数据维护审计平台的设计与应用

摘  要：基于中国电信集中MSS系统运营维护背景，规范运营操作，从权限最小化控制、操作和审核权限分离控制、高危操作自动阻断控制、敏感数据表访问权限控制和操作记录日志审计控制出发，分析数据维护审计平台的总体设计思路，并对系统技术架构进行分析，最后从日常操作模块和日志管理模块入手，简要说明了系统功能架构和实践成效，以期为相关单位提供借鉴。

关键词：IT运营;数据维护;审计

中图分类号：TP391     文献标识码：A 文章编号：2096-4706（2021）06-0115-04

Design and Application of Data Maintenance Audit Platform

——Take Operation in IT industry of China Telecom as an Example

ZHANG Xiaofeng

（China Telecom MSS Centralized Operation Jiangsu Support Center，Nanjing  210037，China）

Abstract：Based on the operation and maintenance background of the centralized MSS system of China Telecom，standardize operation，starting from permission minimization control，operation and audit permission separation control，high risk operation automatic blocking control，access permission control of sensitive data sheet，audit control of operation log，analyze the overall design idea of data maintenance audit platform，and analyze the system technical architecture. Finally，starting with the daily operation module and log management module，briefly explain the system functional architecture and practical results，in order to provide reference for relevant units.

Keywords：IT operation;data maintenance;audit

0  引  言

中國电信集中MSS系统是全国范围内建立的一个集中、规范、统一的管理支撑系统。通过统一透明的数据规范促进企业内部数据、信息的共享以及集中管理;通过及时、准确、透明的业务管理报告有效满足对外信息披露和对内管理控制的要求;通过提供更加准确的成本、收益等信息，为实现管理数字化夯实基础;通过建立集团级企业管理信息数据仓库、总裁桌面，为业务部门和管理层提供实时准确的业务和决策支持信息[1]。为规范支撑该大型集中IT系统的运营，已建立标准的数据维护流程，由用户在集团ITSM系统上发起数据维护工单申请，经业务部门及IT主管审批同意后，工单最终流转至二线运维顾问进行处理。数据维护内容涉及更改业务数据及状态、导出导入数据及检查核对数据等。通过搭建数据维护审计平台，一方面满足日常数据维护作业需求，另一方面提升IT系统运营效率及整体运维管理水平[2]。

1  建设背景

中国电信集中MSS系统运营维护阶段，除了滚动业务需求开发及系统问题修复外，大多为日常运营维护事项，其中数据维护又是比较经常且比较重要的维护事项，包括数据修改、数据查询统计、数据提取。现系统在数据维护方面虽然已经严格控制必须通过堡垒机操作，但仍存在以下几个问题：

（1）维护人员多，维护权限不清晰。

（2）维护操作审核规则不足，规则调整不灵活，存在数据违规修改风险。

（3）维护操作事后审计不足，结合现有的堡垒机访问日志，追溯审计耗时费力。

（4）需要维护的数据库节点多，维护效率低。

（5）缺少前台可视化、可配置化维护平台。

这些问题对于IT系统的整体运营存在一定风险，需要进行优化处理。

2  建设目标

通过搭建数据维护审计平台，做到事前预防，事中控制及事后溯源，从而来全面解决企业的IT系统运维安全问题，进行提高企业的IT运维管理水平。

系统总体架构如图1所示。

3  设计思路

3.1  权限最小化控制

梳理数据库维护权限视图，最小化使用原则，权限做到“三权分立”[3]，通过限制对数据资产的访问操作，防止非法用户的侵入、用户越权、合法用户的不慎操作而造成的数据泄露、篡改、损毁，保证数据资产受控地、合法地使用。分别为：

（1）开发运维式支撑权限。使用者：支撑运维的开发人员。权限范围：具有数据库表数据增、删、改、查权限，具有数据库视图、函数、存储过程对象的执行、调试权限，具有创建备份表权限。使用场景：处理数据维护单、生产数据库对象问题跟踪调试。

