一、创建访问方案（策略）

1.1、创建访问方案

（1）如图，在“安全中心”菜单下的“数据库运维审计”里，点击“访问方案”菜单，点击“创建访问方案”填写相关信息；

（2）创建后如图，会看到创建好的访问方案，点击您要编辑的“访问方案”，可以查看并编辑该方案详情；

1.2、管理访问方案

在这里可以编辑“基本信息”、“添加关联数据库”；

我们需要在这里录入该凭证所关联数据库的账户，以及选择该账户关联的数据库，并录入该账户对应的密码；

二、设置方案-访问规则

在这里可以进行“访问时段”、“客户端IP限制”、“数据库工具限制”、“审计录像”、“会话水印”等数据库访问规则策略设置；

三、设置方案-数据脱敏

在这里您可以设置“数据库脱敏条件”；

还可以拷贝其他数据库访问方案里数据库脱敏的规则；

四、设置方案-SQL拦截

4.1、创建数据库指令审批工单

如果您需要对SQL拦截等进行审批，请按下述操作创建工单。如果您不需要审批功能，请跳过这一步。

（1）首先进入到“工单中心”->“工单流程定义”->“新建工单流程”，点击“创建团队内部工单流程”；

（2）业务类型选择数据库指令审批；

（3）在创建好工单并且完成流程编排后，一定要点这个“发布流程”，才能后续关联使用该工单；

4.2、开启敏感SQL访问控制

敏感SQL访问控制类似于防火墙规则，其有先后顺序，当系统判断某条规则一旦匹配，则不再进行后续规则的判断；

如图，“审批设置”选择“指令黑名单”，请根据是否需要审批功能来是设置“工单流程”选项，不需要的话直接跳过不选即可。在这里您可以设置“敏感SQL访问控制”，可以添加“预设敏感SQL”、“自定义敏感SQL”、还可以“拷贝规则”；

（1）预设敏感SQL

点击“预设敏感SQL”，在这里我们有很多预设的敏感操作，可以设置响应动作“阻止当前动作”、“阻止并中断连接”、“阻止并禁用访问串”；

• a）“预设敏感SQL”-“高危操作”：

• b）“预设敏感SQL”-“权限变更”：

• c）“预设敏感SQL”-“数据库用户密码泄露”：

（2）自定义敏感SQL

点击“自定义敏感SQL”，可以自定义敏感SQL；

（3）拷贝规则

点击“拷贝规则”，可以拷贝其他数据库访问方案里的规则；

4.3、设置阻挡动作告警推送

当SQL语句触发了指令黑名单中的敏感操作时，例如“阻挡当前动作”、“阻挡并中断连接”、“阻挡并禁用访问串”可产生告警信息通过邮件通知相关人员；

五、访问串管理

5.1、更换访问串

进入“数据库管理”页面后，我们可以在某数据库的详情中的这两个地方更换当前数据库的访问串，点击“更换”后，访问串的密码会发生变化，并且更换期间可以选择更换访问串的有效期；

（1）如图：点击“访问串访问”后，我们可以在这里点击“更换”；

（2）如图：点击该数据库详情最下方“用户访问串”这一栏里对应访问串的“更换按钮”；

5.2、禁用访问串

可以在如图两个地方对访问串进行禁用；

5.3、启用访问串

可以在如图对已禁用的访问串进行启用，如果不启用，那么用户在点击被禁用的访问串时会如图提示；

六、数据库工具闲置断开时长

在私有部署中，还可以登录到管理控制台，在“系统设置”页面下，在“系统参数”里，可以设置“数据库工具闲置断开时长”，在使用数据库工具访问数据库时，如果连续在指定时长内未做任何操作，将自动断开连接；

七、数据库活跃会话与概况

7.1、数据库活跃会话

点击“首页”菜单，管理员可以查看当前在连数据库的活跃会话，并且如果发现用户有不安全操作，可以强制结束该会话；

在“数据库运维”页面，点击进入该数据库详情也可以查看当前数据库活跃会话；

在“数据库运维审计”中，也可以查看活跃会话；

7.2、数据库概况与代理拓扑

点击“首页”菜单，可以查看当前团队数据库概况与代理拓扑；

八、数据库审计FAQ

数据库审计FAQ请查看数据库审计FAQ指引