大数据是工业社会的「自由」资源,谁掌握了数据,谁就掌握了主动权。随着企业数字化转型的浪潮,数据更是成为了金融行业的核心资产和创新要素。

而证券行业作为国家金融活动的重要入口,汇聚了大量的金融数据。其数据库作为公司核心数据库系统,存储着大量敏感重要数据信息,其安全性关系着整个交易系统的安全运转。这要求行业充分深刻认识网络数据安全的重要性和紧迫性,坚持金融安全与数据应用发展并重,积极应对复杂的数据安全风险与挑战。

在此背景下,某大型证券交易所(以下简称:A 所)为进一步提高内部数据库安全运维保障能力,对标信息安全合规性要求,启动数据库运维管理建设工作,部署一体化数据安全管控平台—— CloudQuery 企业版(以下简称:CQ)。

核心诉求

通过部署 CQ,A 所加强数据库安全访问控制机制,解决直连数据库带来的人与账户不统一、权限不易管控、审计信息定位不精准的问题,同时增加数据脱敏功能,对用户查询进行实时数据校验,动态脱敏敏感数据,在不影响原始数据的基础上,降低人为传世泄密的风险。其核心诉求有以下几点:

数据库操作管控

取消直连数据库方式,通过平台实现对数据的访问操作,在不改变用户使用习惯的基础上,替代 PLSQL Developer、SQLYOG 等工具。

数据库权限管控

通过用户和账户一对一绑定,解决以数据库账户多人共用的情况。同时提升账户权限精细粒度,加大用户账户提权、过期、注销的审核力度,在满足用户正常使用的同时,提升权限管控水平。

敏感数据脱敏

对查询结果数据进行动态脱敏,根据账户查询需求,灵活制定脱敏策略,在不影响用户使用的同时 ,最大限度保证数据安全不泄漏。

解决思路

根据A所的需求,我们认为本次部的 CQ 主要致力解决企业数据库安全性弱、敏感数据泄露、人员与账户不统一、权限管控难度大、出现数据变更时难以定位责任人员等问题。故我们将应用场景主要定位在人员较多且流动性较大的部门,例如外包、研发、运维等,协助其进行权限管控以及数据访问控制,同时针对行业性质加强系统稳定性,并针对安全性、扩展性、高可用性进行了升级。

平台安全性

安全性主要体现在系统及数据库的访问控制、非法访问阻断以及数据脱敏。针对外包人员可以进行登录时间控制,仅允许在指定时间登录系统,或仅允许在指定时间进行指定资源的数据操作配合数据脱敏实现通过平台进行数据操作时,既保证了对人员的限制,又保证了对于敏感数据资源的屏蔽。

平台扩展性

基于 CQ 需要接入多种数据源,因此在进行架构设计时采用模块化架构,具有高度可扩展性,实现数据源接入速度快、数据源特性支持全面、数据库元素覆盖度高、支持自定义筛选等功能。

高可用性

CQ 作为企业数据访问入口,对服务稳定性要求较高,因此提供双A方案进行高可用支持,故障切换在5s内即可完成,极大程度上保证了系统的可用性。

方案设计

本次设计的 CQ 主要功能包括用户管理、数据库连接管理、数据库操作管理、数据脱敏管理、系统管理,同时提供数据库服务器监控功能、审计功能。

用户管理

对于有数据库访问需求的用户,需要登录 CQ,通过该系统实现对数据库的访问。同时内置的用户系统可以对用户以及组织架构信息进行维护,也支持多源用户信息导入,实现用户与账号一一对应,解决了一个数据库账号多人使用的问题。

权限管控

根据用户管理权限,平台用户可分为系统管理员、连接管理员、普通用户三级角色,在数据库权限层面分为操作权限、导出权限、限时、限次、限量等,权限控制力度可达单元格级别,对于不在授权范围内的数据操作进行及时阻断并收集至告警系统中,方便数据库管理员及时发现风险点。

