一、项目背景、目标及相关规划

1.项目背景

在推进辽宁农商银行数字化建设的过程中，敏捷高效的科技基础架构是重要支撑。数据库作为数字经济信息系统的基础支撑，其高效运维和管理是转型制胜的重要因素之一。辽宁农商银行正以“数据+技术+管理+价值”四轮驱动的理念，推动数字化与业务、服务的全面融合。但在现有数据库运维模式下，我行存在以下痛点问题：

首先是管理问题。我行使用着众多种类的数据库，数据库产品自身及标准规范的差异造成较高的维护管理复杂度。而且绝大多数数据库原厂都无法提供跨库的统一管理，更无法提供跨类型库的统一管理。传统的数据库管理模式下，监控告警、问题处置、性能分析等管理场景中的自动化程度较低，人工巡检模式效率低，日常无法做全量、全面的数据库健康检查，人工编写脚本检查对个人技术能力和经验要求高，且容易产生疏漏。专业DBA只能重点关注核心库，致使问题和故障的发现通常是事后型，无法实现全面的事前预防。

其次是管控问题。现有运维模式中数据库安全存在管控难、定责难、追溯难的问题，并有权限滥用、数据外泄及内部操作安全隐患等风险。主要体现在以下方面：首先缺乏针对数据库操作权限的精细化管控，权限管控颗粒度粗放，有可能出现审批和实际操作不符的情况，并在针对数据库的操作过程中，对于越权操作不能阻断、告警，对于高危操作，没有提醒和拦截能力，存在一定的操作风险；其次缺少操作记录及追溯机制，无法精确对实际操作用户的行为进行记录和分析，难以提供事后SQL语句级别的追溯；再次数据库管理无法统一，不同类型数据库使用不同的数据库连接工具，无法实现数据导出的审批流程控制，容易引发数据泄露风险。

最后是容量问题。业务增长带来的海量数据，需要更多的数据库资源来存储管理，这就不得不面临性能问题、资源浪费问题以及繁重的运维问题，而大多数问题都与性能容量有关。

面对数据库运行环境、架构复杂与数据安全的双重考验，辽宁农商银行搭建了一站式管理系统——“金信云数管”数据库安全管理系统。通过系统的建设，以往重复性的运维操作全部转变为系统来自动执行，运维操作标准化、自动化，既增强了数据库运维安全性，又降低了运维技术门槛，同时大大提升了运维效率。通过沉淀积累，数据库安全管理系统为复杂高速业务的开展提供了有力的技术支撑。围绕数据库架构转型和管理创新，辽宁农商银行引领金融应用现代化升级，实现了包括开发审核、安全管控、监控告警、变更运维等数据库全生命周期核心能力，构建安全、高性能、智能化的数据库全生命周期管理的生态系统。

2.项目目标

首先是强管理。与行内流程管理平台对接，集成机房进出、权限申请、数据库权限管控申请等为一体，实现全流程事前审批、事中管控和事后审计。实现数据库操作规范化和运维自动化、智能化、安全化。

其次是智运营。通过一体化的安装部署、监控告警、性能分析、自助巡检、变更运维等全生命周期管理能力，使得DBA、应用运维和开发人员通过“金信云数管”来规范操作，建立起数据库层面自动化、智能化运维的坚实框架基础，为银行的IT系统安全稳定运行提供有力保障，打造数据安全运营闭环。

还有是建团队。借助项目建设，打造“运营+数据+安全”专业数据库安全运营管理团队，借助引入专家经验、工具等赋能，通过安全管理过程可视化、流程可量化等沉淀数据库安全运营能力，提升数据库安全管理价值。

最后是保安全。以数据库安全管控系统建设为抓手，全面贯彻信息科技生产运营“双人复核、当日审计、确保安全”全面安全管理理念，保障生产环境全面安全管控和数据安全。

3.建设规划

根据我行当前实际情况，一方面已经基于传统数据库运营管理经验沉淀日常运维能力；另一方面，数据库类型较多、管理手段不够丰富，业务运营与数据库安全管理脱节，数据库安全运营经验欠缺且未能形成管理闭环，数据的完整性和准确性也有待完善。结合业内数据化运营体系建设经验，采取“分段建设，逐步迭代”的稳步推进方式开展实施工作。

第一阶段以外围非重保系统数据库为首要目标，提升统一资源监控管理能力，明确监控目标，将外围非重保系统数据库作为首要优化对象，是一个既实际又有效的策略。这样的策略可以更好地管理数据库资产，特别是在资源分配、性能监控、故障排查和预防性维护等方面。

第二阶段以重保系统数据库为重点目标，以数据库安全管控为切入点，实现细粒度的权限管理，是确保数据安全和业务连续性的重要步骤。

第三阶段逐步启动数据库安全管控体系，对数据库运行过程中的风险点进行实时监控和预警。最终实现风险发生前有效预警、发生时能够迅速响应，发生后能采取有效措施进行控制和化解。

4.业务功能

“金信云数管”数据库安全管理系统是融合数据库管理行业标准、最佳实践和专家知识打造的数据库全生命周期管理平台，主要包括以下业务功能：

数据库统一管理。“金信云数管”数据库安全管理系统已实现常用的二十多种数据库统一管理入口，实现行内所有类型数据库的统一归口管理，已建立和落地标准化、自动化和智能化的数据库安全运维管理体系。

数据库全生命周期管理。“金信云数管”数据库安全管理系统已实现数据库一站式全生命周期管理能力，全面覆盖数据库纳管、配置、操作、巡检和维护等全链路，实现数据库监控告警、性能容量分析、智能巡检、对象对比、自动化运维、备份恢复等数据库管理能力，满足用户对数据库的高效管理和运维需求，提升数据库管理的效率、稳定性和可靠性。

多维度监控管理。“金信云数管”数据库安全管理系统具备从宏观到微观的数据库管理体系，实现从数据库、集群、实例到用户、SQL语句、对象等不同维度的监控、分析和管理的能力，满足不同角色、用户在不同的场景下对数据库开发和场景管理需求。

全场景安全管理。“金信云数管”数据库安全管理系统为SQL执行从操作前、操作过程中到操作完成后的各个阶段实现了对应的安全机制，全程全方位为数据库安全保驾护航。实现数据库的库、Schema、表、可编程对象的多级授权、限时限量，权限类别包括：DQL、DML、DDL、DCL、TCL、可编程对象DDL、可编程对象执行、数据脱敏、WebTerminal等，满足客户多种安全需求，全面保障数据库操作安全。敏感数据自动扫描、人工确认，内置多种脱敏规则实现查询数据与下载文件动态脱敏，可自定义扫描规则和脱敏规则，配合敏感数据权限管理，降低敏感数据泄露风险。

SQL全生命周期管理。“金信云数管”数据库安全管理系统从SQL开发、自动审核、人工审批、备份、上线变更的全生命周期的SQL安全管控，规范化SQL语句的编写，管控SQL变更执行，降低由于SQL误操作带来的安全风险。“金信云数管”可依据数据库类型、业务需求、查询和变更操作需求，灵活配置各库的任务流程、SQL审核规则、审核阈值以及审批流程，并应用于开发、测试、生产等多种场景。

二、创新点

数据库安全管理能力建设是融合我行资源、要素、工具、方法论、协同和组织的全方位、一体化、全流程构建管理，并基于此对数据库安全管理能力进行全方位设计和实现。

1、流程安全

与我行运维一体化流程管理平台和堡垒机等多个系统对接，集成机房进出、权限申请、变更管控、数据库权限管控申请等为一体，实现事前审批、事中管控和事后审计全流程闭环安全管控。实现运维审批安全化和数据库操作规范化并满足监管要求。

2、事务自愈

按照数据库长事务和大事务自愈规则，以实际使用场景自定义自愈规则来实现调用运维功能处理数据库故障。自定义自愈规则以不同类型库的告警项和运维作业的关联以及参数映射。

执行方式分为“手动”和“自动+手动”。配置执行方式为手动时，自愈规则中配置的类型库触发配置的告警时，在告警管理页面点击对应的告警记录的“确认”按钮，可选择“手动确认”方式来调用运维任务处理该告警。配置执行方式为“自动+手动”时，在资源配置-资产配置-数据库配置-更多-监控配置打开目标库对应告警项的自愈开关后，该目标库若触发自愈规则中配置的告警，则会自动调用运维任务处理该告警；若未打开资源配置-资产配置-数据库配置-更多-监控配置页面该告警项的自愈开关，则只可通过“手动确认”方式调用运维任务处理告警。

