大数据是工业社会的「自由」资源,谁掌握了数据,谁就掌握了主动权。随着企业数字化转型的浪潮,数据更是成为了金融行业的核心资产和创新要素。

而证券行业作为国家金融活动的重要入口,汇聚了大量的金融数据。其数据库作为公司核心数据库系统,存储着大量敏感重要数据信息,其安全性关系着整个交易系统的安全运转。这要求行业充分深刻认识网络数据安全的重要性和紧迫性,坚持金融安全与数据应用发展并重,积极应对复杂的数据安全风险与挑战。

在此背景下,某大型证券交易所(以下简称:A 所)为进一步提高内部数据库安全运维保障能力,对标信息安全合规性要求,启动数据库运维管理建设工作,部署一体化数据安全管控平台—— CloudQuery 企业版(以下简称:CQ)。

核心诉求

通过部署 CQ,A 所加强数据库安全访问控制机制,解决直连数据库带来的人与账户不统一、权限不易管控、审计信息定位不精准的问题,同时增加数据脱敏功能,对用户查询进行实时数据校验,动态脱敏敏感数据,在不影响原始数据的基础上,降低人为传世泄密的风险。其核心诉求有以下几点:

数据库操作管控

取消直连数据库方式,通过平台实现对数据的访问操作,在不改变用户使用习惯的基础上,替代 PLSQL Developer、SQLYOG 等工具。

数据库权限管控

通过用户和账户一对一绑定,解决以数据库账户多人共用的情况。同时提升账户权限精细粒度,加大用户账户提权、过期、注销的审核力度,在满足用户正常使用的同时,提升权限管控水平。

敏感数据脱敏

对查询结果数据进行动态脱敏,根据账户查询需求,灵活制定脱敏策略,在不影响用户使用的同时 ,最大限度保证数据安全不泄漏。

解决思路

根据A所的需求,我们认为本次部的 CQ 主要致力解决企业数据库安全性弱、敏感数据泄露、人员与账户不统一、权限管控难度大、出现数据变更时难以定位责任人员等问题。故我们将应用场景主要定位在人员较多且流动性较大的部门,例如外包、研发、运维等,协助其进行权限管控以及数据访问控制,同时针对行业性质加强系统稳定性,并针对安全性、扩展性、高可用性进行了升级。

平台安全性

安全性主要体现在系统及数据库的访问控制、非法访问阻断以及数据脱敏。针对外包人员可以进行登录时间控制,仅允许在指定时间登录系统,或仅允许在指定时间进行指定资源的数据操作配合数据脱敏实现通过平台进行数据操作时,既保证了对人员的限制,又保证了对于敏感数据资源的屏蔽。

平台扩展性

基于 CQ 需要接入多种数据源,因此在进行架构设计时采用模块化架构,具有高度可扩展性,实现数据源接入速度快、数据源特性支持全面、数据库元素覆盖度高、支持自定义筛选等功能。

高可用性

CQ 作为企业数据访问入口,对服务稳定性要求较高,因此提供双A方案进行高可用支持,故障切换在5s内即可完成,极大程度上保证了系统的可用性。

方案设计

本次设计的 CQ 主要功能包括用户管理、数据库连接管理、数据库操作管理、数据脱敏管理、系统管理,同时提供数据库服务器监控功能、审计功能。

用户管理

对于有数据库访问需求的用户,需要登录 CQ,通过该系统实现对数据库的访问。同时内置的用户系统可以对用户以及组织架构信息进行维护,也支持多源用户信息导入,实现用户与账号一一对应,解决了一个数据库账号多人使用的问题。

权限管控

根据用户管理权限,平台用户可分为系统管理员、连接管理员、普通用户三级角色,在数据库权限层面分为操作权限、导出权限、限时、限次、限量等,权限控制力度可达单元格级别,对于不在授权范围内的数据操作进行及时阻断并收集至告警系统中,方便数据库管理员及时发现风险点。

数据脱敏管理

对查询结果进行脱敏,平台脱敏功能仅涉及数据查询,不涉及数据变更,技术实现的过程中数据不落地的方式既保证了数据库的数据安全,也不会对正常运行的业务系统造成影响。

服务器监控

通过监控,平台可实时感知服务器负载状态、读写状态、慢查询状态等,实现监控模块集成现有成熟体系,在不影响数据库运行效率的同时及时进行数据库状态反馈。方便 DBA 实时观测纳管数据库状态。

审计功能

用户在 CQ 产生的每一个细节操作都会被审计服务追踪。CQ 支持审计明细以及审计结果分析,可及时捕捉可能出现问题的脆弱环节进行提前预警,在出现问题时可精准定位账户,同时提供危险、失败操作高亮提示告警等功能。同时基于审计明细进行建模计算后得出审计分析可以协助数据库管理人员及时观测普通用户操作动态,查看内部数据库使用状况等。

至此,A 所的数据安全以及审计溯源问题在 CQ 平台引入后得以解决,同时搭配平台自身的高可用配置,在保证数据库访问安全的基础上做到了操作入口的统一纳管、灵活授权又兼顾了平台稳定性。在上线前 A 所对 CQ 平台进行了深度安全扫描,确认产品自身无问题后开始投入生产使用,从根本上解决了数据管控难、治理难的问题。

官网地址:https://cloudquery.club/

解决权限管控难题,保障数据安全——CloudQuery在证券行业的实践的更多相关文章

  1. 解决IIS7.0服务和用户上传的文件分别部署在不同的电脑上时,解决权限的问题

    为解决IIS服务和用户上传的文件分别部署在不同的电脑上时,解决权限的问题. 定义: A:iis服务器 B:文件服务器 步骤: 1.在B上创建一个用户[uploaduser](并设置密码) 2.给B上的 ...

  2. 解决IIS服务和用户上传的文件分别部署在不同的电脑上时,解决权限的问题

    为解决IIS服务和用户上传的文件分别部署在不同的电脑上时,解决权限的问题. 定义: A:iis服务器 B:文件服务器 步骤: 1.在B上创建一个用户[uploaduser](并设置密码) 2.给B上的 ...

  3. Quick BI独创千人千面的行级权限管控机制

    摘要 就数据访问权限而言,阿里巴巴以“被动式授权”为主,你需要什么权限就申请什么权限.但是,在客户交流过程中,我们发现绝大多数企业都是集中式授权,尤其是面向个人的行级权限管控,管理复杂度往往呈几何增长 ...

  4. 十年磨一剑,王坚自研的MaxCompute如何解决世界级算力难题

    摘要: 2009年这项关于大数据的技术长征开始.王坚带队,目标是自研大数据计算平台MaxCompute统一阿里巴巴内部的数据和大数据计算体系. 大数据时代,随着企业数据规模的急剧增长,传统软件已无法承 ...

  5. indexDB解决过的难题

    我第一次使用indexDB是1年前(2018年10月),运用这个黑科技,解决过3个异常棘手的问题(如果不是indexDB 几乎找不到其他解决方案)所以我经常强调,前端一定要学indexDB! 难题一: ...

  6. gitlab用户,组,项目权限管控

    前言:gitlab上的权限管控是非常重要的,尤其是很多研发人员开发一个项目.这个是我总结的权限管控. 1.这个是创建项目时开放权限设置   2.这个创建用户设置的权限   3.用户权限,5种类型用户是 ...

  7. 使用Proftpd支持FTP/SFTP权限管控

    简介 FTP 文件传输协议,FTP由FTP服务器(存储文件)和FTP客户端(通过FTP协议访问FTP服务器上的资源)组成 传输方式 主动模式(Port) 客户端与服务器端的TCP 21端口建立连接 - ...

