一)數(shù)據(jù)內(nèi)控安全,通過(guò)動(dòng)態(tài)脫敏技術(shù),對(duì)未授權(quán)的賬戶訪問(wèn)敏感數(shù)據(jù)實(shí)現(xiàn)動(dòng)態(tài)脫敏,實(shí)現(xiàn)即允許運(yùn)維人員訪問(wèn)業(yè)務(wù)生存數(shù)據(jù)庫(kù)又無(wú)法看到核心敏感數(shù)據(jù),來(lái)保護(hù)敏感數(shù)據(jù)信息安全性,不被非正常業(yè)務(wù)需求訪問(wèn),防止敏感數(shù)據(jù)信息泄露。
準(zhǔn)入控制:支持多維身份管理;支持對(duì)運(yùn)維工具或客戶端應(yīng)用程序進(jìn)行簽名登陸驗(yàn)證,防止惡意和仿冒工具/程序登陸數(shù)據(jù)庫(kù);支持安全管理員、系統(tǒng)管理員、安全審計(jì)員三權(quán)分立。
訪問(wèn)控制:支持禁止DBA、SYSDBA、Schema User、Any等特權(quán)用戶訪問(wèn)和操作敏感數(shù)據(jù)集合。支持查詢結(jié)果返回行數(shù)控制,避免數(shù)據(jù)大量泄漏;支持訪問(wèn)頻次控制,避免一定時(shí)間內(nèi)的高頻次訪問(wèn),避免數(shù)據(jù)流失;支持敏感SQL管理。
全面運(yùn)維審計(jì),記錄包括用戶名、IP地址、MAC地址、客戶端程序名、執(zhí)行語(yǔ)句的時(shí)間、執(zhí)行的SQL語(yǔ)句、操作的對(duì)象等,對(duì)其行為進(jìn)行全程細(xì)粒度的審計(jì)分析。
二)數(shù)據(jù)入侵防護(hù),該項(xiàng)能力建設(shè)主要彌補(bǔ)IPS、WAF等安全設(shè)備對(duì)數(shù)據(jù)庫(kù)防御能力的短板。依托美創(chuàng)數(shù)據(jù)庫(kù)防火墻系統(tǒng),基于業(yè)內(nèi)領(lǐng)先的機(jī)器學(xué)習(xí)技術(shù)、SQL解析技術(shù)、完善的SQL注入攻擊特征庫(kù)及漏洞特征庫(kù),實(shí)時(shí)檢測(cè)和阻斷外部攻擊行為,主動(dòng)防御撞庫(kù)、拖庫(kù)和SQL注入攻擊。
同時(shí)提供虛擬補(bǔ)丁功能,檢測(cè)并阻斷利用數(shù)據(jù)庫(kù)漏洞發(fā)起的攻擊行為,有效避免了因打補(bǔ)丁造成數(shù)據(jù)庫(kù)重啟失敗的可能;再加上基于身份授權(quán)下的敏感SQL操作管理,有效保證了不中斷連接會(huì)話下業(yè)務(wù)流的智能安全管控。
三)數(shù)據(jù)存儲(chǔ)安全,數(shù)據(jù)存儲(chǔ)安全場(chǎng)景下的能力建設(shè)主要規(guī)范了數(shù)據(jù)存儲(chǔ)加密的要求,通過(guò)采用美創(chuàng)數(shù)據(jù)庫(kù)透明加密系統(tǒng),無(wú)需對(duì)單位業(yè)務(wù)進(jìn)行改造即可實(shí)現(xiàn)對(duì)存量、增量敏感數(shù)據(jù)的加密存儲(chǔ),創(chuàng)新的閃電加密模式加密過(guò)程無(wú)需業(yè)務(wù)停機(jī),在保障業(yè)務(wù)連續(xù)性的基礎(chǔ)上,快速保障在取數(shù)過(guò)程中、存儲(chǔ)落地的安全。同時(shí)具備《商用密碼產(chǎn)品認(rèn)證證書》,滿足商密合規(guī)要求。