鄞州银行：基于国产化基础架构的数据安全管控执行平台

来源：2024年度全国农村金融机构科技创新优秀案例评选

获奖单位：鄞州银行

荣获奖项：信息安全创新优秀案例

一、项目背景

随着银行业务的不断发展和国产化改造的不断深入，鄞州银行内部数据库的种类和数量都在持续增加，包括传统关系型数据库 Oracle / Informix / MySQL / DB2，还有国产数据库 OceanBase / TDSQL/ GBase 以及大数据平台 Cloudera 等，未来可能还会引入云上的数据库。面对越来越复杂的数据库环境，再加上逐年扩大的研发团队以及不断增加的外包驻场人员，给数据安全管控带来了前所未有的挑战。传统的“堡垒机+客户端”模式已无法满足运维中心对于数据的监管控需求，主要体现在几个方面：

1.直连数据库需要分发账号和密码，账号共用或混用问题很普遍，导致数据权限不清晰，数据控权不灵活。

2.数据库类型太多，不得不使用多种不同的客户端工具，导致功能、交互不统一，且版权问题日益凸显。

3.传统客户端工具无法做到查导分离，且不具备数据脱敏能力，数据查询、分发时容易泄露。

4.生产库数据修改和数据提取流程没有形成闭环。流程审批走线上OA系统，而实际SQL执行则走线下堡垒机和客户端。不仅存在审计盲区，而且缺少对SQL的审核、风险校验等环节，容易出现数据误改误删等现象。每次数据修改需要人工进行数据备份，效率低下。

5.传统堡垒机录屏审计模式效率低，无法快速筛选并识别违规的用数行为，更无法基于审计视频做运营分析，提前发现潜在的风险。

因此，鄞州银行引入了新一代的基于国产化基础架构的数据安全管控执行平台，并和行内OA系统、文档云系统都进行了深度对接，构建了一套安全、合规、高效的数据管控体系，实现多个用数场景事前、事中、事后的全链路管控。

二、项目方案

引入数据安全管控执行平台，鄞州银行统一内部数据库的访问入口。一方面，通过定制开发，将数据安全管控执行平台与OA系统、文档云系统深度对接，分别打通了生产环境数据修改和数据提取两个重要流程，形成OA审批、SQL校验、数据备份、SQL执行、数据导出、数据分发的闭环。另一方面，通过具有身份认证、数据控权、动态脱敏、高危操作拦截、查导分离、SQL审计等一系列安全特性的SQL编辑器，在保证SQL开发效率的前提下，实现生产环境的用数安全。

三、创新点

这套全新的数据安全管控体系，在不同环境多个用数场景下都体现了诸多创新性。

1.用数前

1)用数过程“一人一号”。通过执行平台为每个用户创建自然人账号，利用源端IP黑白名单、双因子认证等“零信任”机制，实现用数前身份认证。

2)数据库账密零接触。执行平台可托管数据库账号密码，用户访问前无需再输入账密。不仅解决了账号混用问题，还回收了数据库中大量僵尸账号。

3)“管”、“用”、“审”权限分离。根据不同岗位职能，提前分配功能权限以及数据权限。实现数据库、Schema、表等不同粒度的精细化控权，确保不同人员在不同场景下“最小权限”原则落地。

4)自动回收高权账号。可按需临时赋予高权账号，用完自动回收，避免高权限账号被滥用。

5)自助式SQL审核。执行平台内置上百条审核规则，包括语法、性能、开发规范等多个方面。在执行SQL之前，用户可以一键自助审核，根据审核结果和建议来自行优化SQL语句，这大大减轻运维团队人工审核的工作量。

6)简洁易用的SQL编辑器。执行平台提供了一款基于Web的SQL开发编辑器，无需本地安装，打开浏览器即可使用。其良好的兼容性覆盖了行内所有类型数据库，为研发、测试团队提供了一致的、接近传统客户端工具的SQL开发体验。

2.用数中

1)高危操作拦截。通过内置的拦截规则，可动态识别Drop/Truncate，全表更新/删除等典型的高危操作，在执行过程中直接拦截，确保“合法”权限“合法”使用。

2)查导权限分离。查询结果的数据导出和复制权限可以单独授予，做到“查导”和“查拷”权限分离，进一步切断生产数据导出或拷出的途径。

3)查导动态脱敏。执行平台内置丰富的敏感数据识别规则以及金融业数据分级分类模板，可通过扫描任务自动发现数据库中的敏感字段，并根据字段特征配置不同的脱敏算法，在用户查询或导出过程中实现动态脱敏，进一步防止数据泄露。

4)临时提权。对于权限范围之外的操作，执行平台提供了完整的工单系统，可直接提交工单，经过人工审批后，临时提权。操作完成后临时权限自动回收。

5)数据自动备份。根据提供的执行SQL反向自动生成备份语句，产生数据备份纪录。提高数据备份的效率，为紧急情况下的数据恢复提供有效支撑。

3.用数后

1)用数行为审计到人。执行平台将自然人作为用数行为主体来记录审计日志，每一条SQL语句、每一次数据导出都会通过结构化的日志数据留痕。审计人员可以通过不同维度快速筛选想要的审计数据。

2)审计数据运营分析。执行平台提供了丰富的审计大盘，利用大盘中的指标，可提前识别用数过程中的异常或违规行为。比如可以统计某个用户在一段时间内每天执行查询语句的频次，如果频次突然增加，则该用户可能有盗取数据的可能性。

4.数据修改和数据提取

1)对接OA形成闭环。通过定制开发，将OA系统与执行平台对接，打通生产环境数据修改和提取两大常见流程，实现线上流程闭环。将流程发起 -> SQL编写 -> SQL审批 ->数据备份-> SQL执行流程转到线上，全程审计到人，规避审计盲区。

