谈细粒度的数据库运维管控（四）

应用场景举例

运维人员小张和小李共享主机和数据库账户，DBController进行管控后，运维小张对数据库进行访问操作，当执行操作对象涉及敏感数据时，触发DBController控制规则被拦截，于是小张登录DBController对访问对象和操作进行申请审批流程，审批通过后获得审批口令码；小张即便和小李共享主机和数据库账户，由于操作前进行动态口令和审批口令码认证，系统即可识别出操作人的真实身份，对小张审批通过后的语句可以合法放行；而小李没有动态口令和审批口令码认证，所以无法连接数据库进行操作。

访问对象细粒度控制

用户风险

公司运维人员（第三方运维人员A、内部运维人员B、运维部门领导C）均可以访问数据库任意对象，敏感数据面临更多泄露风险。

解决方案

DBController系统可以对访问数据库对象进行细粒度管控，控制对象可以是库，可以是表，也可以精细到列；管控对象可以包括用户、登录IP、客户端工具、时间。

同时，系统可对运维人员访问的敏感对象做细粒度控制，根据不同运维人员访问敏感数据权限，能够通过内置的敏感数据访问规则，对其访问数据中的身份证号、银行卡号、电话号码、姓名、住址等敏感数据信息进行掩码处理，实现敏感数据动态遮蔽，防止内部运维人员泄露敏感数据。

应用场景举例

通过数据库安全运维工具，安全管理员小张可以对公司内部运维人员（运维人员A、B、C）运维访问对象进行管控规则设置；

Ø  第三方运维人员A只能访问公司数据库里不涉及敏感信息的数据，而敏感数据则不能访问

Ø  公司内部运维人员B可以访问数据库很多对象，而访问的敏感数据被遮蔽处理，看不到真实信息

Ø  公司运维部门领导C可以访问数据库任意对象，涉及敏感数据也能看到真实数据。