前言

在建設篇中，我們提到江蘇人社對一體化管控平臺明確了需求：
第一，統一人員訪問入口，所有人員僅透過一個平臺完成對資料庫的全部操作；
第二，強化對資料庫運維人員的許可權管理，全面實現對第三方人員違規操作、許可權濫用等風險進行事前嚴格的許可權管控，事中的全流程行為追蹤，事故發生後精準溯源；
第三，替代日常運維工作中使用的 Navicat、PL/SQL 等工具，規避使用第三方軟體的安全風險；
第四，細化對資料庫及人員行為的操作審計，確保能夠精準溯源；
第五，運維中的三權分立，將資料的設計者開發人員，執行者資料庫管理人員，監督者安全運維人員分割槽而治相互牽制，減少單一角色對資料庫系統的過度控制，確保不同職能之間的協調合作，以實現資料庫資料安全的最優狀態；
第六，對接江蘇省人社一體化資訊平臺，藉助許可權系統、訊息中臺、工單系統實現一體化系統的反向賦能管控平臺構成一個強耦合一體化，實現操作人員日常工作順暢銜接。

本篇文章，我們就具體來講講江蘇人社是如何透過 CloudQuery（以下簡稱「CQ」）來實現以上需求的，以及最終的建設效果。

首先，我們來看下江蘇人社的資料庫基本情況。江蘇人社內部使用的資料庫型別眾多，涵蓋  Oracle、MySQL、Redis、SQLServer、DamengDB、PostgreSQL、TDsql、達夢MPP等，預估CQ系統使用者人數超過 400+， 同時線上人數超過100人，納管資料庫 數百個，資料庫 使用者上千個。

統一入口 嚴控資料庫訪問路徑

如上述，江蘇人社在建設統一資料管控平臺之初，最大的目標就是摒棄其他所有的第三方操作、管控工具，僅透過一個 CloudQuery 實現對人員的所有管控。

CloudQuery 作為一體化資料庫安全管控平臺，其一大優勢特性便是「統一人員訪問入口」。透過納管多型別資料庫，實現一個 web 網頁即可訪問資料庫、進行資料操作的能力。「統一」能力主要體現在四個方面：

• 統一資料庫客戶端： 多種資料庫型別統一管理，在一個平臺上實現資料操作，無需繁複切換與跳轉
• 統一身份認證： 打通江蘇人社一體化資訊平臺登入系統，實現統一人員身份認證管理
• 統一授權管理： 對主帳號集中授權管理，設定使用者可以訪問哪些資源的授權，確保執行最小授權原則
• 統一監控審計： 透過智慧化監控審計引擎，全面審計使用者在平臺上的操作行為

成果：摒棄了其他第三方資料庫工具，CloudQuery 實現訪問入口收斂，所有人員的資料庫操作僅透過 CloudQuery 進行。

對接一體化資訊平臺 推進業務協同

人社業務內容繁雜，使用系統型別多，要深入推廣 CloudQuery 在江蘇人社內部的使用，必須打通 CloudQuery 與人社一體化資訊平臺的對接，實現業務協同。

針對江蘇人社業務情況，提升人員日常工作效率，CloudQuery 完成了與其內部的四類系統對接：

• 一體化平臺單點登入對接： 打通一體化資訊平臺與 CloudQuery 的登入系統，使用者透過一體化平臺選單即可直接跳轉至 CloudQuery 進行操作，同時，實現掃描二維碼完成身份認證登入平臺。
• 一體化平臺工單系統對接： 使用者可在CQ系統中申請許可權，一體化平臺工單系統接收申請，審批完後的資料庫操作推送至 CloudQuery 平臺，CQ 自動接收審批結果，並進行相關處理，完成後將資料庫操作變更執行結果返回給工單系統。
• 一體化平臺統一日誌系統對接： 同時在 CloudQuery 平臺和統一日誌管理系統儲存資料庫操作和平臺日誌。
• 使用者訊息平臺對接： 對接使用者企業微信訊息，將平臺流程審批等一系列訊息提醒傳送至當事人企業微信。

成果：透過與一體化資訊平臺的多重對接，打破資訊孤島，實現使用者業務協同。

細粒度許可權管控 明確人員職責

CloudQuery 的許可權管控支援 許可權-角色-使用者的授權體系，江蘇人社針對內部的專案組情況，主要設定了兩類角色。

一類為 普通工程師，主要操作是查詢，可在許可權和監測範圍內進行資料操作；另一類為 專案組組長，針對每個專案組設定一名類似「DBA」的角色，這類使用者會擁有一些高敏感許可權，如 DDL 操作，同時，這類角色也是連線許可權的審批人，組內普通使用者的提權由其進行審批。

簡而言之，對於這兩類不同的角色，江蘇人社會對使用人群進行嚴格劃分，從表級別操作（DML/DDL/DQL）、查詢限時/限次/限量、匯出、越權阻攔、敏感資訊脫敏、行過濾等角度，分別賦予不同的許可權，實現不同的操作許可權管控。

此外，針對各類許可權，CloudQuery 搭載流程審批，使用者可針對具體許可權，如資料操作許可權、資料訂正許可權、匯出許可權、脫敏許可權、高危許可權等，提出許可權申請，審批人可透過江蘇人社一體化資訊平臺審批系統完成審批，從而開通對應許可權。

成果：透過角色區分，強化了對開發運維人員的許可權管理，實現對第三方人員違規操作、許可權濫用等風險進行事前嚴格許可權管控、事中全流程追蹤和越權提醒。

自研資料庫操作客戶端 規避版權風險

通常，不同的資料庫對應著不同的操作客戶端，如 Navicat、PL/SQL 等，這種第三方軟體對於單位來說潛藏著安全風險。

CloudQuery 在平臺內建了 自研的資料庫操作客戶端，在納管多型別資料庫的同時支援各資料庫特性元素，如表、檢視、物化檢視、同義詞、儲存過程、函式、包、包體、序列、觸發器、索引、DBlink等。

同時，在編輯器中可實現事務模式切換、執行終止等操作，執行語句支援關鍵詞、資料庫元素自動提示、失敗語句高亮展示，每次執行支援檢視當前執行語句、結果、耗時等資訊。

除此之外，針對江蘇人社內部大批次資料匯出需求，CloudQuery 加強了大批次資料匯出能力。出於不對使用者資料進行任何處理的設計理念，在匯出時，CloudQuery 直接在記憶體運算元據，不存在資料快取問題，提升匯出效率的同時大幅提升資料安全。

成果：透過 CloudQuery 自研的資料庫操作客戶端，替代了日常運維工作中使用的第三方軟體工具，有效提升開發運維人員資料操作效率。

全方位行為審計 實現事後精準溯源

依託於 CloudQuery 平臺內建的動作埋點，實現了人社使用者從登入到登出每個動作都可追蹤、可溯源。

審計大屏頁面展示平臺 使用者行為概覽和 安全趨勢。審計明細可檢視具體操作使用者、操作ip、執行語句等資訊，精準定位問題使用者，實現違規行為事後精準溯源。

至此，江蘇人社完成了對開發運維人員的全方位管控，真正做到事前使用者許可權分配、風險使用者提前告警、風險動作及時告知、違規行為事後溯源。