收口入口
把应用、报表、后台、运维工具的数据库访问收敛到统一入口。
客户面对的是数据在研发、运维、报表、共享、国产化和合规场景中的持续流动。DBNginx 用统一入口把访问边界、保护动作和审计证据放回同一条业务链路。
同一套功能在不同客户那里会对应不同战略目标:生产库要收口,数据共享要可控,国产化要统一治理,合规要可追责。DBNginx 把目标转成同一条可落地路径。
把应用、报表、后台、运维工具的数据库访问收敛到统一入口。
识别用户、角色、来源、业务系统、库表字段和敏感等级。
按场景执行授权、脱敏、隔离、分流、拦截和审批动作。
记录访问主体、资源、动作、策略结果和审计线索。
根据审计、告警和验收结果持续调整策略和接入范围。
以“谁在什么业务里访问什么数据库、需要什么控制和证据”为中心,让安全、共享、效率和合规在同一张场景图里闭环。
覆盖 DBA 运维、共享取数、敏感查询、批量导出和高危 SQL,形成可检索、可解释、可追责的证据链。
面向报表导出、共享取数、客服查询截图和合作数据交付,将可见或隐式水印与 trace id 绑定,发现外泄后回溯到责任主体。
通过确定性规则、启发式 SQL 攻击识别和模型自动识别,提前发现注入、越权、异常查询和未知变形攻击。
业务系统保持原有 SQL 调用习惯,网关侧完成透明加解密、密码卡/密码机调用、脱敏、水印和审计留痕。
企业版面向全系国产数据库矩阵,统一接入云上数据库、本地集中式和本地分布式数据库。
减少数据库侧账号扩散,按角色、项目、时间窗口和资源池控制运营、分析、客服和合作团队访问。
把 BI、报表、批处理和临时分析从主库剥离到只读库、报表库或计算资源池。
适合生产库权限分散、敏感字段多、研发运维直连数据库、审计追责困难的组织。
业务系统、运维工具、BI 报表和临时查询都走同一个数据库网关入口,由网关在 SQL 执行前判断“谁、从哪里、访问什么数据、准备用什么动作”。
适合 SaaS 平台、集团多分支、渠道伙伴系统和按区域/客户隔离的数据服务。
当业务系统不断增加报表、开放接口、运营后台和数据导出链路时,租户边界需要在统一入口持续约束。
建立用户、角色、来源地址和租户上下文。
将库表列、数据等级和租户资源纳入权限矩阵。
在 SQL 执行前应用租户行过滤和列可见性策略。
记录命中策略、过滤条件和最终决策。
适合报表导出、共享库自助取数、客服敏感查询、合作方数据交付和跨部门资料流转,既要让数据能用,也要在外泄后能定位来源。
当数据从数据库进入报表、CSV、截图、工单或合作交付包后,传统数据库日志只能证明曾经访问过,难以证明外泄样本来自哪一次访问。DBNginx 在结果输出时绑定水印标识、访问主体和 trace id,让事后回溯有据可查。
在结果返回、导出或共享交付时写入可见或隐式水印。
将水印 key 与用户、角色、来源、资源、策略版本和 trace id 关联。
发现截图、报表或文件外泄后,按水印线索查询审计 trace。
输出责任主体、访问链路、命中策略和整改建议。
适合业务增长后读压力上升、迁移改造成本高、应用侧路由逻辑分散的系统。
在线交易、运营后台、BI 报表、批处理任务和灰度系统在统一入口按业务规则进入主库、只读库、报表库或灰度库。
适合企业需要统一审计生产库、共享库、国产数据库、运维工具、报表平台和临时查询入口的场景。
数据审计覆盖 SQL 文本、主体、来源、业务系统、资源、命中规则、风险识别、水印标识、输出控制和处置结果。
适合等保、数据安全、内控审计、外部监管检查和安全事件复盘。
DBNginx 审计事件记录主体、SQL 语义、命中策略、敏感资源、水印标识、执行动作和 trace id,方便安全、审计、DBA 与业务负责人共同复盘。
DBNginx 不要求一次性替换所有数据库入口,可以先选一个业务、一个库、一组共享访问或安全策略跑通,再横向复制。
优先选择生产库直连、共享库取数、敏感字段查询、报表导出、水印回溯或读写分离压力明显的业务链路。
整理主体、角色、库表列、敏感等级、上游池和审计口径,形成第一版治理目录。
先只审计和 explain,再逐步开启拒绝、过滤、脱敏、限流、路由和审批策略。
用越权访问、高风险 SQL、敏感查询、水印样本和上游故障演练验证策略与审计证据。
选择生产库访问、共享库取数、水印回溯、租户隔离、读写分离或审计取证,把入口、策略、日志和验收指标一次跑通。