项目背景
某国有大型银行数据中心运维人员每天都要承担各个系统的数据维护工作,现实情况存在多种安全操作风险。各类系统涉及数据库IP地址繁多,运维人员通过人为方式直接登录测试环境与生产境进行操作,难以避免操作不当等风险;数据变更的脚本分散存放在各个系统的数据库本地,存在被再次操作的风险;数据变更的双人复核流程由人为控制,无法确保变更过程的可稽核性;
为确保应用部数据维护工作的正确性、高效性,计划搭建数据变更平台,将运维人员的数据变更等工作规范化、流程化,对部门所有数据变更脚本统一存放管理,提供更加便捷、具有可视化、可操作化的数据查询、数据变更功能的统一平台。
系统功能
连接数据库的用户密码由USP管理,平台不记录生产数据库的用户密码,需要连接数据库时,平台会从USP提供的接口来申请数据库的登录帐号和口令,保护数据库的登录账户和口令;
用户在平台上一切操作,系统都会记录下来并保存在日志中,以便安全部门审计;
数据变更的脚本必须在测试库中编写,经过审核、复核后才能在生产库中进行变更,审核复核时,可以随时将变更脚本退回到测试库中;变更时,需两个人同时在场才能对生产库进行变更;
变更脚本有预执行功能,在变更中,执行变更脚本后,系统会提示此次变更会影响的条数,并列此次此变更前与变更后的数据对比,但是预执行功能不会真正修改数据库数据,为变更的安全性提供参考数据
安全连接数据库流程如下:
用户体验
系统上线后,数据中心变更通过此平台对数据库进行技改,目前系统中配置的技改系统已超过100套,平均每周技改达30次以上;系统运行至今,客户反映良好,同时对技改的安全性做到了有据可查,在变更出错时,可以根据原有数据进行快速恢复。
某国有大型银行数据中心运维人员每天都要承担各个系统的数据维护工作,现实情况存在多种安全操作风险。各类系统涉及数据库IP地址繁多,运维人员通过人为方式直接登录测试环境与生产境进行操作,难以避免操作不当等风险;数据变更的脚本分散存放在各个系统的数据库本地,存在被再次操作的风险;数据变更的双人复核流程由人为控制,无法确保变更过程的可稽核性;
为确保应用部数据维护工作的正确性、高效性,计划搭建数据变更平台,将运维人员的数据变更等工作规范化、流程化,对部门所有数据变更脚本统一存放管理,提供更加便捷、具有可视化、可操作化的数据查询、数据变更功能的统一平台。
系统功能
连接数据库的用户密码由USP管理,平台不记录生产数据库的用户密码,需要连接数据库时,平台会从USP提供的接口来申请数据库的登录帐号和口令,保护数据库的登录账户和口令;
用户在平台上一切操作,系统都会记录下来并保存在日志中,以便安全部门审计;
数据变更的脚本必须在测试库中编写,经过审核、复核后才能在生产库中进行变更,审核复核时,可以随时将变更脚本退回到测试库中;变更时,需两个人同时在场才能对生产库进行变更;
变更脚本有预执行功能,在变更中,执行变更脚本后,系统会提示此次变更会影响的条数,并列此次此变更前与变更后的数据对比,但是预执行功能不会真正修改数据库数据,为变更的安全性提供参考数据
安全连接数据库流程如下:
用户体验
系统上线后,数据中心变更通过此平台对数据库进行技改,目前系统中配置的技改系统已超过100套,平均每周技改达30次以上;系统运行至今,客户反映良好,同时对技改的安全性做到了有据可查,在变更出错时,可以根据原有数据进行快速恢复。