（2）数据维护类权限。使用者：运维人员。权限范围：具有数据库表数据增、删、改、查权限，具有数据库视图查询权限，具有数据库函数执行权限。使用场景：生产数据维护。

（3）运维查询类权限。使用者：需求、测试人员。权限范围：具有数据库表查询权限，具有数据库视图查询权限，具有数据库函数执行权限。使用场景：生产数据查询、核对确认及导出。

3.2  操作、审核权限分离控制

风险操作控制规则增加调整流程：针对系统核心配置调整，如敏感数据表管理、核心操作管理，由配置人员完成配置后提交审核主管审核后才可生效。

风险操作审批流程：首先，运营支撑人员因统计取数、批量业务操作需要进行客户敏感信息查询、变更操作时必须有业务管理部门审批通过的ITSM工单，并经过运营主管审核。其次，运营支撑人员因系统维护需要进行客户敏感信息的数据迁移（包括数据导入、导出、备份）时，必须填写操作申请ITSM工单，并经过运营主管审核[4]。

3.3  高危操作自动阻断控制

非访问权限内的数据禁止访问：运营支撑人员操作过程中如访问权限范围外的敏感数据，系统自动阻断拦截操作命令，系统记录操作记录送管理员审计。

DDL操作自动拦截阻断：针对系统配置的核心数据表，如运营支撑人员的操作中涉及create、drop、truncate等DDL操作，如运营支撑人员进行超阈值大批量更新等操作，系统自动阻断拦截操作命令，系统记录操作记录送管理员审计。

3.4  敏感数据表访问权限控制

将数据库中的各类表分别敏感级、较敏感级、低敏感级，并为每个级别配置可访问的系统角色。

3.5  操作记录日志审计控制

对所有的增、删、改类SQL操作，记录日志，记录操作人、操作IP、MAC地址、操作时间及操作内容关键信息。

系统根据审计模型自动生成审计预警事件，由管理员进行预警确认，主要预警场景举例为：

（1）非工作时间段访问审计：建立账号的用户画像和登录时间基线，业务系统使用情况识别非工作时间登录或敏感操作行为的账号。

（2）共享账号审计：通过对账号登录数据的监控，可发现账号共享情况，管控不规范的运维操作行为。

（3）敏感操作非授权访问审计：针对非授权范围内的操作命令进行预警。

4  系统技术架构

数据库维护审计平台为基于J2EE的B/S开发技术架构，采用前后端分离技术架构，前端为HTML页面+JavaScript，后端为SpringBoot应用。系统采用Oracle关系型数据库作为持久化存储，采用Redis KEY-VALUE组件作为缓存，采用FTP服务器作为文件类数据存储，采用Tomcat作为应用中间件，可适配在虚拟化主機或Docker容器下部署应用。系统技术架构分为应用/展示层、存储层、处理层、数据交换层、采集层、资源层等六层：应用/展示层最贴近用户，承载了静态页面、样式和脚本;存储层将业务、流程、日志等结构化信息存储在Oracle，将常用的配置和权限数据缓存在Redis，可提升数据交互的效率，同时降低Oracle的压力;处理层主要包含了校验引擎、权限引擎、流程引擎、日志处理等公共能力;数据交换层实现信息数据的共享，可选的服务有PI系统、接口平台等;采集层主要通过ETL工具对操作日志、接口日志、数据库日志等数据进行采集;资源层包括服务器、软件资源、应用模块等，通过网络为应用系统提供硬件支持[5]。系统通过统一认证协议实现门户单点登录集成，访问请求采用LVS+Nginx方式实现负载均衡，系统集成关系如图2所示。

5  系统功能架构

系统主要分为日常操作、日志管理及系统管理3大模块，功能架构图如图3所示。

5.1  日常操作模块

日常操作模块主要包括数据源切换、数据事务管理、数据导入导出、数据检索合并、风险事务提醒/拦截、SQL日志埋点/记录6个方面：

（1）数据源切换。支持按Database及Schema维度切换到不同数据库实例以及不同数据库，列表化显示所有纳管数据库，并能根据所选数据库自动级联显示该库下的所有Schema。