3、监控告警

监控告警：采用无代理监控引擎，对数据库指标做全面专业的采集和存储，构建数据库状态的精准画像，通过多维度、多指标关联智能分析，精准及时形成告警，最后诊断和定位问题，实现闭环告警。

4、性能容量管理

性能容量管理：以可视化方式实现数据库性能容量管理，能够对多种不同类型数据库的不同架构进行性能和容量监控分析，让数据库DBA及时发现和定位性能和资源分配问题，提升业务系统性能和整体运维效能。

5、智能巡检

智能巡检模块实现了数据库资产健康度的实时检测能力。经过对日常巡检工作内容的总结提炼，该模块为多种数据库类型内置了丰富的核心巡检项；同时实现了便捷的零代码扩展框架，对巡检规则快速扩展、灵活调整；通过智能巡检，可按需高度灵活的定制巡检范围，随时触发并快速感知各资产的当前异常运行点和潜在风险项，以便运维工作的快速响应和提前预案，充分保障数据库持续稳定对外提供服务，极大地提升了巡检的效率和时效性。

6、数据库报表

目前“金信云数管”已实现各类报表：巡检报表、AWR 报告、ADDM 报告、ASH 报告等，同时实现自定义报表和多维度定时生成报表的自主定制。

7、自动化运维

内置功能丰富的脚本库，以图形化方式编排复杂的运维功能，快速建立起全面、标准的数据库自动化运维体系，提高数据库运维工作效率和质量，增强安全性以及监管合规性，同时有效降低运维成本和风险。

8、高效审批

“金信云数管”包含任务审批、下载审批、自定义审批、双人复核等多种审批场景，包括查询任务、变更任务能够根据配置进行灵活人工审批，在SQL窗口执行语句审批时可查看执行计划；查询结果下载、备份下载、查询工具结果下载，在没有下载权限的情况下，需要人工审批；同时具备创建自定义审批流程，配置各节点审批对象；实现高危SQL语句必须双人复核，确保系统安全。

9、信创支持

信创数据库的日常管理已成为我行信创改造和数字化转型中的关键问题。我行信创试点的应用系统越来越多，从办公应用、一般业务系统再到重保系统，对信创数据库的成熟度要求也越来越高，数据库的部署、使用、运维、数据管理过程中产生了不同的问题，这成为我行信创数据库管理的一大难题。除了对主流数据库的支持外，“金信云数管”已实现我行的国产数据库统一纳管，实现信创数据库落地应用的最后一公里闭环。

10、可视化

基于采集、分层、提炼的专业模型，“金信云数管”采集数据库基础设施的性能数据，为数据库性能状态精准画像，通过对数据库操作进行可视化改造，将专业的数据库操作命令转变为可视化运行流程，提升了运维操作跟踪审计和执行能力。

11、脱敏

已实现通过手动添加、自动扫描等多种方式设置敏感字段、配置脱敏规则，用户查询敏感字段时将相关字段脱敏展示。实现列表方式展示当前已做敏感字段列表。在数据导出时会自动匹配已配置的脱敏字段，保证导出数据脱敏安全。

三、项目过程管理

辽宁农商银行于2024年4月启动“金信云数管”数据库安全管理系统项目，过程分为四个阶段，各阶段详细描述如下：

第一阶段是设计开发阶段。历时33个工作日。完成了详细需求确认、各业务系统对接确认、国产化数据库接口开发、系统测试工作。

第二阶段是项目测试阶段。历时41个工作日。完成了系统编码、测试和上线前功能验证。系统正式上线前在开发测试区进行了近一个月的问题修改后平稳运行，各项资源的指标都在正常范围内运行。

第三阶段是部署试运行阶段。系统部署上线后，进行为期一个月的试运行。将外围非重保系统数据库作为首要接入和优化对象，同时完成管理员培训、用户培训及项目预验收等工作。

第四阶段是运行维护阶段。以重保系统数据库为重点目标，完成系统的日常运行维护、问题跟踪与处理、功能修改和完善以及与其它系统接口支持等工作。目前已纳管行内全部数据库应用370+，整体运行平稳。

