中國(guó)重汽：統(tǒng)一數(shù)據(jù)庫(kù)安全管控，打造數(shù)據(jù)安全“總指揮部”

中國(guó)重型汽車集團(tuán)有限公司（以下簡(jiǎn)稱“中國(guó)重汽”），前身是濟(jì)南汽車制造總廠，始建于1930年，是我國(guó)重型汽車工業(yè)的搖籃。1960年，生產(chǎn)制造了中國(guó)第一輛重型汽車——黃河牌JN150八噸載貨汽車，結(jié)束了中國(guó)不能生產(chǎn)重型汽車的歷史。

目前，中國(guó)重汽全系列整車、關(guān)鍵總成系統(tǒng)及關(guān)鍵技術(shù)均達(dá)到國(guó)內(nèi)領(lǐng)先水平，填補(bǔ)國(guó)內(nèi)多項(xiàng)空白，引領(lǐng)行業(yè)技術(shù)進(jìn)步。

回顧中國(guó)重汽崛起之路，科技創(chuàng)新始終是發(fā)展主線。這也讓中國(guó)重汽的數(shù)字化轉(zhuǎn)型之路走在了行業(yè)最前沿。隨著數(shù)字化系統(tǒng)的不斷建設(shè)，企業(yè)數(shù)據(jù)庫(kù)種類與數(shù)量持續(xù)增加。

為滿足業(yè)務(wù)快速發(fā)展與數(shù)據(jù)安全合法合規(guī)要求，中國(guó)重汽利用派拉軟件數(shù)據(jù)庫(kù)安全管控平臺(tái)，對(duì)集團(tuán)核心業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫(kù)進(jìn)行訪問平臺(tái)統(tǒng)一、身份驗(yàn)證、訪問控制、權(quán)限控制、數(shù)據(jù)脫敏、高危操作阻斷等安全管控，降低數(shù)據(jù)泄露風(fēng)險(xiǎn)，提高數(shù)據(jù)庫(kù)安全防護(hù)能力與效率。

01

數(shù)字化業(yè)務(wù)急速增長(zhǎng)

數(shù)據(jù)安全問題凸顯

業(yè)務(wù)量的急速增長(zhǎng)意味著數(shù)據(jù)風(fēng)險(xiǎn)也隨之上升。在構(gòu)建以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)進(jìn)程中，如何保障數(shù)據(jù)安全成為中國(guó)重汽當(dāng)前面臨的主要問題。具體表現(xiàn)為以下幾點(diǎn)：

02

一個(gè)平臺(tái)

筑起數(shù)據(jù)庫(kù)安全訪問全鏈路堡壘

為解決上述數(shù)據(jù)庫(kù)安全問題，滿足數(shù)據(jù)庫(kù)訪問安全服務(wù)要求，中國(guó)重汽攜手派拉軟件，借助派拉軟件數(shù)據(jù)庫(kù)安全管控平臺(tái)，打造集團(tuán)統(tǒng)一數(shù)據(jù)庫(kù)安全訪問與管控平臺(tái)，承擔(dān)起集團(tuán)數(shù)據(jù)安全“總指揮部”職責(zé)；

通過“5大統(tǒng)一建設(shè)”——統(tǒng)一人員訪問入口、統(tǒng)一數(shù)據(jù)庫(kù)客戶端、統(tǒng)一授權(quán)管理、統(tǒng)一數(shù)據(jù)保護(hù)、統(tǒng)一監(jiān)控審計(jì)，筑起數(shù)據(jù)安全訪問全鏈路堡壘。

整個(gè)平臺(tái)提供了集身份認(rèn)證、訪問控制、權(quán)限控制、高危操作阻斷、訪問時(shí)間、執(zhí)行次數(shù)、庫(kù)表權(quán)限、DML權(quán)限等細(xì)粒度數(shù)據(jù)庫(kù)訪問控制，數(shù)據(jù)查詢結(jié)果區(qū)水印，導(dǎo)出高敏感數(shù)據(jù)水印、敏感數(shù)據(jù)查詢/導(dǎo)出脫敏、數(shù)據(jù)操作審計(jì)記錄等功能于一體的安全管控；

有效防止企業(yè)內(nèi)部數(shù)據(jù)泄露、誤操作等帶來的數(shù)據(jù)危害，提升企業(yè)內(nèi)部數(shù)據(jù)操作效率與數(shù)據(jù)庫(kù)安全防護(hù)能力。

