前提条件
- 组织版本为企业版。
- 用户需要具有进入风险管控页面的菜单权限。菜单权限请参考权限说明。
- 用户在组织内添加了实例并绑定风险管控规则。
应用场景
场景 方案 针对所有数据库类型的高危风险操作统一拦截,如不同功能模块下的删表、删库语句。
管控规则集适配公有云所有的数据库类型。系统内置两种规则集,宽松规则集适合开发/测试环境的实例,严格规则集适合生产环境的实例。
管控规则集支持对DDL、DML、导出数据三种操作创建风险识别规则,三种操作行为涵盖了查询窗口、导入导出工单、数据复制工单、SQL变更工单、数据库账号管理、可视化编辑等所有可能产生高危操作的功能场景,且每种风险规则提供多种风险管控因子,方便对用户的行为进行更精细化的管控。
管控规则集支持自定义审批流程,针对某种操作识别出来的风险等级,用户可以指定审批流程。
用户特定操作识别及自定义审批流程,如配置导出行数超过1000的工单由超级管理员审批。 用户对不同环境的实例有不同的管控需求,如生产环境需要比较严格的管控规则,开发环境则需要一些宽松的规则,甚至无规则管控。
操作步骤
- 用户登录DMS系统。
- 在左侧菜单栏依次点击 安全中心 > 风险管控。
注意事项
- 超级管理员和管理员可以进入风险管控界面对风险管控规则集进行创建、删除、编辑、管理实例操作,也可以在实例元数据界面编辑实例绑定的规则集。
- 系统内置规则集不可删除。
- 组织版本由基础版切换为企业版时,需要超级管理员补充托管的账密,且生产环境和预发环境的实例会绑定系统内置的严格规则集,开发测试环境的实例会绑定系统内置的宽松规则集。
- 团队管理员可以在实例元数据界面编辑团队内实例绑定的规则集。
功能介绍
创建管控规则集
用户可以根据不同的需求,创建多个风险管控规则集。目前有两种创建规则集的方式,一种是基于内置模板创建,创建规则集时需指定严格规则集模板或者宽松规则集模板。另一种是基于现有的规则集进行复制创建。创建规则集时需要用户输入规则集名称,规则集备注为可选参数。
删除管控规则集
在管控规则集列表界面点击删除按钮即可对规则集进行删除操作,删除成功的前提是当前规则集没有与任一实例绑定,且系统内置规则集不支持删除操作。
应用管控规则集
DMS有两种将管控规则集与实例进行绑定的方式。
风险管控界面关联实例:
- 用户以超级管理员身份登录DMS系统。
- 在左侧菜单栏依次点击 安全中心 > 风险管控。
- 在规则集列表界面点击关联实例按钮,在弹出的实例列表中勾选与当前规则集绑定的实例,然后点击确定按钮。
实例元数据界面编辑管控规则:
- 用户以超级管理员身份登录DMS系统。
- 在左侧菜单栏依次点击 数据源管理 > 实例元数据。
- 在实例列表界面点击更多,点击管控规则,在弹窗中下拉选择要与当前实例绑定的规则集,然后输入托管的数据库账号和密码,连接测试通过后,点击确定按钮。
编辑管控规则集
在管控规则集列表界面点击编辑按钮会弹出规则集编辑界面,在此界面可以更改当前规则集的名称和备注。
配置管控规则集
在风险管控界面点击编辑按钮,即可进入规则集配置界面。规则集包含风险识别规则和风险审批规则两种类型。用户可以在该界面可以根据DDL、DML、导出数据三种操作类型来调整规则集的默认配置、审批模板或者新增风险识别规则。例如用户在查询窗口执行删除表操作,风险识别到当前操作为DDL类型且为高风险,则会阻断该操作在查询窗口继续执行,需要用户提交SQL变更工单经过指定审批后才可以执行删除表操作。值得注意的是若匹配到的操作类型的风险等级对应的审批模板为免审批,则DMS不会阻断该行为。
编辑规则
- 选中某条风险识别规则,点击编辑按钮,在弹窗中编辑规则的名称、风险等级、以及具体的规则定义。规则定义由规则条件和规则条件组组成,每种操作类型的风险管控因子组成。
- 风险审批规则只支持编辑审批模板。
变更规则状态
- 选中某条风险识别规则,点击状态切换按钮,可以调整规则的开启状态。
- 风险审批规则固定为开启状态,不支持改变状态。
删除规则
- 选中某条风险识别规则,点击删除按钮,可以删除规则。
- 风险审批规则不支持删除。
新增规则
- 点击新增规则按钮,在弹窗中输入规则名称、选择风险等级及类型,编辑规则定义,即可创建一条新的风险识别规则。
- 风险审批规则不支持新增。
规则定义
- 规则定义由一个或多个的规则条件、规则条件组、逻辑运算符组成。
- 规则条件由一条条件表达式构成,如影响行数==100。规则条件组由多条条件表达式和逻辑运算符组成,如影响行数==100AND数据库类型==MySQL。
- 逻辑运算符为AND、OR。
- 一个规则定义包含的条件和条件组的总数不超过5。
风险管控针对不同的操作类型提供了不同的风险管控因子,每种操作类型的具体定义详见:
