安華金和數(shù)據(jù)庫安全運維系統(tǒng)（簡稱DBController）是一款面向數(shù)據(jù)庫運維人員的數(shù)據(jù)庫安全加固與訪問管控產(chǎn)品，能夠有效提升數(shù)據(jù)庫日常運維管理工作的精細(xì)度及安全性。

DBController可以對運維行為進(jìn)行流程化管理，提供事前審批、事中控制、事后審計、定期報表等功能，將審批、控制和追責(zé)有效結(jié)合，避免內(nèi)部運維人員的惡意操作和誤操作行為，解決運維賬號共享帶來的身份不清問題，確保運維行為在受控的范疇內(nèi)安全高效的執(zhí)行。

產(chǎn)品價值 

合規(guī)安全政策，提升運維管理安全

數(shù)據(jù)成為資產(chǎn)，網(wǎng)絡(luò)安全法公布后，數(shù)據(jù)所有者需要提供合理數(shù)據(jù)安全保護(hù)措施；諸多行業(yè)監(jiān)管政策中，也提出對于數(shù)據(jù)庫高權(quán)限賬戶的審批、監(jiān)控、權(quán)限分立等安全管理需求。

通過部署DBController，可以從技術(shù)角度滿足不同行業(yè)和領(lǐng)域?qū)?nèi)部人員、第三方人員數(shù)據(jù)庫操作的管理要求。

規(guī)范審批流程，實現(xiàn)金庫模式管控

DBController內(nèi)置數(shù)據(jù)庫運維安全審批流程管理，保證高危操作和敏感操作必須多人參與和批準(zhǔn)，支持類金融的金庫模式。

DBController取代和提升傳統(tǒng)OA或紙質(zhì)申請審批模式，確保實際操作與原申請的一致性。

動態(tài)數(shù)據(jù)遮蔽，有效防止敏感數(shù)據(jù)泄露

DBController提供敏感數(shù)據(jù)掩碼返回能力，能夠限制具有超高權(quán)限的運維賬戶讀取敏感數(shù)據(jù)。

運維人員的日常工作如數(shù)據(jù)備份恢復(fù)、資源清理、系統(tǒng)狀態(tài)監(jiān)控與維護(hù)工作不受影響，但是一旦查詢敏感數(shù)據(jù)，在沒有訪問數(shù)據(jù)權(quán)限的情況下即返回遮蔽后的結(jié)果。

產(chǎn)品優(yōu)勢 

更加便捷的數(shù)據(jù)庫運維管理

DBController作為專業(yè)的數(shù)據(jù)庫運維產(chǎn)品，提供強(qiáng)大而易用的數(shù)據(jù)庫運維管理能力。

可以根據(jù)運維人員的不同角色、運維數(shù)據(jù)的重要度、運維操作的風(fēng)險類型，設(shè)置正常行為放行、可疑操作告警、重點操作審批、異常行為攔截。

更為精細(xì)的操作控制粒度

DBController不同于傳統(tǒng)的堡壘機(jī)，對于數(shù)據(jù)庫的運維行為可以提供更加精細(xì)化的管控；控制對象可以是庫，可以是表，也可以精細(xì)到列；除了傳統(tǒng)的增刪改查，可以根據(jù)訪問影響行判斷是否高危；管控對象可以包括用戶、登錄IP、時間。

更為豐富的操作申請類型

對于運維行為申請，可提供多種提交方式：

1） 提交完整SQL語句，選擇對應(yīng)審批人，并根據(jù)操作時間本人執(zhí)行或其他人員操作;

2） 可以上傳運維腳本進(jìn)行申請，支持單次多個腳本申請;

3） 按照“時間+對象+操作”的條件組合提交申請。

功能特性 

運維人員身份鑒別

可以通過雙因素認(rèn)證機(jī)制，解決數(shù)據(jù)庫賬戶共享、運維主機(jī)共享場景下的運維人員精準(zhǔn)身份鑒別及權(quán)限劃分問題。認(rèn)證機(jī)制包括：

