某银行数据安全建设实践

某银行是一家由地方财政、企业和个人参股组建的地方性、股份制商业银行。多年来该银行始终坚持“服务地方经济、服务小微企业、服务城乡居民”的市场定位。

用户现状：

• 某银行数据库数量众多，数据操作人员涉及的部门科室众多，目前配置了堡垒主机，缺乏数据库级别和数据对象级别的安全管理措施。

• 操作数据相关人员众多：运维科、软件科、运行科、应用支持科、外包人员等。

• 配置一台堡垒主机,为便于集中管理多台主机，设置多个堡垒前置机（虚拟机）。运维人员先通过堡垒主机认证，后登陆各个堡垒前置机，登录各个主机。

安全需求：

• 实现数据操作层面的安全管控；

• 实现数据库运维安全管理；

解决方案：

敏感数据安全一站式解决方案。

深度融合数据库防水坝和堡垒机，实现从主机到数据库、从数据库至数据表的集中安全管控。

数据库防水坝部署：反向代理模式

(1) 防火墙上，禁用原数据库登录端口（比如：1521），开放新的代理端口。

(2) 堡垒前置机上，修改数据库连接串地址为数据库防水坝的代理ip和端口。配置各个数据库连接串，数据库相关流量逻辑上需要通过数据库防水坝设备。

(3) 堡垒前置机上，安装数据库防水坝安全客户端：数字软证书，实现认证管理。

为数据操作人员分配企业身份，安装数字证书，所有操作将关联到真实的人。

数据操作人员，登录数据库前，通过软证书先输入登录信息。

(4) 定义资产集合，发现并梳理敏感资产表格。重新定义资产访问控制策略，打破数据库天然权限体系。

美创数据库防水坝部署图

美创数据库防水坝安全管理能力：

(1) 实现数据动态脱敏

如：“运维科dba管理员fqz”禁止访问敏感资产表，访问数据结果都是动态脱敏过的数据。

(2) 实现工单审批授权管理

如：后台处理数据时，流程规定需要走正式工单审批流程，有监视留痕的前提下才能执行。通过工单审批功能，可以实现电子化的审批流程，语句执行前后实现审批、授权、监视和跟踪。 

(3) 实现数据库登录管理

如：“用户cmy”只能访问信贷数据库和网上银行数据库。

(4) 实现数据表格的操作访问管理

如：“应用支持科用户mxj”对于敏感资产表拥有只读权限，但禁止ddl和dml操作、禁止新建用户、禁止删除用户操作。

(5) 实现DBA管理员等大权限管理

如：拥有DBA权限的数据操作人员，仍无法访问敏感资产表。

(6) 实现危险操作防范管理

如：“软件科人员mcy”拥有所有表格的增删改权限，甚至DBA权限，但无法执行truncate table操作、无法执行全表delete table操作。

方案亮点：

数据动态脱敏；

误操作防范；

大权限安全管控；

工单流程审批；