大資料是工業社會的「自由」資源,誰掌握了資料,誰就掌握了主動權,隨著企業數字化轉型的浪潮,資料更是成為了金融行業的核心資產和創新要素,
而證券行業作為國家金融活動的重要入口,匯聚了大量的金融資料,其資料庫作為公司核心資料庫系統,存盤著大量敏感重要資料資訊,其安全性關系著整個交易系統的安全運轉,這要求行業充分深刻認識網路資料安全的重要性和緊迫性,堅持金融安全與資料應用發展并重,積極應對復雜的資料安全風險與挑戰,
在此背景下,某大型證券交易所(以下簡稱:A 所)為進一步提高內部資料庫安全運維保障能力,對標資訊安全合規性要求,啟動資料庫運維管理建設作業,部署一體化資料安全管控平臺—— CloudQuery 企業版(以下簡稱:CQ),
核心訴求
通過部署 CQ,A 所加強資料庫安全訪問控制機制,解決直連資料庫帶來的人與賬戶不統一、權限不易管控、審計資訊定位不精準的問題,同時增加資料脫敏功能,對用戶查詢進行實時資料校驗,動態脫敏敏感資料,在不影響原始資料的基礎上,降低人為傳世泄密的風險,其核心訴求有以下幾點:
資料庫操作管控
取消直連資料庫方式,通過平臺實作對資料的訪問操作,在不改變用戶使用習慣的基礎上,替代 PLSQL Developer、SQLYOG 等工具,
資料庫權限管控
通過用戶和賬戶一對一系結,解決以資料庫賬戶多人共用的情況,同時提升賬戶權限精細粒度,加大用戶賬戶提權、過期、注銷的審核力度,在滿足用戶正常使用的同時,提升權限管控水平,
敏感資料脫敏
對查詢結果資料進行動態脫敏,根據賬戶查詢需求,靈活制定脫敏策略,在不影響用戶使用的同時 ,最大限度保證資料安全不泄漏,
解決思路
根據A所的需求,我們認為本次部的 CQ 主要致力解決企業資料庫安全性弱、敏感資料泄露、人員與賬戶不統一、權限管控難度大、出現資料變更時難以定位責任人員等問題,故我們將應用場景主要定位在人員較多且流動性較大的部門,例如外包、研發、運維等,協助其進行權限管控以及資料訪問控制,同時針對行業性質加強系統穩定性,并針對安全性、擴展性、高可用性進行了升級,
平臺安全性
安全性主要體現在系統及資料庫的訪問控制、非法訪問阻斷以及資料脫敏,針對外包人員可以進行登錄時間控制,僅允許在指定時間登錄系統,或僅允許在指定時間進行指定資源的資料操作配合資料脫敏實作通過平臺進行資料操作時,既保證了對人員的限制,又保證了對于敏感資料資源的屏蔽,
平臺擴展性
基于 CQ 需要接入多種資料源,因此在進行架構設計時采用模塊化架構,具有高度可擴展性,實作資料源接入速度快、資料源特性支持全面、資料庫元素覆寫度高、支持自定義篩選等功能,
高可用性
CQ 作為企業資料訪問入口,對服務穩定性要求較高,因此提供雙A方案進行高可用支持,故障切換在5s內即可完成,極大程度上保證了系統的可用性,
方案設計
本次設計的 CQ 主要功能包括用戶管理、資料庫連接管理、資料庫操作管理、資料脫敏管理、系統管理,同時提供資料庫服務器監控功能、審計功能,
用戶管理
對于有資料庫訪問需求的用戶,需要登錄 CQ,通過該系統實作對資料庫的訪問,同時內置的用戶系統可以對用戶以及組織架構資訊進行維護,也支持多源用戶資訊匯入,實作用戶與賬號一一對應,解決了一個資料庫賬號多人使用的問題,
權限管控
根據用戶管理權限,平臺用戶可分為系統管理員、連接管理員、普通用戶三級角色,在資料庫權限層面分為操作權限、匯出權限、限時、限次、限量等,權限控制力度可達單元格級別,對于不在授權范圍內的資料操作進行及時阻斷并收集至告警系統中,方便資料庫管理員及時發現風險點,
資料脫敏管理
對查詢結果進行脫敏,平臺脫敏功能僅涉及資料查詢,不涉及資料變更,技術實作的程序中資料不落地的方式既保證了資料庫的資料安全,也不會對正常運行的業務系統造成影響,
服務器監控
通過監控,平臺可實時感知服務器負載狀態、讀寫狀態、慢查詢狀態等,實作監控模塊集成現有成熟體系,在不影響資料庫運行效率的同時及時進行資料庫狀態反饋,方便 DBA 實時觀測納管資料庫狀態,
審計功能
用戶在 CQ 產生的每一個細節操作都會被審計服務追蹤,CQ 支持審計明細以及審計結果分析,可及時捕捉可能出現問題的脆榷訓節進行提前預警,在出現問題時可精準定位賬戶,同時提供危險、失敗操作高亮提示告警等功能,同時基于審計明細進行建模計算后得出審計分析可以協助資料庫管理人員及時觀測普通用戶操作動態,查看內部資料庫使用狀況等,
至此,A 所的資料安全以及審計溯源問題在 CQ 平臺引入后得以解決,同時搭配平臺自身的高可用配置,在保證資料庫訪問安全的基礎上做到了操作入口的統一納管、靈活授權又兼顧了平臺穩定性,在上線前 A 所對 CQ 平臺進行了深度安全掃描,確認產品自身無問題后開始投入生產使用,從根本上解決了資料管控難、治理難的問題,
官網地址:https://cloudquery.club/
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/287842.html
標籤:其他
上一篇:架構套路總結