一、项目背景

随着大数据行业应用高速发展，数据资产已成为企业竞争力的关键，金融机构数字化转型是当下金融发展的趋势，然而近年来频繁出现数据泄露相关新闻报道，国家层面不断升级数据安全管理要求，并于2021年9月1日正式施行《中华人民共和国数据安全法》。中国人民银行、银保监会也对商业银行明确提出了加强数据安全管理。企业数据安全管理需符合国家标准、国内标准及行业标准，接受监管机构的检查和审计；同时企业内部风险管控、数据共享等需求，使得可靠的数据存储、安全的挖掘分析、严格的运营管控成为大数据时代下的刚需。

在此背景下，我行于2022年启动了运维数据安全管控项目，用以提高运维数据流转中的数据全生命周期安全防护能力，实现数据资产的安全运用和精细化风险防控，保证数据库运维过程中的数据安全与数据防泄漏重要防护，进一步支撑业务安全运行。

二、项目目标

我行运维数据安全管控平台在满足内外部需求的基础上，从运维数据生命周期的数据收集、数据处理、数据分析、数据可视化、数据存储和数据报告几个阶段出发，针对生产环境数据库运维账户权限控制、敏感数据实时动态清洗、数据分类分级、访问行数控制、高危敏感SQL语句管理等功能，当用户进行高危操作或者越权访问时予以阻断控制，结合数据分类分级结果，针对不同敏感等级的数据自定义采取不同的防护措施。针对业务临时数据提取或第三方单位临时数据需求，通过敏感数据实时清洗导出脱敏后数据，减少人工处理工作量及确保源数据安全，避免源数据泄露。

针对我行开发测试环境，满足业务系统的功能验证、压力测试、数据建模及分析等数据需求，实现由ITSM流程驱动，自动化从生产环境获取数据并实施敏感数据批量清洗，将生产源数据变形处理和降维后，联动同步至开发测试环境，全流程原始数据不落地，保证源数据在流转过程中不存在泄露风险。

三、项目方案

根据功能和主要部署区域，我行运维数据安全管控平台分为实时管控和批量清洗两个子系统。主要功能设计如下：

1.实时管控子系统

实时管控子系统主要为满足运维人员在生产环境访问及使用数据需求，及运维数据从生产环境向办公环境流转需求，部署于生产环境，主要功能及数据流向如图1所示：

权限管控：参考DB/T 35273-2020《信息安全技术 个人信息安全规范》要求，对数据库运维人员，应建立小且必要的授权原则，使其只能访问职责所需要的数据信息，且具备职责所需的小数据操作权限。所有运维人员操作数据库时，需进行多维身份认证，通过安全客户端，一键登录数据库，源数据库的端口、ip等信息通过反向代理映射，隐藏真实的源数据库信息。在运维操作方面，运用运维人员的身份特征，来控制使用者的操作权限，高危操作（update、delete、drop等）、特权操作全程进行监控和实时阻断；在网络方面，通过管控前置机到数据库的访问关系，禁用除了实时管控系统可登录数据库，其他途径禁止使用。

敏感数据发现及动态清洗：通过内置基础敏感数据发现字典和我行内部数据发现规则定义要求，全方位扫描和分析我行内部数据库的敏感数据，低代码可视化识别敏感字段，结合我行数据资产运营管理平台数据分级分类结果，自动将数据字段分为敏感区和非敏感区，运维人员访问数据时，查看敏感数据，返回的值是脱敏后的数据值，有效防止敏感数据在流动中泄露的问题。

流程联动：审批流程是临时快速授权操作的重要节点，正常运维需要进行高危操作或者特权操作时，联动流程工单系统生产权限申请工单，经领导审批通过后才可继续执行。

数据可视化：根据监管要求，记录所有用户对数据库的操作行为，包括用户名、客户端程序名、执行语句的时间、执行的sql语句、操作对象等内容，能对其行为进行全程细粒度的审计分析，自动化生成风险分析报表。

2.批量清洗子系统

批量清洗子系统为满足运维数据从生产环境向开发测试环境流转需求，同时部署于生产环境及开发测试环境，主要功能及数据流向如图2所示：

敏感数据标识：通过同步实时管控子系统数据资产标识，明确生产数据库敏感字段，确保敏感数据标识统一管理；

敏感数据自动清洗：通过流程工单系统数据使用申请，审批通过后自动按申请内容触发生产库源数据以库到文件的方式进行清洗脱敏，且指定脱敏生成的数据文件指向FTP文件服务器，通过网闸进行单向数据文件的传输，传输到测试环境和准生产环境中进行数据同步。脱敏算法应包含分段随机映射、分段遮盖、固定映射、SHA1加密、MD5加密、SHA256加密、AES对称加密、RSA非对称加密、SMS4加密、匹配替换、数据水印等，保证数据的安全性；

数据自动同步：测试环境中数据同步采用自动化同步方式，系统通过自动获取FTP上的数据文件，指向性同步到目标测试库中。数据由生产环境传输到测试环境中，原生产数据经过去标识化和数据降维处理后，才同步测试环境，保证原生产数据不落地、不泄露。 