数据脱敏管理

对查询结果进行脱敏,平台脱敏功能仅涉及数据查询,不涉及数据变更,技术实现的过程中数据不落地的方式既保证了数据库的数据安全,也不会对正常运行的业务系统造成影响。

服务器监控

通过监控,平台可实时感知服务器负载状态、读写状态、慢查询状态等,实现监控模块集成现有成熟体系,在不影响数据库运行效率的同时及时进行数据库状态反馈。方便 DBA 实时观测纳管数据库状态。

审计功能

用户在 CQ 产生的每一个细节操作都会被审计服务追踪。CQ 支持审计明细以及审计结果分析,可及时捕捉可能出现问题的脆弱环节进行提前预警,在出现问题时可精准定位账户,同时提供危险、失败操作高亮提示告警等功能。同时基于审计明细进行建模计算后得出审计分析可以协助数据库管理人员及时观测普通用户操作动态,查看内部数据库使用状况等。

至此,A 所的数据安全以及审计溯源问题在 CQ 平台引入后得以解决,同时搭配平台自身的高可用配置,在保证数据库访问安全的基础上做到了操作入口的统一纳管、灵活授权又兼顾了平台稳定性。在上线前 A 所对 CQ 平台进行了深度安全扫描,确认产品自身无问题后开始投入生产使用,从根本上解决了数据管控难、治理难的问题。

官网地址:https://cloudquery.club/

解决权限管控难题,保障数据安全——CloudQuery在证券行业的实践的更多相关文章

  1. 解决IIS7.0服务和用户上传的文件分别部署在不同的电脑上时,解决权限的问题

    为解决IIS服务和用户上传的文件分别部署在不同的电脑上时,解决权限的问题. 定义: A:iis服务器 B:文件服务器 步骤: 1.在B上创建一个用户[uploaduser](并设置密码) 2.给B上的 ...

  2. 解决IIS服务和用户上传的文件分别部署在不同的电脑上时,解决权限的问题

    为解决IIS服务和用户上传的文件分别部署在不同的电脑上时,解决权限的问题. 定义: A:iis服务器 B:文件服务器 步骤: 1.在B上创建一个用户[uploaduser](并设置密码) 2.给B上的 ...

  3. Quick BI独创千人千面的行级权限管控机制

    摘要 就数据访问权限而言,阿里巴巴以“被动式授权”为主,你需要什么权限就申请什么权限.但是,在客户交流过程中,我们发现绝大多数企业都是集中式授权,尤其是面向个人的行级权限管控,管理复杂度往往呈几何增长 ...

  4. 十年磨一剑,王坚自研的MaxCompute如何解决世界级算力难题

    摘要: 2009年这项关于大数据的技术长征开始.王坚带队,目标是自研大数据计算平台MaxCompute统一阿里巴巴内部的数据和大数据计算体系. 大数据时代,随着企业数据规模的急剧增长,传统软件已无法承 ...

  5. indexDB解决过的难题

    我第一次使用indexDB是1年前(2018年10月),运用这个黑科技,解决过3个异常棘手的问题(如果不是indexDB 几乎找不到其他解决方案)所以我经常强调,前端一定要学indexDB! 难题一: ...

  6. gitlab用户,组,项目权限管控

    前言:gitlab上的权限管控是非常重要的,尤其是很多研发人员开发一个项目.这个是我总结的权限管控. 1.这个是创建项目时开放权限设置   2.这个创建用户设置的权限   3.用户权限,5种类型用户是 ...

  7. 使用Proftpd支持FTP/SFTP权限管控

    简介 FTP 文件传输协议,FTP由FTP服务器(存储文件)和FTP客户端(通过FTP协议访问FTP服务器上的资源)组成 传输方式 主动模式(Port) 客户端与服务器端的TCP 21端口建立连接 - ...

