前言

在建設篇中，我們提到江蘇人社對一體化管控平台明確了需求：
第一，統一人員訪問入口，所有人員僅通過一個平台完成對數據庫的全部操作；
第二，強化對數據庫運維人員的權限管理，全面實現對第三方人員違規操作、權限濫用等風險進行事前嚴格的權限管控，事中的全流程行為追蹤，事故發生後精準溯源；
第三，替代日常運維工作中使用的 Navicat、PL/SQL 等工具，規避使用第三方軟件的安全風險；
第四，細化對數據庫及人員行為的操作審計，確保能夠精準溯源；
第五，運維中的三權分立，將數據的設計者開發人員，執行者數據庫管理人員，監督者安全運維人員分區而治相互牽制，減少單一角色對數據庫系統的過度控制，確保不同職能之間的協調合作，以實現數據庫數據安全的最優狀態；
第六，對接江蘇省人社一體化信息平台，藉助權限系統、消息中台、工單系統實現一體化系統的反向賦能管控平台構成一個強耦合一體化，實現操作人員日常工作順暢銜接。

本篇文章，我們就具體來講講江蘇人社是如何通過 CloudQuery（以下簡稱「CQ」）來實現以上需求的，以及最終的建設效果。

首先，我們來看下江蘇人社的數據庫基本情況。江蘇人社內部使用的數據庫類型眾多，涵蓋 Oracle、MySQL、Redis、SQLServer、DamengDB、PostgreSQL、TDsql、達夢MPP等，預估CQ系統用户人數超過400+，同時在線人數超過100人，納管數據庫數百個，數據庫用户上千個。

統一入口 嚴控數據庫訪問路徑

如上述，江蘇人社在建設統一數據管控平台之初，最大的目標就是摒棄其他所有的第三方操作、管控工具，僅通過一個 CloudQuery 實現對人員的所有管控。

CloudQuery 作為一體化數據庫安全管控平台，其一大優勢特性便是「統一人員訪問入口」。通過納管多類型數據庫，實現一個 web 網頁即可訪問數據庫、進行數據操作的能力。「統一」能力主要體現在四個方面：

• 統一數據庫客户端： 多種數據庫類型統一管理，在一個平台上實現數據操作，無需繁複切換與跳轉
• 統一身份認證： 打通江蘇人社一體化信息平台登錄系統，實現統一人員身份認證管理
• 統一授權管理： 對主帳號集中授權管理，設定用户可以訪問哪些資源的授權，確保執行最小授權原則
• 統一監控審計： 通過智能化監控審計引擎，全面審計用户在平台上的操作行為

成果：摒棄了其他第三方數據庫工具，CloudQuery 實現訪問入口收斂，所有人員的數據庫操作僅通過 CloudQuery 進行。

對接一體化信息平台 推進業務協同

人社業務內容繁雜，使用系統類型多，要深入推廣 CloudQuery 在江蘇人社內部的使用，必須打通 CloudQuery 與人社一體化信息平台的對接，實現業務協同。

針對江蘇人社業務情況，提升人員日常工作效率，CloudQuery 完成了與其內部的四類系統對接：

• 一體化平台單點登錄對接： 打通一體化信息平台與 CloudQuery 的登錄系統，用户通過一體化平台菜單即可直接跳轉至 CloudQuery 進行操作，同時，實現掃描二維碼完成身份認證登錄平台。
• 一體化平台工單系統對接： 用户可在CQ系統中申請權限，一體化平台工單系統接收申請，審批完後的數據庫操作推送至 CloudQuery 平台，CQ 自動接收審批結果，並進行相關處理，完成後將數據庫操作變更執行結果返回給工單系統。
• 一體化平台統一日誌系統對接： 同時在 CloudQuery 平台和統一日誌管理系統保存數據庫操作和平台日誌。
• 用户消息平台對接： 對接用户企業微信消息，將平台流程審批等一系列消息提醒發送至當事人企業微信。

成果：通過與一體化信息平台的多重對接，打破信息孤島，實現用户業務協同。

細粒度權限管控 明確人員職責

CloudQuery 的權限管控支持權限-角色-用户的授權體系，江蘇人社針對內部的項目組情況，主要設置了兩類角色。

一類為普通工程師，主要操作是查詢，可在權限和監測範圍內進行數據操作；另一類為項目組組長，針對每個項目組設置一名類似「DBA」的角色，這類用户會擁有一些高敏感權限，如 DDL 操作，同時，這類角色也是連接權限的審批人，組內普通用户的提權由其進行審批。

簡而言之，對於這兩類不同的角色，江蘇人社會對使用人羣進行嚴格劃分，從表級別操作（DML/DDL/DQL）、查詢限時/限次/限量、導出、越權阻攔、敏感信息脱敏、行過濾等角度，分別賦予不同的權限，實現不同的操作權限管控。

此外，針對各類權限，CloudQuery 搭載流程審批，用户可針對具體權限，如數據操作權限、數據訂正權限、導出權限、脱敏權限、高危權限等，提出權限申請，審批人可通過江蘇人社一體化信息平台審批系統完成審批，從而開通對應權限。

成果：通過角色區分，強化了對開發運維人員的權限管理，實現對第三方人員違規操作、權限濫用等風險進行事前嚴格權限管控、事中全流程追蹤和越權提醒。

自研數據庫操作客户端 規避版權風險

通常，不同的數據庫對應着不同的操作客户端，如 Navicat、PL/SQL 等，這種第三方軟件對於單位來説潛藏着安全風險。

CloudQuery 在平台內置了自研的數據庫操作客户端，在納管多類型數據庫的同時支持各數據庫特性元素，如表、視圖、物化視圖、同義詞、存儲過程、函數、包、包體、序列、觸發器、索引、DBlink等。

同時，在編輯器中可實現事務模式切換、執行終止等操作，執行語句支持關鍵詞、數據庫元素自動提示、失敗語句高亮展示，每次執行支持查看當前執行語句、結果、耗時等信息。

除此之外，針對江蘇人社內部大批量數據導出需求，CloudQuery 加強了大批量數據導出能力。出於不對用户數據進行任何處理的設計理念，在導出時，CloudQuery 直接在內存操作數據，不存在數據緩存問題，提升導出效率的同時大幅提升數據安全。

成果：通過 CloudQuery 自研的數據庫操作客户端，替代了日常運維工作中使用的第三方軟件工具，有效提升開發運維人員數據操作效率。

全方位行為審計 實現事後精準溯源

依託於 CloudQuery 平台內置的動作埋點，實現了人社用户從登錄到登出每個動作都可追蹤、可溯源。

審計大屏頁面展示平台用户行為概覽和安全趨勢。審計明細可查看具體操作用户、操作ip、執行語句等信息，精準定位問題用户，實現違規行為事後精準溯源。

至此，江蘇人社完成了對開發運維人員的全方位管控，真正做到事前用户權限分配、風險用户提前告警、風險動作及時告知、違規行為事後溯源。