摘要

　　证券行业是高数据价值密度行业。随着数据量的增长，证券公司大数据管理部门面临越来越大的数据安全风险。上海某头部券商数据管理部门以数据访问为抓手，通过建设数据安全访问管理系统，一体化实现了对数据的访问控制、权限管控、动态脱敏和操作审计，大幅提升了大数据平台的安全防护能力，建设成果得到了网信部门的高度认可。

　　项目需求

　　该头部券商多年来长期位列十大券商之一。该券商成立了专门的数据管理部门来管理海量的业务数据，实现数据治理及数据应用服务。随着数据的持续汇聚和应用的不断增加，数据库访问的安全风险不断累积。为了有效提升数据安全管控能力，数据管理部门提出建设数据库安全访问管理系统，主要实现4个核心功能：

　　1）实时访问控制：能够实时管控不同数据开发团队/运维团队的数据中台访问，包括认证、阻断、限时、数据源控制等；支持两种模式访问：通过SQL窗口手动操作访问和通过接口对接访问，应支持SPI/API/SPS等多种接口模式，满足不同开发语言需求。

　　2）动态权限管控：支持按照个人身份进行动态权限管控，支持数据资源权限、操作类型权限、返回数量权限等不同维护进行权限管控；支持对象、表、列级细粒度控制；支持按照批量及流程“一事一议”的模式进行动态控权。

　　3）数据动态脱敏：数据展现或者提取支持动态脱敏。支持智能识别脱敏数据、自适应脱敏算法、智能增量扫描等方式标注脱敏数据；导出数据也支持同步脱敏要求；提供水印、加密等辅助功能进行数据防泄漏保护。

　　4）操作审计追溯：实现对操作行为的审计和授权追溯。支持通过人名、组织、部门、资源、schema、对象名、操作行为、SQL语句、IP地址等十多个维度快速定位操作；支持通过操作追溯授权及工单等信息；满足审计信息导出等合规要求。此外，还需要数据库安全访问管理系统能够支持GaussDB(DWS)、CDH(Hive、impala）、华为MRS(hive\sparksql\hetu)等大数据平台、数据仓库等的兼容适配，满足信创兼容要求，支持与周边系统对接，提供通用API，并满足操作流程闭环要求；要求支持不少于100个人同时在线使用要求，页面响应速度不超过3s。

　　解决方案

　　在本项目中，有两种技术解决方案：

　　方案一：数据库网关技术。即对数据库安全管理使用数据库网关；数据库访问操作仍然使用数据库自带客户端工具，由网关进行操作权限管控。方案二：数据库云客户端技术。即实现管控与操作一体化，用户登录一个软件界面即可实现操作需求和管控需求，直接替换原有的数据库客户端工具。经过POC测试比较，考虑到方案一存在操作不闭环、密码管理风险、数据仓库兼容性风险、数据库自带客户端功能性能欠缺以及系统整体使用管理复杂性等因素，该券商最终选择方案二建设本项目。整体项目的功能体系如下：

　　功能体系图

　　1）使用西骏数据DataCaptain数据管理部门通过双因子等方式实现登录身份认证及基于身份进行访问控制，满足在不同时间段、不同资源情况下的访问控制；针对Java、Python等开发场景分别提供API、SPI等接口，满足该券商开发团队接入要求。

　　2）使用西骏数据DataCaptain支持按照组织架构来实现数据访问权限分配及动态权限管控，既减轻运维人员的工作量，也实现了权责一致，支持按照“业务必需”+“最小可用”方式动态授权。

　　3）西骏数据DataCaptain支持集成化的动态脱敏、水印防拍、导出加密、查导分离、不落地传输等数据安全管控技术，确保数据“可查不可见，可见不可导、可导不可改”等数据访问、传输、存储要求，全方位提升了数据访问安全性。

　　4）支持高性能操作审计。西骏数据DataCaptain数据库安全访问管理系统支持秒级审计返回和“点”对“点”的精准定位，支持多种场景化的审计和反向追溯能力，可以便捷追踪人员操作行为及授权信息。除此之外，平台全面纳管了数据管理部门的各类数据库/数据仓库，实现了与身份认证、流程系统的对接，实现了数据资源权限管理的迁移，并与开发团队进行了接口调试，确保新建系统融入到数据门户，实现SSO跳转。

　　应用效果

　　迄今为止，该系统已经纳管大数据平台数据库实例20个；注册用户数超过110人，实时在线人数超过30人；共对接API接口3个；SPI接口1个，数据库直连访问数量下降到零。通过数据库安全访问管理系统的建设，该券商在技术上有力保障了数据资源的安全性；在管理上提升了数字化运营能力；在效率上大幅提高了数据开发、测试、运维人员的效率；在成本上减少了大量客户端工具的采购、安装、学习、使用、犯错成本；在体验上为每个数据相关人员提供了一个个性化的、便捷的可信数据操作空间，拉平了不同数据库SQL窗口的功能、风格差异，让数据管理/开发工作更有吸引力。

　　获得荣誉

　　本项目的建设内容被上海市网信办入选网络数据安全风险评估典型案例：《网络数据安全风险评估 |(6) XX证券股份有限公司：<数据安全探索与实践——风险评估与安全建设的双向提升》。该文认为：“...数据库安全访问管理系统建设，通过该系统可以实现权限管理、动态脱敏、操作审计功能，使得业务人员查看敏感数据时有完善的脱敏规则和管控机制，极大地减少数据泄露风险。”，选为沪上金融机构的参考案例之一。

　　关于DataCaptain

　　西骏数据的数据金盾安全管控平台(DataCaptain）是西骏数据自主研发的、业内领先的数据库访问管理平台。DataCaptain以Web-based SQL Editor为基础，自主开发Summer® SQL解析器，集成NLP、ACL、动态脱敏、反向索引、低代码等技术，为客户提供统一数据库接入、统一身份认证、统一资源管理、统一权限管控、统一防泄漏、统一操作审计、统一运维工具箱等强大功能，同步提升多元混合数据库管理的效率和安全性。与传统C/S数据库客户端相比，DataCaptain具有通用、安全、开放、智能、好用的特点，是数据库管理工具信创替换的不二选择。DataCaptain已经完成了超过40种各类数据库的兼容，18种周边工具的对接和7大类30多种信创产品的适配，满足即插即用、分布式部署、自动化升级、多活灾备切换、信创组件替换等实战化要求。只有用，才有用。西骏数据DataCaptain迄今为止已经服务于300多家客户，接入数据库实例累计超过60,000个，使用人数超过24,000人，保护资产规模超过30万亿。

　　关于西骏数据

　　北京西骏数据科技股份有限公司是一家专注于数据库管理工具平台开发的高科技软件公司，核心业务是为客户提供数据金盾安全管控(DataCaptain）系列软件，包括数据库云客户端、数据库云堡垒、数据库云API、数据访问管理云服务（DAMS）等。西骏数据是国家认定的高新技术企业、北京市“专精特新”企业、瞪羚企业、信创会员单位、证监会备案信息技术企业、2022年高科技高成长企业和北京市创新基金支持企业。公司总部位于北京，在上海、深圳、广州、天津、南京、武汉、长沙、西安、南宁、南昌、银川、乌鲁木齐等地有分支机构或者办事处。服务客户包括金融、企业、政府、医疗等领域的数百家头部机构，典型客户包括：中国平安、上海农商、深圳农商、华泰证券、中金公司、广发证券、易方达基金、中信金融资产、工业和信息化部、国家税务总局、南方电网、中国移动、飞鹤奶粉等。