美创案例｜重庆三峡担保集团数据安全行为管控能力建设





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

国家级｜美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》

2024-12-20

全球数据跨境流动合作倡议

2024-11-22

世界互联网大会|美创数据库保险箱（DBSafe）发布！

2024-11-21

世界互联网大会｜美创数据认知与分类分级系统（AICogniSort）重磅发布！

2024-11-21

美创案例｜盐城公积金管理中心数据安全创新实践

2024-11-15

美创登榜“2024浙江最具投资价值创新企业TOP50”

2024-12-20

国家级｜美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》

2024-12-20

美创科技完成新一轮融资！

2024-12-18

美创跻身信创独角兽Top100！

2024-12-12

美创入选API安全领域代表厂商

2024-12-12

美创案例｜重庆三峡担保集团数据安全行为管控能力建设

发布时间：2024-12-06 阅读次数： 395 次

重庆三峡担保集团挂牌成立于2006年9月，现注册资本51亿元，是全国唯一具备省级地方政府、大型央企和国家级政策性银行股东背景的国有大型综合性融资担保集团，是全国4家具备债券、中期票据发行担保资质的担保公司之一;连续4年获得重庆"国企贡献奖"，被评为"全国担保行业十二强"，综合实力已跻身全国担保行业前5、西部担保行业第一。

PART.1

项目需求

随着重庆三峡担保集团数字化改革不断完善，建设以“数字底座、数字风控、数字合约”为基础的三大数据平台，打造系统共生底座，将业务、财务、人事等各业务条线数据联动，创新孵化三峡担保在线争议解决平台、电子保函、在线签约、合同管理、智能印章等业务系统，实现数据资源实施共享，数字化改革落地工作成效显著。

在数据资源充分利用和流动过程中，一方面由重庆市网信办牵头监管单位、重庆市国资委等主管单位陆续开展数据安全检查工作，要求加强数据安全防护手段，建立重要数据资产目录，形成常态化的安全风险评估等；另一方面针对内部人员账户对数据资源的访问，需要加强内部数据安全管理，解决单位核心数据库运维过程中可能出现的数据泄密、越权查询、恶意操作等安全风险，达到数据合规访问并风险行为及时预警。主要需求包括：

➩要求对数据库运维终端进行准入权限控制，限制非法终端、工具和未授权人员等登录到数据库，减少数据库资产风险接触面；对数据中台、电子保函等核心数据库进行敏感数据管理，对敏感数据设置访问控制等不同的安全策略。

➩ 敏感数据查询、数据展示以及数据导出过程中防止数据泄密。针对企业法人信息、个人隐私数据、保函金额等敏感数据进行识别，通过运维脱敏能力，在数据操作过程中完成敏感数据去标识化、匿名化处理。

➩ 安全合规监管对于国企事业单位数据安全检查要求，能够尽快建立数据安全防护措施，聚焦敏感数据、个人隐私数据形成数据资产台账，补齐数据访问、权限管控措施，针对个人敏感信息进行匿名化处理。

PART.2

解决方案

美创科技为重庆三峡担保集团提供数据安全行为管控方案，部署应用「数据库防水坝」助力解决运维环境和行为安全管控问题。以法律法规为抓手，行业建设标准为指引，根据集团数据安全实际面临的场景和需求出发，形成基于敏感数据保护的安全行为管控体系，对运维行为的事前、事中、事后进行安全保障。

权限梳理

梳理当前数据库资产类型和DBA账户使用状态，以“最小化授权”“非必要访问”为原则，制定权限访问矩阵；添加数源到管控系统，做好数据源代理、托管账户等访问关系，逐步平滑上线。

敏感数据资产“隔离”

运用数据库防水坝系统内置自动扫描敏感数据和识别能力，形成敏感数据资产集合，以敏感资产为核心进行访问、授权、脱敏等策略设置。根据内置数据识别规则帮助管理员快速定位敏感数据，减少数据发现和敏感数据定义过程，快速配置数据安全策略。

建立内控安全体系

形成全方位的内控安全体系，通过规范堡垒机系统、网络交换机等现有安全能力，收敛数据库访问通道，禁止直连访问；基于管控系统准入控制、实时风险防御、安全管理、基础管控能力等多个方面的安全能力，形成一站式的运维安全管控。

访问权限管控

形成配套数据访问权限管控管理制度，明确数据访问原则、要求和管控措施，落实数据安全账户责任和管理职责。

小结

整体方案考虑减少业务上线、培训和使用成本，保障现有内部人员数据访问流程不受影响。管控系统采取平滑接入策略，事前做好信息收集、系统规划等准备工作。

上线过程分批次、按照业务系统、多部门逐步切换，联动现有堡垒机，统一运维入口，收敛数据库访问通道和客户端工具。

上线后做好数据安全权限管控操作流程宣贯，并进行常态化数据安全运维服务，每月提供数据源梳理、增量敏感数据资产识别、权限调整、账户状态检查等工作。

PART.3

项目成果

➤形成敏感数据保护机制

聚焦集团敏感的数据资产，对数据库内部的数据资产进行主动发现和识别业务类型，根绝合规要求进行归类和分级。以数据库、用户、表格、列为粒度定义出敏感数据集合，使数据安全管理聚焦在真正需要管理的敏感数据之上。避免一刀切的信息化安全建设，减少无效或重复性IT投入，提高数据安全管控效率和价值。

➤应对内部人员行为风险

加强了内部数据安全行为管控，解决集团核心数据库运维过程中可能出现的数据泄密、越权查询、恶意操作等行为安全风险。对敏感数据查询、数据展示以及数据导出过程中能够识别违规行为和数据风险，通过系统内置安全能力防止数据泄密，针对个人敏感信息处理过程中满足合规要求进行去标识、匿名化处理。对重要数据进行常态化监测，发生有恶意或无意删除后具备快速秒级恢复能力，能够最大化保障数据的安全性和连续性。

➤规范行为权限管理制度

最小化授权，规范运维过程中取数用数权限。打造安全可信的内部数据运维环境，仅允许受信任的运维开发类工具接入到数据库环境中。以账户、应用和人三要素构建身份信息，基于身份角色和属性分配权限，以最小化授权为原则分配权限，限制特权账户、高危操作。建立内部审批通道，对低权限申请对象、执行语句进行审批留痕，并形成事前、事中、事后全过程行为管控和审计体系，构建数据安全第一道防线。

➤保障集团数字化改革稳步开展

补全当前数据安全行为管控短板，建立内部人员账户访数、取数体系化安全管控，形成配套管理体系、技术措施和运维手段，保证集团敏感数据不出域；建立数据安全管控措施第一步，形成基本数据资产台账信息，指导数据安全管控和脱敏策略，基于本次数据安全系统建设，满足集团数字化建设持续开展，能够满足未来增量数据资产、数据源的安全管控，可形成全量数据资产分类分级，自动形成分级管控效果，达到集团场景安全覆盖，构建数据安全可信边界，促进数字化改革工作安全合规开展。

数据库防水坝是基于数据库安全运维管理需求，创新研发的一款集数据库准入、敏感数据分级分类、应用访问控制、数据库脱敏、误操作恢复、运维审计等多种功能一体的产品。产品满足数据库运维安全管理，符合运维安全内部控制和法规法令（等级保护、网络安全法、企业内控条例等）的要求，目前广泛应用于政府、金融、医疗、社保等行业，有效保障用户重要敏感资产信息的安全。