四、创新点

1.精细化权限管控

以小化权限为原则，自动匹配该类数据资产集合安全策略，针对不同敏感性和重要性的数据，联动流程工单系统实现数据表数据表、字段、sql语句的细粒度、精细化的数据安全管理。减少人为策略配置出错的可能性，也有效地提高安全运营效率，促进数据资源在安全、合规的基础上使用和共享。

2.数据库资产隐形

运维人员使用自身身份+随机动态码，通过实时管控子系统代理地址及端口进行数据库运维，子系统通过分析网络流，在网络流中做真实数据库账号密码信息替换，以达到让数据库账号资产隐形，运维用户无需知道数据库真实账号及网络地址，因此也不存在账密泄露、弱口令等账号安全风险。

3.数据治理应用场景有效落地

利用本项目自动发现与识别敏感数据功能，结合我行数据治理相关要求，联动完善数据分类分级及敏感数据标识，终将数据资产运营平台数据治理及安全落标结果作为运维数据安全管控平台输入，根据数据治理情况限制生产数据查看及维护权限，从而促进数据治理工作快速推进，使数据治理工作不再局限于管理层面，有效落地。

4.数据清洗全流程自动化

实现生产环境向开发测试环境数据流转全流程自动化处理。数据流转及清洗任务和工单系统无缝衔接，工单驱动清洗任务，审批完成后自动创建敏感数据清洗作业，根据设定时间自动执行、暂停及跨网安全传输，整个过程不需要人工干预，状态变化实时推送微信信息。

五、技术实现特点及优势

运维数据安全管控平台整体采用集群部署方式，确保系统高可靠性，平台整体架构如图3所示：

技术架构方面：采用组件化、动态化的软件技术，利用一致的可共享的数据模型，致力于提高系统的灵活性、可扩展性、安全性以及并发处理能力。运维数据安全管控平台采用多层架构体系，将界面控制、业务逻

辑和数据映射分离，实现系统内部的松耦合，能够灵活、快速地响应数据变化对系统的需求。

安全架构方面：遵守银行规范及金融行业相关安全规范，实施国密算法。

物理环境方面：因我行生产环境与开发测试环境、准生环产境物理隔离，仅能通过网闸进行单向传输和访问控制，符合对物理环境约束情况下，敏感数据不落地。

六、项目过程管理

我行于2023年4月启动运维数据安全管控平台项目，5月完成项目一阶段产品投产试运行，7月完成行内对接系统编码、测试和上线准备，8月初整体投产运行。

七、运营情况

自项目投产以来，实时管控子系统放行SQL变更及维护 1120次， 阻断31次，真实数据工单查看申请268次；批量清洗子系统接入22套生产系统，创建36个清洗作业，处理数据量约100T。

八、项目成效

经过我行近半年对运维数据安全管控平台的建设及使用，对生产数据在运维过程中的数据采集脱敏、数据处理权限控制、生产环境到测试环境的数据脱敏同步、高危权限和违法操作实时监控阻断，保证了在运维过程中，数据全流程操作的监控可视、可查、可控；运维数据安全管理平台项目成效主要体现以下几点：

打通运维途径散、乱、多屏障，建立统一合规合法途径：把之前运维使用的多种通道逐步关闭，只保留运维数据安全管理平台作为***通道，统一了运维操作的节点通道，提高整个运维安全性，进一步提升运维操作中数据安全流动和合规合法的安全运维。

建立数据在生产环境和测试环境全流程自动化脱敏同步：生产环境和测试环境中间中间数据传输通过网闸设备FTP单向控制，生产环境到测试环境只允许脱敏后的文件副本传输流动。过去都是通过人工的方式进行手动脱敏和文件传输，现在基于运维数据安全管控平台，做到生产环境和测试环境全流程自动化脱敏同步，通过流程工单流程触发，即可完成生产环境到测试环境的数据脱敏和装载。保证原始数据只存在于生产环境中，同时极大减少开发和测试人员数据处理的工作量，提高工作效率和安全性。

运维工单全流程调度及管控：运维操作需使用工单系统进行任务调度，每个运维工程师都有身份权限，当需要运维的权限高于本身的权限，比如做敏感数据查询、高危操作等，需要进行工单审批，审核通过后才能进行下一步的运维工作；运维流程分权分控，满足合规的同时，加强整体运维操作的规范性和安全性。

九、经验总结

随着我行数字化转型工作不断加深，数据安全保护重视力度加大，建立完整数据全生命周期的安全防护是核心要素。在项目实施过程中，我行采取分阶段投产，以供应商产品进行一阶段投产试运行，在试运行过程中结合我行实际使用情况，完善项目需求，极大程度降低了项目需求不明确，定制化需求及行内系统对接开发工作反复等情况发生概率。未来我行将继续紧跟时代的步伐，持续加强数据生命周期的安全防护建设，充分发挥我行金融业务安全防护的能力和创新优势，为业务平稳运行和发展提供基础夯实的环境，助力银行业务的数据化转型和数据安全建设。