面向项目运维的异构数据安全管控方法、系统、设备及介质与流程

本发明涉及数据安全，具体地说是一种面向项目运维的异构数据安全管控方法、系统、设备及介质。

背景技术：

1、随着信息技术的迅猛发展和数字化转型的深入推进，数据已成为现代组织的核心资源。然而，数据量的爆炸性增长和复杂度的提升，使得数据安全防护面临前所未有的挑战。传统的数据安全解决方案往往局限于数据加密、访问控制等单一环节，缺乏全面性和协同性，难以应对复杂多变的数据安全威胁。此外，不同数据库系统之间的异构性也增加了数据管理的难度，使得数据安全和一致性保障变得更为复杂。

2、故如何实现全面、协同及高效的数据安全防护，提高数据安全防护的整体效能和效率是目前亟待解决的技术问题。

技术实现思路

1、本发明的技术任务是提供一种面向项目运维的异构数据安全管控方法、系统、设备及介质，来解决如何实现全面、协同及高效的数据安全防护，提高数据安全防护的整体效能和效率的问题。

2、本发明的技术任务是按以下方式实现的，一种面向项目运维的异构数据安全管控方法，该方法具体如下：

3、梳理定义数据库安全防护平台角色及职责：通过对项目日常数据安全运维的场景梳理，完成数据库安全防护平台角色、用户及职责的定义，奠定数据库安全防护平台权责划分的基础；

4、构建异构数据库适配引擎，完成对数据的全面统管；

5、建设用户体系、统一数据访问入口；

6、精细化数据权限管控；

7、数据操作预警策略配置；

8、数据操作事中介入管理；

9、数据操作事后审计。

10、作为优选，数据库安全防护平台定义的角色包括平台级角色和租户级角色两大类；其中，平台级角色包括平台运营管理员和平台运维管理员；租户级角色包括对应项目下的运营管理员、安全管理员、审计管理员、运维管理员及普通用户；

11、数据库安全防护平台定义的用户包括信息中心主任、平台建设方、数据防控平台运维团队、业务处室客户、项目经理、平台运维主管、实施人员、测试人员及开发人员；

12、其中，信息中心主任和平台建设方在事前进行权限等级管理、授权管理、权限审批及流程设计，在事中和事后进行审计管理和运行分析；

13、数据防控平台运维团队在事前进行系统初始化、权限配置、组织机构维护、租户级项目维护、租户初始账户维护及流程配置，在事中和事后进行审计管理和平台运维；

14、业务处室客户在事前进行项目权限管理及权限审批，在事中和事后进行项目级审计管理及运营分析；

15、安全管理员下的项目经理在事前进行项目权限管理、权限审批；

16、审计管理员下的项目经理在事后进行项目级审计管理(事故追责)；

17、审计管理员下的平台运维主管在事中和事后进行项目级审计管理(行为分析、流程优化、风险规避、辅助事故追责)；

18、平台运维主管在事前进行项目人员初始化、权限配置、数据库接入、数据保护策略配置、任务配置(备份任务等)、数据管理及配置文件管理，在事中进行项目数据运行维护、性能监控、性能诊断及数据操作审批(高危操作)，在事后进行数据恢复；

19、实施人员在事前进行项目部署实施及数据实施(ddl及dml)；

20、测试人员在事前进行项目上线前验证及数据查询；

21、开发人员在事前进行数据操作(ddl及dml)及配置文件修改。

22、作为优选，在构建异构数据库适配引擎前，先对目标数据库进行调研和分析，了解其数据格式、存储结构以及访问接口的信息，再根据收集到的信息，设计和开发面向不同数据库的专属适配器(dataadaptor)，通过异构数据适配引擎对不同适配器的调度，实现与各种不同类型的数据库进行连接和通信；异构数据适配引擎用于实现数据库驱动的封装和标准化，使得数据库安全防护平台能够以一种统一的方式管理和操作各种数据库，并进行对于不同数据类型、数据库产品进行灵活扩展；最后通过异构数据适配引擎将目标数据库纳入数据库安全防护平台的管理范围，实现数据资源的统一管理和控制；