2)数据修改前风险评估。利用执行平台提供的SQL审核能力，在流程中引入事前风险评估环节。通过语法对象校验以及影响行数预估，帮助研发人员提前判断数据修改语句的准确性，提高语句质量，降低数据误删误改的风险。

3)取数文件自动分发。通过和鄞州银行内部的文档云系统对接，从执行平台导出数据后，直接将文件通过接口上传至文档云，取数人员收到通知后可自行登录文档云下载数据文件。通过简化文件分发路径，有效减少业务数据经手人，进一步降低数据泄露风险。

四、技术实现特点及优势

1.兼容国产化基础架构

数据安全管控执行平台兼容国产化基础架构。如下图所示，执行平台的硬件采用了基于海光c86架构的服务器，后台服务部署在麒麟v10操作系统上，其中元数据库则使用国产分布式数据库TDSQL。

打开网易新闻 查看精彩图片

2.微服务架构

平台采用了微服务架构，后台服务组件化，每个服务都可以分离部署。在鄞州银行的生产环境中，由于需要纳管的数据库数量较多，为了提升平台的可用性，我们不仅使用了高可用的部署模式，而且将其中一部分组件进行了分离部署。如下图所示，部署了多个数据库解析服务组件，对数据请求进行了分流。

打开网易新闻 查看精彩图片

五、项目过程管理

鄞州银行于2023年12月启动数据安全管控执行平台项目，与2024年5月23日完成系统编码、测试和上线，经过2个月的内部试运行，已于8月初开始推广对接全行（含24家村镇银行）所有数据修改、数据提取流程和统一数据库工作台，总体运行稳定。

六、运营情况

我们在生产环境和开发测试环境分别部署了一套数据安全管控执行平台。截止2024年9月份，执行平台生产环境已纳管 381 套数据库。

数据安全管控执行平台和 OA 系统以及文档云进行了对接，通过更安全合规高效的流程，应用于生产数据修改和数据提取。以下是该场景的部分运营指标：

截至2024年09月，通过数据安全管控执行平台完成数据修改的工单数为1050个，其中涉及Oralce数据库的工单数量为339个，涉及MySQL / TDSQL 数据库的工单数量为486个，涉及OceanBase数据库的工单数量为59个，涉及Informix数据库的工单数量为165个，涉及Hive数据库的工单数量为1个。在1050个工单之中，失败或驳回的数量为20个。利用执行平台提供的事前风险评估，已帮助研发团队人员多次识别出数据修改语句的问题和高危风险，有效避免数据修改操作风险。

七、项目成效

项目成效主要体现在以下三个场景：

场景1：生产环境数据修改

OA系统和数据安全管控执行平台对接后，不仅使整个生产数据修改流程形成闭环，而且还利用执行平台的SQL审核能力引入了风险校验的环节。整体业务流程如下图所示：

打开网易新闻 查看精彩图片

从上线以来，多次通过风险校验提前帮助研发人员识别出数据修改语句的问题。比如，在某次数据修改工单中，研发人员原本更新表中的一行数据，但经过影响行数预估后，执行平台提示他写的update语句会更新两行数据。进一步检查发现，是该update语句的where条件写得不合理导致的。通过提前校验，及时有效地避免了误改的风险。

场景2：生产环境数据提取

数据安全管控执行平台除了和OA系统对接之外，还和内部的文档云除了数据修改流程之外，取数流程同样也形成了闭环。原先的取数流程中，数据导出以及数据文件的流转和分发需要经手多个环境和人员，不仅效率低，存在泄露风险，而且责任不清晰。在新的取数流程中，不仅将取数流程的审批、执行、导出等环节全部搬到线上，而且会将导出的数据文件直接发送到文档云，由文档云通知取数人员自行获取，省掉了运维中心人员需要接触业务数据的环节，不仅大大降低数据泄露风险，而且使得数据的权属变得清晰。

场景3：统一数据库客户端

鄞州银行目前正处在国产数据库替换周期中，所以内部得数据库种类很多，包括关系型数据库 Oracle / Informix / MySQL / OceanBase / TDSQL 以及大数据平台 Cloudera。在原来的管控模式下，由于传统客户端工具的兼容性问题，行内使用了4 – 5 种不同的产品来连接不同的数据库，有商业的，也有开源的。不同的工具在功能、交互以及兼容性方面都不一致，会给使用人员带来额外的学些成本，同时版权问题也日益突出。目前，在生产环境和开发测试环境，行内通过数据安全管控执行平台提供的基于 Web 的 SQL 开发编辑器，统一了所有不同类型数据库的连接方式，无需在本地安装不同的客户端工具，打开浏览器就能访问数据库，做到access anywhere。并且，运维中心在执行平台上将不同岗位人员的权限提前进行了划分，确保在不同的数据访问场景下都遵循“最小权限”原则。

八、经验总结

鄞州银行内部的国产化改造已进入深水区，基于国产化基础架构的数据安全管控执行平台所打造的数据库管控体系，不仅是对数据库生态工具国产化改造的一次探索，也是面对日益严峻的数据安全挑战时的一次实践，让运维中心对于不同部门的用数行为有了更强的把控力。接下来，我们会基于实践过程中的案例，以及执行平台上沉淀的审计数据，不断梳理行内不同场景下的用数需求，在安全合规的前提下，持续提升用数效率，完善用数规范。

更多金融科技案例和金融数据智能优秀解决方案，请在数字金融创新知识服务平台-金科创新社案例库、选型库查看。