憑借在數據庫安全領域多年技術積累和對用戶需求的充分滿足，918搏天堂在“2016中國IT運維大會大型評選”活動中兩款入圍產品一舉拿下兩項獲獎榮譽——數據庫安全管控平臺DBController榮獲“2016中國IT運維最佳技術突破獎”；數據庫脫敏系統DBMasker榮獲“2016中國IT運維管理最佳產品獎”，向市場交付更具使用價值的產品是918搏天堂的自我驅動力，兩個獎項代表了市場對918搏天堂的高度認可。

放下榮譽，聚焦產品，今天為大家介紹下數據庫安全管控平臺（DBController）和數據庫脫敏系統（DBMasker）這兩款明星產品。

明星產品之數據庫安全管控平臺DBController

名副其實的運維管控利器，運維主管安心睡好覺

918搏天堂作為數據庫安全領域唯一掌握大型數據庫的內核技術和架構原理的廠商，能夠提供全系列領先數據庫安全產品解決方案，覆蓋數據庫的檢查預警、主動防御、底線防守、事后追查等各個環(huán)節(jié)。在主動防御環(huán)節(jié)，918搏天堂專門針對運維側的管理研發(fā)出數據庫安全管控平臺——DBController。

網絡安全防護手段往往忽略了對數據庫運維側的管控，運維人員擁有很大的數據庫操作權限，數據庫口令暴露、高危操作、用戶身份不清等數據庫運維安全隱患越發(fā)清晰可見。這種狀況顯然是企業(yè)構建全面數據庫安全防護體系所應包含的一個重要方面。

918搏天堂挖掘運維安全的棘手之處，以治標治本的思路研發(fā)出的數據庫運維管控平臺專門針對安全運維需求制定運維行為規(guī)范制度，從身份識別、訪問審批、流程管理三個層面對不合規(guī)操作加以阻擋，運用策略展示和訪問審計技術，建立了包含操作申請、操作審批流程的審批流程管理制度。

數據庫安全管控平臺產品架構

數據庫安全管控平臺工作步驟

1、無權限操作被拒。運維人員使用任意客戶端建立連接，無操作碼或執(zhí)行未申請的操作，會直接被拒絕。

2、運維人員提交操作申請。操作申請需要包含操作的具體內容、操作行為發(fā)生的起始時間和截止時間，操作的目標數據庫以及具體操作對象。

3、審批人員批復。批復分為兩種情況，一種情況是判斷操作申請合規(guī)，對操作行為予以同意，大部分操作申請都會導向放行。一種情況是審批人員判斷操作申請不合規(guī)，因此對申請加以駁回，運維人員針對駁回意見可修改相關操作項，重新提交申請，直至申請被批復。

4、審批批準后會返回操作碼。這時候運維人員可以使用任意客戶端建立連接，用操作碼進行注冊，數據庫安全管控平臺判斷操作碼吻合后會放行，運維人員即可執(zhí)行申請的操作。

數據庫安全管控平臺應用案例

某金融機構需要針對其核心資產庫進行運維側的管控，當前面臨的幾大問題主要是：

· 運維身份不便確定

· 數據庫賬戶口令公開

· 傳統手段存在局限性

· 缺乏規(guī)范的運維體系和管理流程

在引入918搏天堂數據庫安全管控平臺時，直接采用單點部署的方式將數據庫運維管控平臺置于運維端和核心數據庫之間，實現了訪問的有效控制，同時對訪問者身份也可以做到清晰區(qū)分。通過行為審批系統，運維人員發(fā)起操作申請，審批人進行審批操作，可提前定義運維人員賬戶，并限制其能申請的數據庫。在產品使用過程中，運維人員的操作行為不受限于數據庫安全管控平臺，仍然可以使用習慣的第三方工具進行操作，申請及審批流程清晰易用。歸納起來，金融機構引入數據庫安全管控平臺，在安全運維方面實現幾大價值提升：

· 身份鑒別

· 運維審批

· 統一入口

· 規(guī)范流程

數據庫安全管控平臺以簡單易用的特質有效應對數據庫運維管控領域當前最迫切需要解決的問題，實現了安全運維領域的技術突破。

明星產品之數據庫脫敏系統DBMasker

保障測試、開發(fā)與培訓環(huán)境中敏感數據的無憂

918搏天堂數據庫脫敏系統DBMasker一經推出市場，就受到了用戶的關注，特別是金融、運營商等行業(yè)，因為涉及數據量龐大，敏感度高，更是行業(yè)用戶的寵兒。