23、构建异构数据库适配引擎，完成对数据的全面统管具体如下：

24、脚本下发机制：

25、(1)异构数据适配引擎支持将sql脚本或其他数据库操作脚本转化为可在目标数据库上执行的格式；

26、(2)使用数据库连接池技术管理和复用数据库连接，提高脚本执行效率；

27、(3)引入任务调度框架，如quartz，实现脚本的定时下发；

28、结果查询：

29、(1)设计一个结果存储机制：使用数据库或缓存系统存储脚本执行结果；

30、(2)提供api接口，允许用户根据脚本id及执行时间的条件查询执行结果；

31、(3)对于超过设定阈值个数的数据的查询，考虑使用分页及索引技术优化查询性能；

32、权限配置下发：

33、(1)设计一个统一的权限配置模型，兼容不同数据库的权限体系；

34、(2)实现权限配置的下发逻辑，将配置转化为对应数据库可识别的权限设置语句；

35、(3)提供api接口，允许管理员通过api接口进行权限配置的批量下发；

36、用户角色权限数据查询：

37、(1)异构数据适配引擎维护一个用户角色与权限的映射关系表；

38、(2)提供api接口，允许用户根据用户名及角色的条件查询权限数据；

39、(3)考虑使用缓存技术减少数据库查询次数，提高查询效率；

40、监控信息收集：

41、(1)设计监控指标：数据库连接数、执行效率及错误率；

42、(2)实现监控数据采集逻辑，定时从目标数据库收集相关指标数据；

43、(3)将监控数据存储在数据库或时间序列数据库中，方便后续分析和告警；

44、数据库配置下发：

45、(1)设计一个统一的数据库配置模型，能够覆盖不同数据库的配置项；

46、(2)实现配置下发逻辑，将配置转化为对应数据库的配置设置语句；

47、(3)提供api接口，允许管理员通过api接口进行配置的批量下发和修改；

48、作为优选，建设用户体系，统一数据访问入口具体如下：

49、回收多余账号，统一访问入口：接入各类数据库后，面向研发和运维人员，收回的数据库访问账号，通过数据安全防护平台账号访问数据库，统一访问入口；

50、统一数据访问途径：通过配置白名单的方式，限定各类应用数据库的访问ip，仅授权业务系统主机以及安全防护平台主机访问数据，断绝其他数据库访问途径，规范数据库访问；

51、异常访问强制中断：实时获取所有数据库连接池信息(datasourceconnec tion)，针对未授权访问的连接，通过配置策略进行强制关闭。

52、作为优选，精细化数据权限管控具体如下：

53、分级授权机制：依据定义的用户角色以及职责，建立分级授权机制；并通过权限树或权限矩阵分配数据库管理操作、数据对象、数据访问类目下的一个或多个权限节点；

54、细粒度权限管理：通过对数据集、敏感数据类型和安全级别的配置实现细粒度的权限控制；例如，对于某些高度敏感的数据集，可能只有特定角色或经过特别授权的用户才能访问；而对于其他数据集，则可以根据业务需要自定义访问控制策略；

55、数据操作预警策略配置具体如下：

56、根据项目实际运维管理和数据使用要求，定义一套灵活且全面的安全策略，安全策略包括访问控制、操作限制及敏感指令规则；并根据安全策略配置预警、审核、控制和备份机制；

57、敏感指令规则是事前预警的核心，通过分析和识别sql语句中的删除、修改敏感操作，实现对高危操作的感知和预警；当检测到未授权的高危操作时，采取直接阻断的方式防止数据损失；对于已授权的高危操作，通过高亮提醒并经过用户手动确认后执行；

58、事前预警还具有提供了在线sql编辑功能，支持跨多数据源的高级sql编辑器，提高数据操作的效率和安全性；

59、其中，在执行已定义的高危操作时，数据库安全防护平台将用户的脚本预执行，并反馈用户确认，确认通过后，将修改前的数据存储至oss对象存储进行备份，预防误操作后进行数据回溯，随后执行脚本，记录日志。

60、更优地，数据操作事中介入管理具体如下：

61、实时监控纳管数据库的运行状态，数据库的运行状态包括性能指标、连接状态及错误日志；

62、通过收集和分析数据库的运行状态数据，及时发现异常和潜在风险，并通过告警通知管理员进行干预；此外，还进行持续的性能监控和多维度性能优化；

63、通过在线调整数据库配置参数、慢sql识别、索引推荐及sql重写优化，提升数据库的性能和稳定性；同时，提供可视化拓扑功能，帮助运维人员快速定位异常以及关联的潜在影响；

64、在隐私数据保护层面，通过配置脱敏规则，实现针对与不同角色、权限用户的数据动态脱敏，保护数据隐私安全；

65、数据操作事后审计具体如下：

66、构建异构数据操作审计磨料，记录和存储所有数据库操作的日志信息，所有数据库操作的日志信息包括操作时间、操作类型、操作对象及执行结果；

67、通过审计报表功能对所有数据库操作的日志信息进行分析和总结，生成详尽的运维报表，详尽的运维报表用于帮助运维人员了解数据库操作的分布情况、用户行为模式以及潜在的安全风险；

68、进行以数据库对象和用户为角度的独立审计；

69、通过查看指定数据库对象的操作记录和用户权限信息以及指定用户的数据库操作记录和用户拥有的访问权限等信息全面了解数据库的使用情况和安全状态；

70、通过审计数据可视化功能将多维度的审计数据以图表形式展示，帮助用户快速分析审计数据发现异常或潜在的安全风险。

71、一种面向项目运维的异构数据安全管控系统，该系统包括异构数据库适配模块、数据操作事前预警模块、数据操作事中控制模块和数据操作事后审计模块；

72、其中，异构数据库适配模块用于实现与不同数据库系统的连接和适配，以统一管理异构数据库；

73、数据操作事前预警模块用于在数据操作执行前，根据预设的安全策略进行预警分析，防止潜在的安全风险；其中，数据操作事前预警模块还具有敏感指令识别功能，用于识别和预警潜在的高危操作指令；

