證券行業涉及股票、債券、基金等金融產品的發行、交易和監管，業務具有數據規模大、數據價值高、數據應用場景復雜的顯著特點，其中高速流轉的業務系統中含有海量的客戶個人信息、交易、行情、咨詢等高敏感高價值信息。由于證券期貨業務場景所具有的特殊性與復雜性，也使得監管側對于證券行業的數據安全和系統可控性要求更為嚴格。

根據2023年證監會發布的《證券期貨業網絡和信息安全管理辦法》，監管對證券行業的數據庫安全管理有明確的要求，如：“必須全面記錄并妥善保存業務日志和系統日志，以滿足故障分析、內部控制和調查取證的需要”、“采取包括網絡隔離、用戶認證、訪問控制、策略管理、數據加密等在內的安全保障措施，以防范信息泄露和損毀”、“必須采取數據脫敏和加密措施，以加強對投資者敏感個人信息的保護”等。

對于券商企業來說，證券市場的交易數據、投資者信息得到嚴格的保護，才能確保市場的公平、公正和穩定。然而，券商往往在開發運維環節有著大量的外協、項目合作以及自身龐大的運維管理人員會接觸到這些敏感信息。規范數據庫運維權限管理，構建體系化的數據安全防護與管理體系，對于證券期貨業而言重要且緊迫。

某大型券商數據庫賬號與管理權限治理案例

以某大型券商為例，該證券公司數據庫類型主要以?SQLserver、Oracle、MySQL、達夢數據庫等為主，數據源?300?多個，同時采用?Hadoop?、Hive?構建數據湖倉，由于開發、測試、業務運維、數據庫運維等業務需要，經常直接訪問數據庫的人員數百人。公司內部業務系統數量眾多，各業務系統相互獨立且數據不斷更新，由于歷史原因，公司的?IT?系統大都由多個廠商的異構系統組成，隨著?IT?系統越來越多，各個系統之間的關聯關系日漸復雜，改造難度也相應增加。為了進一步支持業務更好應對持續變化的復雜性，該證券公司對數據庫賬號安全與權限管理展開了治理工作，主要面臨如下痛點問題：

01 數據庫賬號密碼多人共享使用，無法實現專人專戶

該證券公司為了防止不同團隊之間賬戶共享導致的運維風險和事故，根據業務需求將數據庫賬戶類型主要分為應用系統賬戶、運維賬戶、數據采集查詢賬戶與業務人員查詢賬戶等四大類。由于缺乏專業人員的定期維護，很容易出現同一團隊多人使用同一數據庫賬戶進行訪問操作的行為，數據庫賬戶密碼被多人共享使用，造成賬戶密碼本身存在泄露風險。

02 非授權訪問敏感數據，導致數據泄露風險

由于數據庫賬戶和權限只分配到各部門業務系統，而非細粒度到具體人員，業務/運維人員都能使用高權限管理員數據庫賬戶進行操作，導致數據訪問人員（包含離職人員以及流動的外包人員）存在非工作場所訪問、未授權訪問、越權訪問數據庫表中敏感數據的行為。一方面，由于缺乏敏感數據識別與風險監測等保護措施，造成敏感數據在訪問過程中過度暴露；另一方面，缺乏敏感數據訪問控制機制，易造成“內鬼”盜取交易數據獲利等數據泄露風險。

03 高危操作行為不可控，存在數據損毀風險

該證券公司現有的數據庫運維管控方案是使用傳統的系統堡壘機、虛擬桌面，和通過跳板機等安全設備進行基礎的準入控制，對于數據庫的操作權限依舊是依賴 DB 的賬戶密碼權限體系，數據庫特權賬戶會帶來相應的安全隱患，一旦出現高危指令操作、誤操作、惡意操作、非工作時間訪問核心業務庫表等行為，現有的技術方案難以進行事中阻斷。如果沒有數據備份措施，可能會造成難以挽救的數據損壞風險。

04 安全審計能力不足，存在數據安全管理違規風險

由于缺乏權限清晰、具體管控到人的數據庫訪問權限與管控機制，造成該證券公司的運維操作與業務操作權限混淆，堡壘機設備的錄屏審計日志難以對某個具體的 SQL 語句進行快速檢索和分析，同時缺乏對敏感數據的精準識別和字段標記，導致管控策略缺乏實際依據。依據監管要求，證券期貨業需建立數據安全風險防控機制，并定期進行數據安全審計，確保數據安全管理措施的有效實施，該券商現有安全設備和技術手段無法實現對運維操作行為的準確監控和精準審計，一旦出現安全風險事件，難以取證和精準溯源，更難以滿足監管合規要求。

該券商在知痛尋解的過程中，對內部現有流程不足與市場主流數據安全方案進行了充分調研，通過綜合對比對現有數據庫類型的兼容性、業務代碼的改動性、成本高低以及方案的可擴展性，該大型證券公司最終選擇引入原點安全一體化數據安全平臺 uDSP 來構建體系化的數據安全管理平臺，來滿足數據庫賬號管理與權限管控需求，降低數據泄露風險。

