一、解决方案简介

ShinData DSC是基于权限管理和高性能操作的数据库开发和安全一体化平台，提供高危拦截与人工审批、敏感数据动态脱敏、水印及下载权限管控等多功能，替代原有的传统桌面端开发工具,满足开发、运维、管理三个角色的数据操作和管控需求。

ShinData DSC数据库安全管控平台是数据库开发和安全一体化平台，提供高危拦截与人工审批、敏感数据动态脱敏、水印及下载权限管控等多功能，可满足开发、运维、管理三个角色的数据操作和管控需求，在开发和维护工作中替代原有的传统桌面端开发工具，在敏感数据查询和DML语句生产变更操作的前中后分别进行权限管控和全面记录追踪，全面助力企业打造数据库安全防护壁垒。

二、应用场景痛点简介

自2017年国家提出“要构建以数据为关键要素的数字经济”到 2019年G20峰会提出“要促进数字经济和实体经济融合发展，加强数字基础设施建设”，基于数据发展的数字经济已成为不可逆转的时代潮流，“数据安全”已上升到国家安全战略高度。且随着信创产业的推进，企业数据安全管控场景日渐复杂，贯穿企业研发、生产、办公等各个网络，数据安全保护难度大大提升。

随着技术的迅速发展，各种多元化的数据库产品应运而生，它们不仅类型众多，而且形式各异，国产化数据库千余套，开源数据库百余套。这些数据库产品有着各自的优势和特点，能够满足不同业务需求。如何找到一款产品能够对这些数据库进行管控，成为首要考虑的问题。常见的数据库安全管控问题，包括以下几方面：

1.数据库安全事故频发: 越权操作，导致不可控的意外产生，数据库数据变更误操作，常见的数据误删等，运维人员通过直接访问或VPN等方式直连数据库恶意操作，核心数据泄露，个人信息、重点系统账密信息等;

2.缺乏管控机制，数据库用户直接开放给应用、业务部门，缺乏审计手段，数据库账号使用难以落实到人，问题定位难以确定操作时间、人员、操作内容, 执行风险识别完全靠人，对技术人员水平依赖程度高，人力成本投入大;

3.传统工具安全漏洞，国外工具版权费用高，服务具有时效性，难以满足个性化需求。

三、解决方案亮点介绍

伴随着国家对数据资产重视程度的逐步提升以及相关法律法规的颁布，各行业对于数字化转型和数据安全防护都在建立新的认知，同时信息化飞速发展及应用剧增带来的运维管控难等问题也逐渐浮现，众多内部问题亟待解决。面对日益复杂的数据安全态势，零信任构建的新型安全架构被认为是数字时代下提升信息系统安全和网络整体安全的有效方式。

ShinData DSC数据库安全管控平台基于“数据安全法”等合规条约，以云+时代为背景助力数字化转型，在身份鉴别、用户及资源认证、数据操作一体化、访问来源精准审计等方面以更加平台化的姿态融入企业内部安全体系，在资源无缝对接的前提下协助企业构建更加完整、平滑的数据库生态链条，为数据安全体系建设提供敏捷高效的支撑。

数据库安全管控平台以服务组件为单位，面向云的分布式架构，支持高可用模式保持用户使用的连续性，主要将平台划分为四大核心模块：数据处理中心、用户管控中心、监控中心、审计中心。支持绝大多数国内外主流数据库以及中间件，完美支持各数据库特性，契合操作人员日常数据操作习惯。利用一个平台对所有数据操作进行管控，包含登录登出、权限、脱敏、审计、监控、过滤、回退等。内置一系列流程库，可通过OpenAPI接口与现有运维管理系统进行对接，实现数据操作/授权在数据中心内部流转。

对于数据脱敏要求，采用被动脱敏方式，即不改变数据库内容，但查询得到的结果为脱敏后的数据。脱敏按照规则来处理数据，规则分为内置和动态，内置规则只要用户查询的数据中符合系统内部定义的敏感资源，就会被处理；动态规则指系统管理员或者拥有者根据业务自定义，比如订单里的门牌号等。系统支持5种脱敏模式设定：替换、掩码、加密、截断后加密和无效化。