DBMasker金融領域的案例呈現

對于銀行這類金融機構來說，發(fā)生數據泄露、損壞，不僅會直接帶來經濟損失，更重要的是將大大影響用戶信任度。

①客戶背景和需求

A行是某大型國有銀行下屬某市分行，屬于一級分行，其下轄二級分行、管轄支行、直管支行、網點等全轄機構共計100余家，在該行后臺數據庫中，儲存著大量的敏感信息，例如儲戶個人身份信息、銀行賬戶信息、資金信息等數據，在銀行的很多工作場景中都會得到使用，例如業(yè)務分析、開發(fā)測試、審計監(jiān)管，甚至是一些外包業(yè)務等方面，均使用真實的業(yè)務數據和信息。如何在滿足政策合規(guī)性的基礎上，解決生產環(huán)境中敏感數據應用于非生產環(huán)境帶來的數據脫敏需求，保證生產數據安全已經成為銀行行必須面對的一個重要問題。

②痛點表現

過去，銀行等金融機構為了對開發(fā)測試過程中使用的真實數據保護，曾采用手工編造數據的方式向非生產環(huán)境提供數據，由此產生的數據往往：

離散度、真實性和數據關系都無法得到保障

手工方式會額外消耗人工成本

流程難以規(guī)范處理

另一方面，銀行總行將部分數據（脫敏后的）下發(fā)到各分行用于測試及開發(fā)，隨著業(yè)務發(fā)展，更多分行的新應用已經完全不適合使用這些老舊數據進行測試，同步生產環(huán)境中的核心數據迫在眉睫。當前，銀行等金融機構希望實現定期將生產環(huán)境中的新數據脫敏后導入開發(fā)測試環(huán)境，在保存數據原始特征的同時改變其數值，使數據仍可被業(yè)務正常使用，同時避免數據泄露的風險等一系列功能。

③通過應用案例實施看DBMasker的產品價值

產品——合規(guī)、高效、易用、規(guī)范

在充分了解該銀行的數據使用場景后，實施人員使用918搏天堂數據庫脫敏系統DBMasker對客戶的核心生產庫進行自動識別敏感數據，最大限度的對所有需要抽取的敏感數據進行自動脫敏，同時持續(xù)發(fā)現新的敏感數據。針對該銀行的開發(fā)環(huán)境，脫敏方案配置為從全量數據中取大約5%的數據進行脫敏并同步至開發(fā)環(huán)境數據庫，對姓名、住址、電話號等非條件字段進行隨機替換處理。對身份證、銀行賬戶等條件字段，按照確定性脫敏方式配置，以確保脫敏后的結果仍然相同。針對測試環(huán)境，實施方案中選擇了仿真程度更高的脫敏策略，確保脫敏后的數據離散度、數據關聯度獲得保障，使功能測試可以覆蓋到業(yè)務系統的所有場景，性能測試具有足夠的數據及接近真實環(huán)境的數據分布。脫敏方案配置完成后，脫敏任務的執(zhí)行交由運維部門定期完成，保障了各類敏感數據按照不同場景需求向其準確及時的提供。此外，產品具有符合用戶交互習慣的圖形化界面，使IT人員更容易操作，數據脫敏流程更加清晰。加上真實數據的可回溯性，實現了對重點客戶的行為分析，可對銀行的定向宣傳等工作提供指導意義。

DBMasker數據庫脫敏系統工作示意圖

幫助客戶——實現敏感數據防護、規(guī)范數據管理流程

該行通過使用DBMasker數據庫脫敏產品，輕松梳理了系統中敏感數據，幫助DBA及安全部門定義了系統中需要進行脫敏保護的數據內容。不同的敏感數據使用者通過DBMasker產品，定制個性化數據脫敏方案，通過對同一敏感數據進行不同的脫敏算法策略配置，可輕易滿足測試場景、開發(fā)場景、數據分析場景對于同類數據的不同精度及數據量要求。通過脫敏方案配置，實現敏感數據的脫敏處理，使所顯示的數據高度仿真的同時不改變數據間的關系。對運維部門來說，可根據產品提供的脫敏任務管理，定期向不同業(yè)務部門提供脫敏后的數據，保證最新的生產數據經脫敏后可應用于非生產環(huán)境。