方位生效，防止绕过。

核心功能：数据库权限自动分配 icon

数据库运维人员掌握数据库账号密码，是数据库账号共用场景下导致数据越权访问、数据泄漏的最大原因之一。闪捷数据库运维安全管理提供内置网页版的安全客户端，通过数据库免密登陆功能，可实现数据库权限自动分配，在不影响运维操作的前提下数据库账号对运维人员不透明，可防止运维人员获知数据库鉴权密码，加强了安全性。此外还可避免运维人员使用非授权的第三方客户端进行非法操作。

核心功能：操作审批

对于需要执行权限以外的运维操作，闪捷数据库运维安全管理提供了工单审批机制。申请的操作行为，由指定的审批人员批准之后，即可在指定的时间窗口内执行，操作完成后权限会自动收回，从而确保申请执行操作与实际执行操作的一致性，有效规避运维人员误操作或恶意操作带来的风险，提升运维效率与可靠性。

首推部署方式

反向代理：★★★★

·应用访问数据库地址和端口更改为代理地址和端口。

·数据库运维安全管理作为流量处理节点，处理完毕后转发请求给

数据库，并返回结果给用户。
·支持双机热备。
·适用场景最广泛。

策略路由：★★★

·应用访问数据库地址和端口不变。
·需要用户配置策略路由，将应用和数据库之间的“指定流量”

先转发到数据库运维安全管理处理后，再转发至下一跳。
·适用于一体机硬件部署。

其他部署方式

·应用/用户同样无需改变访问IP和端口但由于内部是用nginx实现的转发，可支持代理模式下的特定功能，如TLS加密流量解析等。

·旁路部署。
·通过镜像或者分光进行引流。
·不改变用户网络结构。

·桥接在应用服务器与数据库之间。
·应用或用户无需改变访问地址和端口。
·劣势：功能使用有限制，不支持加密流量。

闪捷数据库运维安全管理优势特性 icon

协议丰富
支持包括主流数据库、大数据、国产库等20余种数据库协议，兼容性极强。

精细管控
支持用户、IP、表、行、列、操作、语句、

频次等30余种细粒度权限管控。

多维认证
支持AD域、LDAP身份同步以及短信验证、FreeOTP、U盾等多因子认证。

丰富的数据库协议支持 icon

精细管控--灵活的运维管控粒度 icon

闪捷数据库运维管理支持细粒度的运维管控，操作主体定位到人、操作行为管控到语句、操作目标精确到敏感数据标签，并且支持通过、告警、阻断、限制返回行数、动态脱敏以及运维审批（临时通过）等丰富的响应模式。在不影响运维人员操作的前提下，极大的保障了用户数据的安全性。

多维认证

闪捷数据库运维安全管理支持域登录及多因子认证，通过AD域和LDAP进行用户账号及相关信息同步，极大简化配置及管理。同时支持短信验证、FreeOTP等多因子认证方式，可解决多人共享账号，无法识别到人进行精细化管理的问题，进一步保障准入安全。

应用案例1：某企业薪酬项目数据库运维安全管理 icon

客户需求：1.需区分应用开发人员和运维人员的数据库操作权限；2.应用开发人员禁止访问薪资生产数据库，运维人员可授权访问，但访问时薪资需要脱敏处理；3.运维人员登录数据库需要通过审批流程才能访问。

解决方案：1.闪捷数据库运维安全管理采用反向代理模式部署，作为“中间人”的方式对数据库进行安全防护；2.通过运维账号管理，区分不同角色数据库操作权限；3.提供工单审批流程限制运维人员的访问行为；4.敏感数据访问时，通过动态数据脱敏进行去隐私化处理。

用户收益：1.满足了核心数据库安全防护需求，包括行为阻断，数据脱敏等；2.用户数据库访问权限实现分离;3.通过审批流程解决运维人员越权访问等风险。

应用案例2：某银行数据库运维安全管理 icon

客户需求：1.确保在访问或维护数据库时，数据库密码不被非法滥用。2.履行金融行业数据安全监管职责，保证敏感数据的不外泄。3.运维人员权限按需划分，避免运维混乱。
解决方案：1.闪捷数据库运维安全管理通过传统的反向代理模式部署;2.数据库运维安全管理作为"中间人”的方式对数据库进行运维安全管理和安全防护。3.运用密码代填、动态脱敏、工单审批等技术满足客户需求。

用户收益：1.满足了客户数据库密码不外泄同时不影响日常运维的要求；2.解决敏感数据访问需脱敏的问题；3.通过工单审批方式，对操作。操作语句、sql脚本审批，白名单放行，实现运维有序可控。