客戶證言
“傳統(tǒng)堡壘機(jī)等數(shù)據(jù)安全技術(shù)手段已經(jīng)難以滿足中國重汽數(shù)字化業(yè)務(wù)快速發(fā)展步伐。數(shù)據(jù)規(guī)模的指數(shù)級增長、數(shù)據(jù)類型的復(fù)雜多樣、數(shù)據(jù)庫的不斷新增......這些都給集團(tuán)數(shù)據(jù)庫安全管控帶來了新的挑戰(zhàn)。
派拉軟件數(shù)據(jù)庫安全管控平臺提供的數(shù)據(jù)庫統(tǒng)一訪問、認(rèn)證、授權(quán)、數(shù)據(jù)脫敏、審計等綜合能力,為中國重汽打造了全新的數(shù)據(jù)安全“總指揮部”,一站式解決中國重汽面臨的數(shù)據(jù)安全問題。”
中國重型汽車集團(tuán)有限公司(以下簡稱“中國重汽”),前身是濟(jì)南汽車制造總廠,始建于1930年,是我國重型汽車工業(yè)的搖籃。1960年,生產(chǎn)制造了中國第一輛重型汽車——黃河牌JN150八噸載貨汽車,結(jié)束了中國不能生產(chǎn)重型汽車的歷史。
目前,中國重汽全系列整車、關(guān)鍵總成系統(tǒng)及關(guān)鍵技術(shù)均達(dá)到國內(nèi)領(lǐng)先水平,填補(bǔ)國內(nèi)多項空白,引領(lǐng)行業(yè)技術(shù)進(jìn)步。
回顧中國重汽崛起之路,科技創(chuàng)新始終是發(fā)展主線。這也讓中國重汽的數(shù)字化轉(zhuǎn)型之路走在了行業(yè)最前沿。隨著數(shù)字化系統(tǒng)的不斷建設(shè),企業(yè)數(shù)據(jù)庫種類與數(shù)量持續(xù)增加。
為滿足業(yè)務(wù)快速發(fā)展與數(shù)據(jù)安全合法合規(guī)要求,中國重汽利用派拉軟件數(shù)據(jù)庫安全管控平臺,對集團(tuán)核心業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫進(jìn)行訪問平臺統(tǒng)一、身份驗證、訪問控制、權(quán)限控制、數(shù)據(jù)脫敏、高危操作阻斷等安全管控,降低數(shù)據(jù)泄露風(fēng)險,提高數(shù)據(jù)庫安全防護(hù)能力與效率。
01
數(shù)字化業(yè)務(wù)急速增長
數(shù)據(jù)安全問題凸顯
業(yè)務(wù)量的急速增長意味著數(shù)據(jù)風(fēng)險也隨之上升。在構(gòu)建以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)進(jìn)程中,如何保障數(shù)據(jù)安全成為中國重汽當(dāng)前面臨的主要問題。具體表現(xiàn)為以下幾點:
1
數(shù)據(jù)庫管理工具復(fù)雜多樣
集團(tuán)信息化與數(shù)字化系統(tǒng)建設(shè)多達(dá)數(shù)百個,帶來的數(shù)據(jù)庫類型越來越細(xì)分,數(shù)據(jù)庫管理工具復(fù)雜多樣,需頻繁安裝和切換平臺。
內(nèi)部連接數(shù)據(jù)庫的方式更是復(fù)雜多樣,且訪問數(shù)據(jù)庫人員眾多,缺乏統(tǒng)一的數(shù)據(jù)庫訪問管理入口,無法針對用戶操作數(shù)據(jù)進(jìn)行統(tǒng)一管理。
2
賬號權(quán)限濫用風(fēng)險日益凸顯
內(nèi)部數(shù)據(jù)庫操作前沒有嚴(yán)格的身份認(rèn)證和細(xì)粒度的權(quán)限劃分,存在高權(quán)限賬號共用、權(quán)限過大等問題,容易發(fā)生越權(quán)操作等違規(guī)行為。一旦權(quán)限失控被惡意使用,容易給集團(tuán)帶來巨大的安全威脅。
