西骏数据何泽松：监管背景下的数据库访问管控场景实践与能力提升.pdf

1、 监管背景下的数据库访问管控场景实践与能力提升西骏数据业界领先的数据访问管控平台专业厂商上海南京北京天津广州南宁深圳南昌长沙武汉西安银川成都乌鲁木齐信创会员单位中国网络空间安全协会会员国家高新技术企业北京市创新基金资助企业ISO20000ISO9001ISO27001CCRC 三级CIC 三级CMMI 3信创会员单位证监会备案福州北京西骏数据科技股份有限公司(WHD)是一家专注于数据访问管控开发的创新型高科技公司，国家“专精特新”企业、瞪羚企业、数字中国高科技高成长企业。主营业务数据库云客户端数据库云堡垒数据库云开发数据访问云服务(DAMS)成立日期2015年注册资金1020万融资金额 数千万

2、发明专利12项软件软著60+个研发中心2个员工人数70+服务网点16个服务客户300+家西骏数据国内唯一以数据库访问管控作为主业的专业厂商 DataCaptain 数据库访问管控平台数据库访问管控是指对“正常”的数据访问行为进行有效管理，提高数据库操作及访问接口的安全性和便利性，防范出现“删库跑路”、数据泄漏、数据篡改、数据窃取、性能影响等事件发生，同时提升应用运维、数据开发的规范性和效率，降低运营管理成本。数据访问管控平台主要包括如下七部分功能：-客户端仿真：针对不同数据库提供统一的仿真客户端(web)-管控精细化：构建“人-数”二元权限管理，实现精细化的权限管控-运维沙箱化：对所有数据库操

3、作实现沙箱化管理，降低操作风险-安全防泄漏：返回数据通过脱敏、水印、加密等安全措施防止泄漏-审计实时化：提供点对点的高效、实时、场景化、主动式操作审计-操作数字化：所有数据库变更及权限操作支持流程对接与自动执行-大模型赋能：支持与大模型对接，提升运维、开发人员效率西骏数据在国内主要金融细分行业市场保持占有率领先根据公开数据统计，截止2025年12月31日151217202913671415100%60%50%41%70%52%0%20%40%60%80%100%120%05101520253035期货业基金业保险业农商行证券业城商行西骏数据DataCaptain细分行业占有率总案例西骏案例市占

4、率%GOPS 全球运维大会2021上海站目录监管专项行动发现的问题与风险三道数据安全防护数据库访问管控是重要阀门西骏数据DataCaptain数据安全典型应用场景西骏数据 在金融行业的实践与建议1243GOPS 全球运维大会2021上海站金监局发布93号文，推动银行保险机构数据安全管理办法落地见效数据安全管理能力提升专项行动，是金融行业在数字经济时代必须跨越的一道“龙门”。它既是一面镜子，照出机构在数据治理上的不足；更是一架引擎，为机构系统性地提升数据安全能力提供了强大的外驱力和清晰的时间表。成功的秘诀在于：以战略眼光看待，以治理思维谋划，以工程方法实施，以坦诚态度迎检，以长效机制收官。通过将

5、监管要求无缝嵌入机构的战略规划、业务流程和技术架构，将外部压力转化为内生动力，金融机构不仅能够从容应对此次乃至未来的各项监管检验，更能真正锻造出与自身业务发展目标相匹配、能够护航数字化转型行稳致远的数据安全核心竞争力。GOPS 全球运维大会2021上海站6 大模块、22 个大类要点、117 条细化检查项，30-80项有问题是常见情况0201分类分级：监管最关注，检查最严 -必须全覆盖：覆盖结构、非结构数据 -必须有输出：资产目录，分级结果，打标记录 -必须能落地：差异化管控、脱敏、加密.数据脱敏：生产数据导出无审批，测试数据未脱敏 技术保障平台 -不再是静态检查，而是要有实战应用：“部署+策略

6、+日志+效果”-等保测评、数据库审计、脱敏、权限最小化、-传输加密弱算法（MD5）必须整改 -终端防泄漏、USB 管控、水印 个人信息保护 -涉及敏感信息要走审批，留痕技术相关的重点要求 问题数量太少，被认为走过场，被退回 只有表面问题，如培训不足；不写实质性问题，如“权限管控不到位”前后口径矛盾，如 未分类分级 实现差异化保护 生产-测试，数据没脱敏或者脱敏不完整 权限管理，只开通，不回收，僵尸账号 第三方合作无协议、无要求、无审计 操作，特别是高危操作，没有审批流程 只做分类分级，没有把分类分级用起来 外包人员管理不达标 应急演练只有方案，没有实际操作记录、会议纪要等.最常见硬伤GOPS