以“敏感數據”為中心的一體化數據安全保護策略

針對該證券企業運維場景中數據庫共享賬戶、特權賬號、高危數據操作等數據安全風險，以及數據安全審計合規難等典型問題，原點安全一體化數據安全平臺?uDSP?基于?IPDR?理念，從敏感數據的發現、識別、保護、監督到治理的一體化協同保護措施，以“敏感數據保護”為核心，實現一個管理平臺即可實現數據安全治理與數據庫安全管控的能力，保障數據使用的高效與安全。

數據庫運維場景典型部署方案

具體而言，針對該大型證券公司的痛點問題，uDSP 具備如下典型優勢：

01?實時的一體化敏感數據目錄

通過納管多源異構的數據源形成統一視圖，全面覆蓋敏感數據，基于主動探測與被動發現雙引擎識別技術，依據數據安全分類分級標準，自動構建實時、可視化的敏感數據目錄；同時，內置證券行業敏感數據分類模板和數據特征規則，支持自定義識別規則及人工協同稽核修正，將證券企業數據分類分級成果無縫銜接一體化數據保護技術措施。

02?無縫的數據庫共享賬號治理

針對該證券企業數據庫賬號共享、高危操作、風險行為難以定位等問題，通過使用數據庫訪問用戶認證代理能力，用戶使用 uDSP 創建的代理賬號和訪問憑據即可訪問數據庫，無需暴露數據庫的真實賬號和訪問憑據。同時，無縫銜接原有的數據庫運維管理工具，不改變數據庫運維人員的使用習慣，有效解決數據庫賬號共享問題。

03?細粒度數據訪問權限管控

針對券商已有傳統堡壘機難以管控敏感數據操作行為的問題，uDSP 可根據業務情況自定義數據集以及用戶/用戶組、敏感數據類型、安全級別來配置訪問控制策略，進而允許、拒絕或告警特定用戶對特定數據集的訪問，可有效阻斷高風險 SQL 指令的執行，幫助企業實現數據訪問的最小授權。

04?自適應的敏感數據動態脫敏

基于敏感數據目錄實時聯動一體化動態脫敏策略，可實現數據訪問過程的動態脫敏，當數據庫表增加新的敏感數據字段，無需更新策略即可即時生效。平臺內置二十多種常用脫敏算法，可根據數據業務場景配置脫敏算法和脫敏規則組合，支持脫敏還原、數據庫返回行數限制、行過濾等能力。

05?高危指令阻斷和分析告警?

uDSP 平臺內置訪問控制（ACL ）策略組，支持 SQL 語句級的訪問控制，可針對高危指令、性能消耗、鎖定操作、SQL 注入、漏洞攻擊等行為進行自動識別，識別后可按照提前預置的策略去進行相應告警與阻斷。同時，針對特定的語句指令可以在數據智能中心（DIC）?看板中進行相應的指標定制，在不影響證券行業業務開展的原則下，進行關聯分析告警。

06?自助式數據門戶助力業務協同

uDSP 設有單獨的數據門戶，基于數據門戶解耦數據管理者和數據使用者的工作視圖，實現數據安全管理的業務協同。通過數據門戶，數據使用者可清晰地看到自己對不同數據源的訪問權限，具體操作權限、以及相應權限的時效范圍。其次，數據使用者可通過數據門戶靈活發起對未授權數據集合的訪問權限，一旦授權申請獲得批準/拒絕，相應的訪問策略將自動更新以允許/拒絕訪問。

07?全鏈路數據安全審計和敏感數據訪問實時監測

uDSP 平臺通過應用探針組件，有效地關聯前端賬戶到后端的操作，形成統一的日志模型。全面實時記錄數據訪問路徑和敏感數據上下文信息，動態構建由業務應用、API、原點用戶、數據庫賬號、訪問接入點、敏感數據類型等節點組成的流轉軌跡，同時可呈現位置、時間、次數等關聯信息。支持自定義敏感數據訪問監督看板，實現全鏈路的數據安全審計能力。

08??定制化的數據安全風險監測與分析

以統一的數據安全審計日志為基礎，uDSP 提供可定制化的交互式分析工具，開展多維量化數據安全風險監測，提高數據安全風險事件追蹤溯源效率；高效支撐證券行業數據安全合規內審、安全應急響應、實戰演練活動。

09? “兩地三中心”分布式部署，集中統一管控

基于 uDSP 產品的分布式軟件架構，該證券公司選擇在同城雙活和異地災備三個數據中心各部署一套數據訪問控制器 DAC 集群，在總部部署統一管理控制臺，集中納管三套 DAC 集群。這種貼源部署架構既保證了本地數據中心數據庫訪問的高性能，又能夠集中統一管控數據安全策略，提高了數據安全管理的效率。

小結

數據安全作為一項系統性、體系化建設工程，是證券行業安全合規及風險防范的必由之路。?該大型證券公司通過引入原點一體化數據安全平臺 uDSP，以敏感數據資產保護為核心，對數據庫運維場景中的風險進行了深入分析與全面的安全管控措施落地。通過這些措施，該大型證券公司實現了數據安全風險的有效降低，確保企業敏感數據的安全、有序流通。此外，uDSP 一體化平臺的兼容性、可拓展性及成本效益，為該大型證券公司構建了穩固的數據安全底座，進一步完善了數據安全框架體系，形成可持續的數據安全運營能力，保障企業業務的長期穩定運行。