1.主要特点

①数据库SQL执行统一入口

DSC支持多种数据库，支持多种类型库语法语义检查，作为数据库的统一客户端，提供标准化操作，不必频繁切换SQL开发工具；支持用户根据SQL操作类型（包括：查询、变更，可选操作有SQL审核、人工审批、备份）来配置不同的操作流程，实现语句分类型管控的目的。DSC为开发、测试、DBA、管理人员提供一站式操作，使用便捷，显著提升管理和工作效率。

②SQL全生命周期管理

DSC提供从SQL开发、自动审核、人工审批、备份、上线变更的全生命周期的 SQL 安全管控，规范化 SQL 语句的编写，管控SQL变更执行，降低由于SQL误操作带来的安全风险。企业用户可依据数据库类型、业务需求、查询和非查询操作需求，灵活配置SQL规则模板、阈值，以及工作流，并应用于开发、测试、生产等多种场景。

③SQL执行的全方位安全机制

DSC为SQL执行从操作前、操作过程中到操作完成后的各个阶段提供了对应的安全机制，全程全方位为数据库安全保驾护航。

权限管控：DSC支持细粒度资源授权、操作类型授权、操作有效期授权、结果集范围授权，四大维度，严格管控，满足多种安全需求，为数据库安全提供保障。

动态脱敏：DSC支持自定义脱敏规则与算法，对查询得到的结果进行动态脱敏，避免敏感信息泄露。

自动备份：执行更改数据的操作前，可以自动备份影响到的数据，防患于未然。

操作分类审计：用户操作有迹可循，出现问题，职责分明；精准定位，快速回溯。

④可视化查询工具

DSC支持SQL语句封装，支持自定义参数变量，用户可以将实际工作中的常用查询场景制作成工具，使用时仅需填写相关参数即可执行，使用便捷，无需重复开发，帮助DBA提高工作效率。

同时，制作好的查询工具，还支持按权限授予不同的用户或角色使用，使工具的应用场景更加丰富。

2.应用价值

①没有授权进不去

基于细粒度的权限管控体系，通过「用户-角色-权限」，在快速授权的同时精准控制每个用户的访问及操作权限，规避了原先可能面临的越权访问、下载或篡改数据等违规操作行为。

②未经许可拿不走

以“查导分离”作为数据防泄漏的后一道防线，将导出动作单独形成一种权限类型，与查询动作分离开来。即使内部人员恶意获取数据也无法将数据落地至PC电脑，更别提在企业内部甚至外部进行流通。

③数据泄露赖不掉

作为企业内部的第四道安全防护门。对平台内部众多操作进行埋点，保证用户每一个动作都可追踪、可溯源。一旦有用户执行恶意语句或误操作可以及时定位到问题用户及用户PC IP。同时，辅助以告警模块，从不同风控视角来监测当前平台内用户的操作风险性，可以在发生数据泄漏时间后快速、精准定位到责任人，及时还原丢失数据。

DSC站在企业角度，根据内部数据流向提供全链路的干涉跟踪保护机制，贯穿数据登录、使用、登出整个生命周期。1:1 针对各数据源的终端，可实时对操作的SQL执行拦截、分析、审计、告警等操作，精确到人和应用。避免延后追溯，避免安装堡垒机客户端，也避免审计记录和录像的对比，极大的提高了审计效率和用户体验，让企业内部数据运转更加流畅、安全。

四、金融行业客户名单

某证券机构、某银行、某金融机构。

五、客户评价

某证券机构评价：

该解决方案基于我行数据库安全现状和管理要求，整体项目把控方面不错，此系统实现了数据库安全管控领域的探索和实践，聚焦重点成熟技术，积极尝试利用新兴技术，借助数据库安全管控管理系统，数据库变更、管控效率，提升了业务连续性，保障数据得到有效保护和合法利用，并使数据持续处于安全状态的能力，提升基础软件竞争力，为保障数据安全、国家安全，为促进数字经济健康发展、提升国家治理能力增添了力量。