此外,數(shù)據(jù)庫賬號往往由多名操作人員共享,具體操作行為難以定位到個人,且極易造成賬號密碼傳播泄漏,帶來數(shù)據(jù)庫數(shù)據(jù)泄露風(fēng)險。
3
涉及版權(quán)與破解漏洞風(fēng)險
中國重汽使用的堡壘機(jī)更多內(nèi)嵌了市面上主流數(shù)據(jù)庫管理工具,如PL/SQL、Navicat等收費軟件,存在版權(quán)問題的同時,各種破解工具也含有潛在病毒、木馬等高危風(fēng)險,亟需全面清除暗藏危機(jī)。
4
敏感數(shù)據(jù)泄漏風(fēng)險暗藏
終端安全防護(hù)的技術(shù)手段極為有限,訪問終端存在諸多安全隱患,普遍存在數(shù)據(jù)泄漏風(fēng)險。而集團(tuán)對于人員訪問數(shù)據(jù)庫數(shù)據(jù),還存在敏感數(shù)據(jù)未及時脫敏等現(xiàn)象,帶來敏感數(shù)據(jù)信息泄漏風(fēng)險。
5
傳統(tǒng)數(shù)據(jù)庫安全審計乏力
隨著數(shù)字化轉(zhuǎn)型升級,中國重汽仍采用傳統(tǒng)數(shù)據(jù)庫審計產(chǎn)品,存在對數(shù)據(jù)庫協(xié)議重復(fù)解析、解析不準(zhǔn)確、長語句拆分解析等問題,導(dǎo)致日平均審計記錄達(dá)幾百萬條,行為記錄數(shù)量大且無法保證準(zhǔn)確性。
運(yùn)維人員無法針對數(shù)據(jù)庫審計產(chǎn)品提供的行為記錄進(jìn)行有效分析與溯源,嚴(yán)重影響運(yùn)維效率與安全事件的追溯分析和定性,還容易滋生篡改拖庫風(fēng)險。
02
一個平臺
筑起數(shù)據(jù)庫安全訪問全鏈路堡壘
為解決上述數(shù)據(jù)庫安全問題,滿足數(shù)據(jù)庫訪問安全服務(wù)要求,中國重汽攜手派拉軟件,借助派拉軟件數(shù)據(jù)庫安全管控平臺,打造集團(tuán)統(tǒng)一數(shù)據(jù)庫安全訪問與管控平臺,承擔(dān)起集團(tuán)數(shù)據(jù)安全“總指揮部”職責(zé);
通過“5大統(tǒng)一建設(shè)”——統(tǒng)一人員訪問入口、統(tǒng)一數(shù)據(jù)庫客戶端、統(tǒng)一授權(quán)管理、統(tǒng)一數(shù)據(jù)保護(hù)、統(tǒng)一監(jiān)控審計,筑起數(shù)據(jù)安全訪問全鏈路堡壘。
整個平臺提供了集身份認(rèn)證、訪問控制、權(quán)限控制、高危操作阻斷、訪問時間、執(zhí)行次數(shù)、庫表權(quán)限、DML權(quán)限等細(xì)粒度數(shù)據(jù)庫訪問控制,數(shù)據(jù)查詢結(jié)果區(qū)水印,導(dǎo)出高敏感數(shù)據(jù)水印、敏感數(shù)據(jù)查詢/導(dǎo)出脫敏、數(shù)據(jù)操作審計記錄等功能于一體的安全管控;
有效防止企業(yè)內(nèi)部數(shù)據(jù)泄露、誤操作等帶來的數(shù)據(jù)危害,提升企業(yè)內(nèi)部數(shù)據(jù)操作效率與數(shù)據(jù)庫安全防護(hù)能力。
1
統(tǒng)一數(shù)據(jù)庫訪問平臺
建立多云異構(gòu)數(shù)據(jù)庫統(tǒng)一訪問平臺,替代傳統(tǒng)桌面數(shù)據(jù)庫開發(fā)工具,簡單易用。根據(jù)中國重汽實際需求,平臺已完成Mysql、Oracle、SQLServer、DB2、Hive、PGSQL、Mariadb等數(shù)十種數(shù)據(jù)庫適配,實現(xiàn)一個平臺、一個入口快速安全訪問管理所有數(shù)據(jù)庫和不同數(shù)據(jù)庫類型。