審批口令碼：運維人員提交申請并通過后獲得審批碼，運維人員登錄數(shù)據(jù)庫需提交審批碼，方可繼續(xù)執(zhí)行獲準(zhǔn)的運維操作。

動態(tài)令牌：運維人員在登錄數(shù)據(jù)庫后，通過輸入動態(tài)令牌顯示的數(shù)字校驗身份，通過后方可執(zhí)行與身份相符的運維操作。

運維行為審批

提供運維審批功能，敏感數(shù)據(jù)操作行為需要經(jīng)過審批；審批通過后配發(fā)口令碼，確保操作執(zhí)行者為信任用戶，且執(zhí)行行為屬于獲批行為。

敏感數(shù)據(jù)遮蔽

根據(jù)不同運維人員訪問敏感數(shù)據(jù)權(quán)限，DBController能夠通過內(nèi)置的敏感數(shù)據(jù)訪問規(guī)則，對其訪問數(shù)據(jù)中的號、銀行卡號、、姓名、住址等敏感數(shù)據(jù)信息進(jìn)行掩碼處理，實現(xiàn)敏感數(shù)據(jù)動態(tài)遮蔽，防止內(nèi)部運維人員泄露敏感數(shù)據(jù)。

運維異常行為管控

對于數(shù)據(jù)庫風(fēng)險行為，如SQL注入、漏洞攻擊、批量數(shù)據(jù)下載、危險SQL語句（如No where 、truncate）等，提供攔截、阻斷、實時告警等管控模式，支持短信、郵件、APP、syslog等多種通知方式。

支持多種數(shù)據(jù)庫與SQL語句類型

數(shù)據(jù)庫

國際：Oracle、MSSQL、Mysql、DB2、Informix、Sybase

國內(nèi)：達(dá)夢、金倉、GBASE、Oscar

SQL類型

數(shù)據(jù)定義語言DDL：create、alter、drop、declare

數(shù)據(jù)操作語言DML：select、insert、update、delete

數(shù)據(jù)控制語言DCL：grant、revoke、set、commit、rollback

多角色多權(quán)限管理

可設(shè)置普通用戶、審批人、安全管理員、系統(tǒng)管理員、審計管理員五種角色，對應(yīng)不同操作權(quán)限。

提供豐富報表與技術(shù)報告

內(nèi)嵌報表功能模塊，實時提供不同維度專項報表，如風(fēng)險統(tǒng)計報表、申請/審批統(tǒng)計報表、日常運維報表等，支持word、pdf、html多格式輸出。

提供全面統(tǒng)計分析，按月度、季度、年度輸出工作分析報告。

高可用、 高性能、高易用

高可用：DBController串接于運維側(cè)與數(shù)據(jù)庫之間，為了保障運維工作不受影響，提供主備模式及雙機(jī)負(fù)載均衡兩種容災(zāi)機(jī)制；同時，在單臺設(shè)備上提供Bypass能力，避免出現(xiàn)，單點故障影響正常業(yè)務(wù)運行。

高性能: 支持大量運維人員同時在線執(zhí)行申請/審批及運維操作；語句執(zhí)行時對業(yè)務(wù)系統(tǒng)的性能影響控制在微秒級，使用者基本無感。

高易用: DBController提供更人性化的圖形界面，以及高易用性的交互體驗，將復(fù)雜的運維審批流程簡單化，實現(xiàn)快速申請審批，明顯提高工作效率。

部署方式        

DBController采用串聯(lián)的方式部署于數(shù)據(jù)庫訪問運維側(cè)與數(shù)據(jù)庫服務(wù)器之間。所有運維側(cè)的數(shù)據(jù)庫訪問均需經(jīng)過數(shù)據(jù)庫安全運維系統(tǒng)，而應(yīng)用系統(tǒng)訪問數(shù)據(jù)庫的行為不會受到影響，仍然采用原有拓?fù)渑c數(shù)據(jù)庫連接。