  8. [思维提升|干货All in]6种算法解决LeetCode困难题:滑动窗口最大值

    为了更好的阅读体验,欢迎阅读原文: [思维提升|干货All in]6种算法解决LeetCode困难题:滑动窗口最大值 (eriktse.com) 最近在leetcode遇到一道非常经典的题目:239. ...

  9. 直播预告 | 全面的审计分析和权限管控——CloudQuery年终发布!

    2020年9月,CloudQuery 发布. 针对开发.运维人员面临的如何高效便捷访问.操作管理数据的问题,我们设计并研发了云原生安全数据操作平台,CloudQuery 就此诞生! 2020年结束之际 ...

  10. 阿里云安全研究成果入选人工智能顶级会议 IJCAI 2019, 业界首次用AI解决又一难题!

    8月10日至8月16日,国际人工智能组织联合会议IJCAI 2019(International Joint Conference on Artificial Intelligence 2019)在中 ...

随机推荐

  1. B1031 查验身份证 (15 分)

    描述 一个合法的身份证号码由17位地区.日期编号和顺序编号加1位校验码组成.校验码的计算规则如下: 首先对前17位数字加权求和,权重分配为:{7,9,10,5,8,4,2,1,6,3,7,9,10,5 ...

  2. 测试网络联接状况常用命令 ping 使用方法介绍

      了解和掌握下面几个命令将会有助于您更快地检测到网络故障所在,从而节省时间,提高效率.   ping是测试网络联接状况以及信息包发送和接收状况非常有用的工具,是网络测试最常用的命令.ping向目标主 ...

  3. Re:prime 关于质数的算法

    Re:prime 关于质数的所有算法 绪言 所有代码若无说明,均采用快读模板 关于质数,无非就两大类: 判断一个数字是不是质数 找出[1,n]中所有的质数 先讲1: Judge 判断x是不是质数 根据 ...

  4. vue模板语法中能否用??的三目运算简写的问题

    使用双问号(??)的三目运算可以在 JavaScript 中使用,但在 Vue 模板语法中不支持.Vue 模板语法中的三目运算仍然使用单个问号(?)和冒号(:)的标准形式.例如: {{ conditi ...

  5. Go语言new和make的区别

    一.简单说明 方法 作用 作用对象 返回值 new 分配内存 值类型和用户定义的类型 初始化为零值,返回指针 make 分配内存 内置引用类型(map,slice,channel) 初始化为零值,返回 ...

  6. Spring的一些常见面试题

    Spring八股文 源码解析 反射 1.谈谈spring ioc的理解,原理和实现? 总:两层意思:控制反转和容器. 控制反转:他是一种思想理论,原来的对象是由我们使用者自己来进行控制的,而有了spr ...

  7. 终于有人把不同标签的加工内容与落库讲明白了丨DTVision分析洞察篇

    上一篇文章详细给大家介绍了标签的设计与加工,在标签生命周期流程中,标签体系设计完成后,便进入标签加工与上线运行阶段,一般来说数据开发团队会主导此过程,但我们需要关心以下几个问题: ·标签如何快速创建和 ...

  8. 探索 JavaCV:开启计算机视觉与多媒体处理新世界

    目录 JavaCV 是什么? 安装指南 有趣的 JavaCV 使用示例 录制 RTMP 直播流 捕获摄像头画面 美颜相机 引用 在当今的技术领域,计算机视觉和多媒体处理的应用愈发广泛.从视频监控到直播 ...

  9. JavaScript中如何遍历对象?

    JavaScript中如何遍历对象? 今天来点稍微轻松的话题,如何在JavaScript中遍历对象,在平常的工作中,遍历对象是很常见的操作,javascript提供了多种方法来遍历对象的属性.这些方法 ...

  10. 使用three.js,实现微信3D小游戏系列教程,框架篇(一)

    引言 在三维图形和游戏开发领域,three.js 作为一个基于 WebGL 的 JavaScript 库,提供了强大的功能来创建和显示动画化的 3D 计算机图形.它使得开发者能够轻松地在网页上构建复杂 ...