從人員、數(shù)據(jù)庫(kù)類型兩大維度進(jìn)行細(xì)粒度權(quán)限控制，支持?jǐn)?shù)據(jù)庫(kù)終端操作，可類比常見數(shù)據(jù)庫(kù)客戶端工具；支持庫(kù)表、表列權(quán)限、返回行數(shù)控制、訪問時(shí)間、執(zhí)行次數(shù)等細(xì)粒度權(quán)限控制，高危操作控制阻斷、未授權(quán)訪問阻斷；

結(jié)合用戶多因素認(rèn)證、對(duì)象最小權(quán)限控制、數(shù)據(jù)脫敏加密、導(dǎo)出水印、操作審計(jì)360度無死角防控，確保數(shù)據(jù)庫(kù)全鏈路安全訪問。

針對(duì)中國(guó)重汽數(shù)據(jù)庫(kù)敏感數(shù)據(jù)，平臺(tái)自動(dòng)掃描分析查詢結(jié)果數(shù)據(jù)，進(jìn)行分級(jí)分類，并支持二次編輯。掃描查詢過程中自動(dòng)應(yīng)用脫敏規(guī)則，查詢結(jié)果列數(shù)據(jù)脫敏展示與脫敏導(dǎo)出。

查詢跟導(dǎo)出權(quán)限分離，支持千萬(wàn)行級(jí)別的數(shù)據(jù)規(guī)模穩(wěn)定、快速導(dǎo)出，通過數(shù)據(jù)復(fù)制開關(guān)、水印功能，嚴(yán)格管控敏感數(shù)據(jù)可看不可復(fù)制，防止截屏、拍照，避免敏感數(shù)據(jù)流出。

針對(duì)實(shí)際業(yè)務(wù)需求，管理員可通過工單臨時(shí)提權(quán)，對(duì)脫敏字段進(jìn)行還原。此外，結(jié)合https證書加密數(shù)據(jù)傳輸，進(jìn)一步加強(qiáng)敏感數(shù)據(jù)安全管控。

平臺(tái)嚴(yán)格限制更新和刪除的影響行數(shù)，操作前需要進(jìn)行事前權(quán)限審核，確保數(shù)據(jù)庫(kù)不被誤操作。

整個(gè)數(shù)據(jù)庫(kù)訪問與操作管理過程，平臺(tái)數(shù)據(jù)庫(kù)訪問日志會(huì)完整記錄登錄用戶、客戶端IP、數(shù)據(jù)庫(kù)地址、庫(kù)名、SQL語(yǔ)句、影響行數(shù)、執(zhí)行結(jié)果、執(zhí)行時(shí)間、耗時(shí)等信息等詳細(xì)行為，確保每一個(gè)操作結(jié)果都能定位、追溯、責(zé)任到人，減少內(nèi)部作案或誤操作等安全事件發(fā)生。

審計(jì)過程中，針對(duì)異常SQL操作行為、關(guān)鍵流程動(dòng)作及系統(tǒng)運(yùn)行性能提供多項(xiàng)監(jiān)控與告警指標(biāo)，實(shí)時(shí)跟蹤人員操作情況和系統(tǒng)運(yùn)行情況并及時(shí)通知管理人員，方便管理人員及時(shí)掌握并快速介入處理，強(qiáng)化數(shù)據(jù)庫(kù)安全管理。

03

數(shù)百個(gè)數(shù)據(jù)庫(kù)統(tǒng)一安全訪問

管理使用更高效

隨著平臺(tái)建設(shè)的完成，中國(guó)重汽數(shù)百個(gè)數(shù)據(jù)庫(kù)，近15種類型的數(shù)據(jù)源全部適配接入平臺(tái)，實(shí)現(xiàn)企業(yè)數(shù)據(jù)庫(kù)“統(tǒng)一安全訪問、管理與高效使用”；

提供更安全的“實(shí)名制”訪問權(quán)限管控、數(shù)據(jù)脫敏保護(hù)、SQL變更工單和操作日志審計(jì)，防止越權(quán)訪問、高危操作和數(shù)據(jù)泄漏等，同時(shí)提升研發(fā)與DBA、運(yùn)維的數(shù)據(jù)操作與協(xié)作效率。

未來，企業(yè)其他新建數(shù)據(jù)庫(kù)還可以按照要求與標(biāo)準(zhǔn)快速接入平臺(tái)，實(shí)現(xiàn)集中化統(tǒng)一安全管控，持續(xù)為中國(guó)重汽數(shù)據(jù)安全保駕護(hù)航。