（2）数据事务管理。支持事务的回滚及提交确认操作，实现类似C/S客户端工具功能。

（3）数据导出导入。支持单库、单表数据导出操作，支持多库同表数据合并导出操作，支持在前台化导入Excel数据。

（4）数据检索合并。支持对多库同表数据进行检索后合并，以Grid表格方式显示，支持分页。

（5）风险事务拦截/提醒。支持对高风险的Drop表及Truncate表数据进行拦截阻止，并记录日志。

（6）SQL日志埋点/记录。支持记录SQL运行时长，支持对数据更改操作类SQL语句附加强制记录ITSM单据号来源信息。

5.2  日志管理模块

日志管理模块包含操作日志查询和风险日志查询两块功能：

（1）操作日志查询。支持按省份范围、日期范围、特定操作人、特定业务类型等维度进行运维日志查询。

（2）风险日志查询。支持按省份范围、日期范围、特定操作人、特定业务类型等维度进行风险日志查询。

5.3  系统管理模块

系统管理模块主要包括组织人员配置、角色权限配置、数据源配置：

（1）组织人员配置。支持前台化维护组织、人员基础数据，支持人员状态信息修改（有效、无效）等。

（2）角色权限配置。支持定义角色及权限，支持按角色配置查询类操作或运维更新类操作权限，支持按模块关联配置涉及系统以及省份库权限。

（3）数据源配置。支持前台化配置纳管数据库信息，支持对数据库敏感配置非明文显示。

6  实践成效

通过该数据维护审计平台的应用，不但提升了中国电信集中MSS运营的规范性，防范了运营风险，还提升了运营效率，主要包括以下几点成效：

（1）实现运营维护事前控制：规范了运维授权，实现权限最小化，已完成某专业IT系统23人权限管理，其中开发维护权限6人，数据库维护权限7人，运维查询权限10人，全年支撑数据运维类需求2 000余单，未出现非授权访问，防范了运维操作风险，系统权限配置页面如图4所示。

（2）实现运营维护过程中控制、阻断：全年实现未授权访问阻断10次，高危操作阻断1次，有效确保了数据安全，执行操作页面如图5所示。

（3）实现运营效率提升：在运营过程中，实现应用多节点数据库一点申请，并行处理，如图6所示。批量统计类工作提升效率超50%。

（4）实现运营操作审计能力提升：全年实现各类运营审计200余次，保障了运营操作合规可控。

7  结  论

数据维护是企业IT系统日常运营的主要事项之一，传统的数据库维护方式存在数据库用户共用，维护操作缺乏审核，维护风险极大，需要借助系統平台实现事前预防、事中控制和事后溯源数据库运维操作的全生命周期管理，全面解决企业的运维安全问题，进而达到提高企业的IT运维管理水平，降低可能存在的数据泄漏、越权访问及数据误操作等风险目标。集中MSS为全国性集中IT系统，涉及大量企业生产关键数据，尤其需要实现运维授权管理、运维风险管控、运维安全审计。该系统可推广至各领域IT系统运营维护中，提升运营的规范性和安全性。

参考文献：

[1] 盖国强.Oracle DBA手记4：数据安全警示录 [M].北京：电子工业出版社，2019.

[2] 程小丹，李崇辉，曹洁，等.从运维菜鸟到大咖，你还有多远：数据中心设施运维指南 [M].北京：电子工业出版社，2016.

[3] 何伟娜，常建功.Oracle数据库管理与维护实战 [M].北京：人民邮电出版社，2014.

[4] 李真，孙双林，张优敏，等.Oracle数据库管理与开发 [M].重庆：重庆大学出版社，2019.

[5] 彭灿华，韦晓敏，魏士伟.J2EE项目开发与设计：第2版 [M].北京：中国铁道出版社，2016.

作者简介：张晓峰（1985.03—），男，汉族，江苏兴化人，通信工程师，工学学士，研究方向：IT系统运营、网络与信息安全。