74、数据操作事中控制模块用于在数据操作过程中，实时监控数据库的运行状态，进行性能优化和异常处理；其中，数据操作事中控制模块还具有动态脱敏功能，用于在数据操作过程中实现数据的动态加密和脱敏；

75、数据操作事后审计模块用于记录和分析数据操作的日志信息，实现数据操作的审计和追溯。

76、作为优选，该系统还具有如下功能：

77、①支持根据业务情况自定义数据集、角色、敏感数据类型和安全级别，以配置访问控制策略；其中，访问控制策略包括允许、拒绝或告警特定用户对特定数据集的访问请求；

78、②提供可视化拓扑功能，用于展示数据库的连接状态和性能指标；

79、③提供在线sql编辑功能，用于支持跨多数据源的高级sql编辑器。

80、一种电子设备，包括：存储器和至少一个处理器；

81、其中，所述存储器上存储有计算机程序；

82、所述至少一个处理器执行所述存储器存储的计算机程序，使得所述至少一个处理器执行如上述的面向项目运维的异构数据安全管控方法。

83、一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序可被处理器执行以实现如上述的面向项目运维的异构数据安全管控方法。

84、本发明的面向项目运维的异构数据安全管控方法、系统、设备及介质具有以下优点：

85、(一)本发明旨在通过集成异构数据库适配、数据操作事前预警、事中控制以及事后审计等多个模块，实现对数据安全的全面、协同和高效防护；

86、(二)本发明还支持根据业务情况自定义数据集、角色、敏感数据类型和安全级别，以配置访问控制策略，包括允许、拒绝或告警特定用户对特定数据集的访问请求；本发明还提供可视化拓扑功能、在线sql编辑功能等，提升数据操作的效率和安全性；

87、(三)本发明具有全面覆盖数据生命周期、多维协同防护、操作高效准确、灵活可配置以及事后审计追溯等优点，为组织提供了更加全面、高效和可靠的数据安全防护解决方案；

88、(四)本发明不仅集成了异构数据库适配、数据操作事前预警、事中控制以及事后审计等多个关键模块，还通过先进的算法和机制，为组织提供了从数据接入、操作执行到事后审计的全面安全防护；具体而言，本发明涉及数据库连接管理、安全策略配置、实时监控与性能优化、数据脱敏、审计日志记录与可视化等多个子领域，旨在通过技术创新提高数据安全防护的整体效能，降低数据泄露和误操作风险，确保组织业务的连续性和数据安全；

89、(五)本发明能够全面集成多种数据安全防护功能，并实现多维协同防护的技术平台，已成为行业迫切的需求。通过集成异构数据库适配、数据操作事前预警、事中控制以及事后审计等多个模块，构建一个全面、协同、高效的数据安全防护体系，对于提高数据安全防护的整体效能和效率具有重要意义；

90、(六)本发明实现了对于异构数据安全防护平台的构建，通过集成异构数据库适配、数据操作事前预警、事中控制以及事后审计等多个模块，实现了对数据安全的全面、协同和高效防护；在实际应用中，本发明可以提高数据安全防护的整体能力和效率，降低数据泄露和误操作风险，确保组织业务的连续性和数据安全；

91、(七)全面覆盖数据生命周期：本发明涵盖了数据接入、操作执行、事后审计等多个环节，实现了对数据安全的全面防护，这种全周期性的保护确保了数据在其生命周期内的安全性，降低了数据泄露和非法访问的风险；

92、(八)多维协同防护：通过集成异构数据库适配、数据操作事前预警、事中控制以及事后审计等多个模块，本发明实现了多维度的协同防护，这种协同工作能够确保不同模块之间的信息互通和协同作战，提高了数据安全防护的整体效能和效率；

93、(九)提高操作效率和准确性：事前预警和事中控制模块通过智能分析和实时监控，能够及时发现潜在的安全风险，并提供相应的预警和控制措施，可以减少人工审核和操作的工作量，提高操作的准确性和效率；

94、(十)灵活可配置：本发明支持根据业务情况自定义数据集、角色、敏感数据类型和安全级别来配置访问控制策略，这种灵活性使得组织能够根据自身需求进行定制化的安全配置，更好地满足业务发展的需求；

95、(十一)强化事后审计和追溯：事后审计模块通过记录和存储操作日志，能够对数据库操作进行全面审计和追溯，有助于发现潜在的安全事件和违规操作，为后续的安全分析和事故处理提供了重要依据。