  8. [思维提升|干货All in]6种算法解决LeetCode困难题:滑动窗口最大值

    为了更好的阅读体验,欢迎阅读原文: [思维提升|干货All in]6种算法解决LeetCode困难题:滑动窗口最大值 (eriktse.com) 最近在leetcode遇到一道非常经典的题目:239. ...

  9. 直播预告 | 全面的审计分析和权限管控——CloudQuery年终发布!

    2020年9月,CloudQuery 发布. 针对开发.运维人员面临的如何高效便捷访问.操作管理数据的问题,我们设计并研发了云原生安全数据操作平台,CloudQuery 就此诞生! 2020年结束之际 ...

  10. 阿里云安全研究成果入选人工智能顶级会议 IJCAI 2019, 业界首次用AI解决又一难题!

    8月10日至8月16日,国际人工智能组织联合会议IJCAI 2019(International Joint Conference on Artificial Intelligence 2019)在中 ...

随机推荐

  1. 小程序自定义组件 - 插槽slot

    和 vue 的 slot 几乎是一模一样的. 这个学小程序就相当于复习了一把 vue, 还是很值的. 我们之前说组件是页面的一部分, 目的是为了代码复用, 作为组件封装者, 有时候需要设计一些让用户能 ...

  2. 彻底掌握 PCA 降维

    PCA 这类的降维算法, 我算是接触好几年了有, 从我学营销的时候, 市场研究方面就经常会用到,相关的还有 "因子分析" 比如, 商品形象认知, 客户细分等场景. 其实多年前我就能 ...

  3. VS2019 配置 protobuf3.8.0

    1.下载protobuf3.8.0 https://github.com/protocolbuffers/protobuf/releases/tag/v3.8.0 2.准备工作 解压文件并在同级目录建 ...

  4. sympy简明用法

    系统学习Sympy 什么是Sympy Sympy 是一个可以进行符号运算的第三方科学计算库,数学对象可以被精确的表达,而不是近似值,这也意味着带有未计算的未知量可以以符号的形式留在数学表达式中. im ...

  5. 分钟级搭建你的专属大数据平台 ——TDH 社区开发版免费来袭

    ​ 星环科技TDH社区开发版集"开箱即用.分钟级部署.便捷开发"于一体,真正实现零门槛大数据开发体验!无需繁琐配置,只需一台机器,即可拥有企业级大数据平台的核心能力.目前,众多开发 ...

  6. Windows安装MySQL常见错误

    错误1:提示缺少Visual Studio 2019 x64 Redistributable 现象: 在windows系统上使用Mysql8以上的msi进行安装时,可能提示缺少Visual Studi ...

  7. Vue3自定义指令实现权限控制

    使用Pinia(Vue.js的轻量级状态管理库,是Vuex的替代品)来管理用户权限,并结合自定义指令控制元素的显隐.步骤操作如下: 1.安装Pinia: npm install pinia 或 yar ...

  8. 今天遇到了 X-Y PROBLEM

    什么是X-Y 问题呢? 以下参考来自于耗子叔博客: 想解决问题X 他觉得Y可能是解决X的方法 但是他不知道Y应该怎么做 于是他去问别人Y应该怎么做? X-Y Problem 最大的严重问题就是:在一个 ...

  9. Tauri2.0-DeepSeek电脑端Ai对话|tauri2+vite6+deepseek流式ai聊天系统

    重磅新作tauri2.0+vue3.5+deepseek+arco桌面客户端ai流式输出聊天对话系统. tauri2-vue3-deepseek:桌面端ai聊天对话,基于Tauri2.x+Vite6集 ...

  10. 有知道CAE软件Hypermesh的配置要求吗?

    Altair的Hypermesh是一款先进的有限元分析软件,用于高效地处理和模拟复杂的三维几何形状.作为一款仿真软件,Hypermesh的CPU和GPU配置是非常重要的. 首先,对于Hypermesh ...