四、运营情况

截至目前，“金信云数管”已完成对行内全量数据库的全支持与全纳管，实现了故障预警、故障快速处置、智能诊断、知识库、审计分析、数据脱敏、任务审批等功能。同时，通过对接行内运维一体化系统、安全审计堡垒机、CMDB、用户统一认证系统、数据中心资源监控系统、应用系统监控、运维大屏、运维整合分析平台等系统，建立了完整的数据库生命周期管理体系，降低了数据库运维门槛，规范了日常运维操作，满足日益严格的监管合规，在数据库管理规范化、标准化、流程化上取得显著成效。系统日均登录用户130+，日均审批300+，双人复核170+，日均阻断异常SQL执行600+，敏感信息脱敏7000+。

五、项目成效

项目完成后成效显著，一方面是安全性提升。“金信云数管”通过标准化配置、全面监控、事前审批、定期巡检等手段，对80%问题防患于未然；另一方面是管理闭环。通过实时告警、性能分析、快速处置等功能，快速发现、定位和解决问题，保障业务稳定运行，打造安全管理闭环；最后是机制成型。通过根因分析、指标和规则完善、知识库完善等措施，不断完善数据库管理体系和规范，实现自动化和智能化的数据库管理机制。

实现我行数据库风险管理前移。从运维操作层面看从以往事后追责变为事前风险提示和高危行为阻断，从系统层面看把未知风险转变为已知风险，便于风险管理和处置，将问题和隐患解决在萌芽之中，提升系统安全稳定运行。

实现跨类型数据库的统一管理。“金信云数管”使我行实现统一的数据库管理入口，实现了对同类型但不同部署架构的数据库、跨类型数据库（包括关系型数据库、非关系型数据库、分布式数据库）在一个数据库安全管理系统上就能完成所有数据库的监控和运维管理，解决了我行的痛点问题。同时，也构建了符合我行自身发展的统一化、规范化的数据库管理体系和技术力量。

实现我行完整的数据库性能容量管理。“金信云数管”已实现完整的性能容量监控方案，如工作负载、内存缓存、锁、日志、SQL 采集分析、容量使用情况、监控巡检、告警及通知等，实现及时发现业务系统和数据库的问题，以便于及时解决问题和隐患。

六、经验总结

对数据库安全管理系统建设的探索和实践，进一步整合了数据库资产，提升了数据库统一安全管理能力，深化了对数据库的理解和应用。接下来，我行将持续推进数据库安全管理系统的构建，不断提升数据库的安全性、管理效率和流程审批效率。首先不断完善安全策略与标准；其次不断深化自动化与智能化，引入更多的自动化技术，减少人工干预，提高效率和准确性；最后持续的监控和优化，实施全面的监控策略，对数据库性能、安全状况和用户行为等进行实时监控和管控。定期进行性能评估和安全审计，识别潜在的问题和瓶颈，并采取相应的优化措施。整个项目完成后总结有以下几点：

项目团队成员要有明确的分工。在数据库管控项目建设的整个过程中，大到各个阶段小到每个工作包都有明确的分工，每个团队成员明确各自的具体职责范围，在项目生命周期中分工协作。

随时保持有效沟通交流。沟通在数据库管控项目的建设过程中起着至关重要的作用，团队成员之间应该随时保持沟通，相关交集性工作的协调和联动，各自工作的进度以及工作中遇到的问题等等，都需要团队成员之间紧密的联系，团队之间要形成信息共享的工作氛围，让每个团队成员都能及时的了解到团队的方向，准确的做出有利于整个团队的决策，从而有效提高团队工作效率。

持续跟踪项目进度。数据库管控项目工作进度的保证是所有项目工作的基础，每次变更迭代的工作一定要确保能够在计划内完成。进度出现偏差时要及时的定位造成偏差的原因，制定切实可行的解决方案，并采取必要的措施对原项目进度计划进行调整或修正，以此来实现项目最优工期。

重视用户的反馈。“金信云数管”在推广过程中重视并及时跟踪用户反馈，明确用户在系统使用过程中遇到的问题场景，并给出具有针对性的解决方案，尽快满足用户的要求，提高用户体验。

未来，我行将持续以科技驱动为创新点，加强数据库领域前沿技术实践，发掘创新业务场景，做好数字化金融大文章，为我行数字化转型巩固坚实的科技基础。同时继续引领金融应用升级，通过各类运维安全场景的深耕细作，实现数据在业务创新、安全可控和服务提升上发挥更大价值。