2
全鏈路細(xì)粒度安全訪問
從人員、數(shù)據(jù)庫類型兩大維度進(jìn)行細(xì)粒度權(quán)限控制,支持?jǐn)?shù)據(jù)庫終端操作,可類比常見數(shù)據(jù)庫客戶端工具;支持庫表、表列權(quán)限、返回行數(shù)控制、訪問時間、執(zhí)行次數(shù)等細(xì)粒度權(quán)限控制,高危操作控制阻斷、未授權(quán)訪問阻斷;
結(jié)合用戶多因素認(rèn)證、對象最小權(quán)限控制、數(shù)據(jù)脫敏加密、導(dǎo)出水印、操作審計360度無死角防控,確保數(shù)據(jù)庫全鏈路安全訪問。
3
數(shù)據(jù)脫敏水印安全管控
針對中國重汽數(shù)據(jù)庫敏感數(shù)據(jù),平臺自動掃描分析查詢結(jié)果數(shù)據(jù),進(jìn)行分級分類,并支持二次編輯。掃描查詢過程中自動應(yīng)用脫敏規(guī)則,查詢結(jié)果列數(shù)據(jù)脫敏展示與脫敏導(dǎo)出。
查詢跟導(dǎo)出權(quán)限分離,支持千萬行級別的數(shù)據(jù)規(guī)模穩(wěn)定、快速導(dǎo)出,通過數(shù)據(jù)復(fù)制開關(guān)、水印功能,嚴(yán)格管控敏感數(shù)據(jù)可看不可復(fù)制,防止截屏、拍照,避免敏感數(shù)據(jù)流出。
針對實際業(yè)務(wù)需求,管理員可通過工單臨時提權(quán),對脫敏字段進(jìn)行還原。此外,結(jié)合https證書加密數(shù)據(jù)傳輸,進(jìn)一步加強(qiáng)敏感數(shù)據(jù)安全管控。
4
事前審核與行為全審計
平臺嚴(yán)格限制更新和刪除的影響行數(shù),操作前需要進(jìn)行事前權(quán)限審核,確保數(shù)據(jù)庫不被誤操作。
整個數(shù)據(jù)庫訪問與操作管理過程,平臺數(shù)據(jù)庫訪問日志會完整記錄登錄用戶、客戶端IP、數(shù)據(jù)庫地址、庫名、SQL語句、影響行數(shù)、執(zhí)行結(jié)果、執(zhí)行時間、耗時等信息等詳細(xì)行為,確保每一個操作結(jié)果都能定位、追溯、責(zé)任到人,減少內(nèi)部作案或誤操作等安全事件發(fā)生。
審計過程中,針對異常SQL操作行為、關(guān)鍵流程動作及系統(tǒng)運(yùn)行性能提供多項監(jiān)控與告警指標(biāo),實時跟蹤人員操作情況和系統(tǒng)運(yùn)行情況并及時通知管理人員,方便管理人員及時掌握并快速介入處理,強(qiáng)化數(shù)據(jù)庫安全管理。
03
數(shù)百個數(shù)據(jù)庫統(tǒng)一安全訪問
管理使用更高效
隨著平臺建設(shè)的完成,中國重汽數(shù)百個數(shù)據(jù)庫,近15種類型的數(shù)據(jù)源全部適配接入平臺,實現(xiàn)企業(yè)數(shù)據(jù)庫“統(tǒng)一安全訪問、管理與高效使用”;
提供更安全的“實名制”訪問權(quán)限管控、數(shù)據(jù)脫敏保護(hù)、SQL變更工單和操作日志審計,防止越權(quán)訪問、高危操作和數(shù)據(jù)泄漏等,同時提升研發(fā)與DBA、運(yùn)維的數(shù)據(jù)操作與協(xié)作效率。
未來,企業(yè)其他新建數(shù)據(jù)庫還可以按照要求與標(biāo)準(zhǔn)快速接入平臺,實現(xiàn)集中化統(tǒng)一安全管控,持續(xù)為中國重汽數(shù)據(jù)安全保駕護(hù)航。