AccessMatrix™ Database Guard (简称 DB Guard)
是一种通过数据库访问控制来保护数据库和存放在数据库内的企业信息资产的安全解决方案。目前已知的很多数据库侵权案例,如日志的完整性和信息的泄漏,是由于内部的使用者滥用数据访问权限导致的,而不是外部的用户(黑客)入侵引起的。因此,AccessMatrix™ DB Guard
按照权限级别控制用户的数据库访问。这样,某个用户只能够按照最低权限策略访问数据库的部分数据或者被AccessMatrix™ DB Guard 屏蔽后的部分数据。特别的是
AccessMatrix™DB Guard 的数据屏蔽功能减少了数据库加密的成本和性能负载。
AccessMatrix™ DB Guard
部署于提出访问请求的客户端与数据库服务器之间,能够实施监控输入、输出数据流。同时保存审计数据。AccessMatrix™DB Guard
保证存储的审计数据和策略管理历史记录的日志完整性。同时,AccessMatrix™ DB Guard
帮助管理员以加密算法备份审计数据。管理员能够依照后续的审计要求查询审计数据,报告支持*.pdf、*.doc、*.hwp、*.csv、*.xls
等14种格式。
基本配置
旁路监听模式
AccessMatrix™ DB Guard
通过旁路监听的模式来审计和控制数据库访问,对数据库性能没有任何影响并且能够100%记录审计的数据。旁路监听模式下无需在客户端和数据端安装代理程序,对现有业务和网络环境没有任何影响。
网关模式 (IP forwarding)
在网关模式下 AccessMatrix™ DB Guard
100%控制数据库的输入、输出数据。它既支持安装一个代理到用户的笔记本电脑的方式,也支持不安装任何代理的方式。网关模式能够控制到
SQL 级,如果你把它应用于内部开发人员或外部运维人员的管理,这样企业就可以获得更高的数据安全。
高可用性模式
(HA)
通过配置高可用的 AccessMatrix™ DB Guard
服务器来保证数据库系统和访问控制的高可用性。AccessMatrix™ DB Guard 的高可用
Max 服务器可以配置成 Active-Active 或者 Active-Standby 的模式工作。
其他配置方式
3 层 WAS 代理
AccessMatrix™ DB Guard
在客户端和数据库端之间收集数据流量包,可用监控与控制环境中的WEB服务器,能够仅收集正常配置的WEB服务器的信息而无需获得最终用户的身份信息。AccessMatrix™ DB
Guard 通过在WAS(java)安装 3 层
WAS 代理程序,可以识别最终用户的身份信息应用于访问控制策略。
软件-Tap 模式
软件-Tap 模式是通过在数据库端安装一个代理程序用于收集数据流量包,而不是安装任何 TAP
硬件设备或者在旁路监听模式下的端口镜像交换机。如果环境有很大的网络流量我们也不推荐这种方法。
主要功能
数据库访问控制
AccessMatrix™ DB Guard
支持自动查询数据库内涉及隐私信息的数据的功能。一个安全管理员通过给 AccessMatrix™ DB Guard
推荐的关键数据表和列设置访问控制策略来管理隐私信息数据。
AccessMatrix™ DB Guard
支持自动查询数据库的账户。一个安全管理员可以通过 AccessMatrix™ DB Guard
控制数据库的所有账户。这样可以防止内部员工导致的隐私信息泄露。
AccessMatrix™ DB Guard
可以向内部员工分发最小的权限。
AccessMatrix™ DB Guard
可以按照每位员工的账户在数据库、表、列级别分配访问权限;同时可以通过SQL审批策略来控制每位员工执行的SQL语句的数量和允许支持的时间。
数据屏蔽
AccessMatrix™ DB Guard
支持局部屏蔽的功能用于向员工提供表中的局部数据。例如如果呼叫中心的某员工查询一个表,他可以得到以下的查询结果。查询结果只提供该呼叫中心员工所需的数据,其他数据均被*号屏蔽。当然我们假定数据库的数据是以明文存储的。
数据库活动监控
AccessMatrix™ DB Guard
通过网页实时监控最终用户身份信息、查询信息和数据库查询结果。一个数据库安全管理员可以通过电子邮件和短信息发送验证信息用于AccessMatrix™ DB Guard
和数据库报警。
审计与安全日志数据
AccessMatrix™ DB Guard
存储数据库访问控制历史和授权的数据库用户的访问历史。AccessMatrix™ DB
Guard保证存储的审计数据和策略管理的历史完整性。同时,AccessMatrix™ DB Guard
支持安全管理员以加密算法备份审计数据。AccessMatrix™ DB Guard
提供高性能的审计数据条件查询功能。管理员可以按照配置标准(如数据库会话、SQL
执行记录、服务器协议会话以及命令执行历史记录、告警历史记录、审批历史记录、管理任务历史记录、用户任务历史记录、未使用的策略或账号、SQL
汇总信息等)查询和分
析审计数据。
日志数据报表
AccessMatrix™ DB Guard
支持安全管理员将查询出的审计数据内容打印成报表形式。同时可以提供隐私信息表的打印报表。报表格式可以是是
*.pdf、*.ozd、*.xls、*.doc、*.ppt、*.html、*.csv、*.txt、*.jpg、*.rif,*.svg、*.hwp、*.mht、*.gul
等多种格式。
数据库活动监控
