前提條件

• 組織版本為企業版。
• 用戶需要具有進入SQL風險頁面的菜單權限。菜單權限請參考權限說明。
• 用戶在組織內添加了實例并綁定風險管控規則。

應用場景

場景
方案
針對所有數據庫類型的高危風險操作統一攔截，如不同功能模塊下的刪表、刪庫語句。
管控規則集適配公有云所有的數據庫類型。系統內置兩種規則集，寬松規則集適合開發/測試環境的實例，嚴格規則集適合生產環境的實例。
管控規則集支持對DDL、DML、導出數據三種操作創建風險識別規則，三種操作行為涵蓋了查詢窗口、導入導出工單、數據復制工單、SQL變更工單、數據庫賬號管理、可視化編輯等所有可能產生高危操作的功能場景，且每種風險規則提供多種風險管控因子，方便對用戶的行為進行更精細化的管控。
管控規則集支持自定義審批流程，針對某種操作識別出來的風險等級，用戶可以指定審批流程。
用戶特定操作識別及自定義審批流程，如配置導出行數超過1000的工單由超級管理員審批。
用戶對不同環境的實例有不同的管控需求，如生產環境需要比較嚴格的管控規則，開發環境則需要一些寬松的規則，甚至無規則管控。

操作步驟

1. 用戶登錄DMS系統。
2. 在左側菜單欄依次點擊 SQL治理 > SQL風險。

注意事項

• 超級管理員、系統管理員、審計管理員可以進入SQL風險界面對風險管控規則集進行創建、刪除、編輯、管理實例操作，也可以在實例管理界面編輯實例綁定的規則集。
• 系統內置規則集不可刪除。
• 組織版本由基礎版切換為企業版時，需要超級管理員補充托管的賬密，且生產環境和預發環境的實例會綁定系統內置的嚴格規則集，開發測試環境的實例會綁定系統內置的寬松規則集。
• 團隊管理員可以在實例管理界面編輯團隊內實例綁定的規則集。

功能介紹

創建管控規則集

用戶可以根據不同的需求，創建多個風險管控規則集。目前有兩種創建規則集的方式，一種是基于內置模板創建，創建規則集時需指定嚴格規則集模板或者寬松規則集模板。另一種是基于現有的規則集進行復制創建。創建規則集時需要用戶輸入規則集名稱，規則集備注為可選參數。

刪除管控規則集

在管控規則集列表界面點擊刪除按鈕即可對規則集進行刪除操作，刪除成功的前提是當前規則集沒有與任一實例綁定，且系統內置規則集不支持刪除操作。

應用管控規則集

DMS有兩種將管控規則集與實例進行綁定的方式，可參考如下步驟。

SQL風險界面關聯實例：

1. 用戶以超級管理員身份登錄DMS系統。
2. 在左側菜單欄依次點擊 SQL治理 > SQL風險。
3. 在規則集列表界面點擊關聯實例按鈕，在彈出的實例列表中勾選與當前規則集綁定的實例，然后點擊確定按鈕。

實例管理界面編輯管控規則：

1. 用戶以超級管理員身份登錄DMS系統。
2. 在左側菜單欄依次點擊 數據資產 > 實例管理。
3. 在實例列表界面點擊更多，點擊管控規則，在彈窗中下拉選擇要與當前實例綁定的規則集，然后輸入托管的數據庫賬號和密碼，連接測試通過后，點擊確定按鈕。

編輯管控規則集

在管控規則集列表界面點擊編輯按鈕會彈出規則集編輯界面，在此界面可以更改當前規則集的名稱和備注。

配置管控規則集

在SQL風險界面點擊編輯按鈕，即可進入規則集配置界面。規則集包含風險識別規則和風險審批規則兩種類型。用戶可以在該界面可以根據DDL、DML、導出數據三種操作類型來調整規則集的默認配置、審批模板或者新增風險識別規則。例如用戶在查詢窗口執行刪除表操作，風險識別到當前操作為DDL類型且為高風險，則會阻斷該操作在查詢窗口繼續執行，需要用戶提交SQL變更工單經過指定審批后才可以執行刪除表操作。值得注意的是若匹配到的操作類型的風險等級對應的審批模板為免審批，則DMS不會阻斷該行為。

編輯規則

選中某條風險識別規則，點擊編輯按鈕，在彈窗中編輯規則的名稱、風險等級、以及具體的規則定義。規則定義由規則條件和規則條件組組成，每種操作類型的風險管控因子組成。

說明
風險審批規則只支持編輯審批模板。

變更規則狀態

選中某條風險識別規則，點擊狀態切換按鈕，可以調整規則的開啟狀態。

說明
風險審批規則固定為開啟狀態，不支持改變狀態。

刪除規則

• 選中某條風險識別規則，點擊刪除按鈕，可以刪除規則。

說明
風險審批規則不支持刪除。

新增規則

• 點擊新增規則按鈕，在彈窗中輸入規則名稱、選擇風險等級及類型，編輯規則定義，即可創建一條新的風險識別規則。

說明
風險審批規則不支持新增。

規則定義

• 規則定義由一個或多個的規則條件、規則條件組、邏輯運算符組成。
• 規則條件由一條條件表達式構成，如影響行數==100。規則條件組由多條條件表達式和邏輯運算符組成，如影響行數==100AND數據庫類型==MySQL。
• 邏輯運算符為AND、OR。
• 一個規則定義包含的條件和條件組的總數不超過5。

SQL風險針對不同的操作類型提供了不同的風險管控因子，每種操作類型的具體定義詳見：

DDL

DML

導出數據

說明
風險審批規則只支持編輯審批模板。