上一期的解读围绕运维运营能力域的数据库监控和健康检查两个能力项展开,详述服务提供商应该具备的服务活动内涵、过程描述和能力等级标准。
本期接着上期的文章继续为大家解读《数据库服务能力成熟度模型》运维运营能力域的SQL审核与安全审计两个能力项,备份恢复与应急方案演练将在下一期文章中进行解读。《数据库服务能力成熟度模型》的整体框架如下图所示:
《数据库服务能力成熟度模型》按照交付类型总体分为规划设计能力域、实施部署能力域和运维运营能力域,共包含27个能力项。每个能力项均从人员、工具、流程、制度、技术等维度,通过人员访谈、资料审查、工具演示等方式,对企业服务能力的评价从低到高依次划分为初始级、可重复级、稳健级、量化管理级和优化级五个等级。每个能力域的等级评定是由能力域所包含能力项的等级按照一定算法计算得出,每个能力项的等级评定是由该能力项五个等级的符合程度按照一定算法判定所得。
简单来说,SQL审核能力是指为数据库服务方通过SQL审核平台或工具对未上线、已上线的SQL代码进行代码语法、算法的安全性和质量审核检查,提前发现SQL编写、表和索引设计等方面的隐患问题,推动开发部门提前进行规避性优化处理。
SQL审核的主要过程描述如下:
a) 数据库服务方与用户沟通SQL审核的管理流程,确定其中关键角色;
b) 安装部署相关脚本或SQL审核工具;
c) 确定需要审核的数据库和相关人员;
d) 根据具体的审核需求,连接数据库采集SQL信息,或由用户提交审核信息,或者其他SQL来源;
e) 查看SQL审核结果,发现SQL代码存在的隐患;
f) 制定相关的优化建议并提交相关人员;
g) 由相关人员对存在隐患的SQL代码进行整改;
h) 对比整改前后的SQL运行情况,确认整改的执行性和优化的有效性。
按照服务能力成熟度的差异划分,SQL审核能力要求如表1所示:
表1 数据库服务能力成熟度-SQL审核能力等级标准
评估要点:
◆ SQL审核报告内容丰富度(SQL文本、违规情况、性能数据、优化建议等)、SQL审核流程、SQL审核模板等;
◆ SQL审核服务体系,人员是否拥有SQL优化经验和对象设计经验,能否支撑从研发、测试、上线发布、运行维护全生命周期的SQL质量管控;
◆ SQL审核工具/平台的功能丰富程度、易用性等。
介绍完SQL审核后,接下来解读运维运营的第七个能力项:安全审计。安全审计是指数据库服务方根据需求方的安全审计要求,通过数据库自带的审计功能,或独立的安全审计工具、平台实现数据库安全审计功能,记录符合审计选项的操作记录。通过对用户访问数据库行为的记录、分析和汇报,帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库行为记录,提高数据资产安全。根据公安行业标准《信息安全技术 数据库安全审计产品安全技术要求》定义,数据库安全审计产品是指对用户访问数据库的操作行为进行记录、分析并响应的产品。主要支持数据采集、设置采集策略、生成审计记录、安全告警、设置告警方式和内容、查询和统计审计记录、生成和导出报表、安全存储审计记录、会话分析、安全管理、审计日志等功能。
安全审计的主要过程描述如下:
a) 调研和需求分析:对需求方的安全审计需求进行调研和分析,了解需求方的管理规范、管理流程和审计需求;
b) 制定方案:根据需求分析结果,制定安全审计方案。方案包括但不限于安全审计的配置操作手册、安全审计结果记录、安全审计结果呈现等;
c) 安全审计实施:根据制定的安全审计方案,对安全审计进行在线或离线的启用、关闭等,并对相关的审计规则、告警规则等进行配置。如果有安全审计的辅助平台,要一并部署并保证能顺利执行;
d) 安全审计验证:根据安全审计方案实施后,形成满足需求方的安全审计环境。与需求方一起选取代表性的业务场景,对安全审计功能进行验证,从而证明安全审计功能满足需求方的要求。
按照服务能力成熟度的差异划分,安全审计的等级要求如表2所示:
表2 数据库服务能力成熟度-安全审计能力等级标准
评估要点:
◆ 数据库安全审计工具功能完善性及易用性,审计对象和操作、告警方式和信息的丰富程度;
◆ 人员的数据库安全审计经验、项目丰富度;
◆ 安全审计方案、实施文档、管理规范等。
《数据库服务能力成熟度模型》标准是由中国信息通信研究院依托通信标准化协会大数据技术标准推进委员会(CCSA TC601),联合云和恩墨、腾讯云、星环科技、新炬网络、中兴通讯、爱可生、华为云、华胜信泰、科蓝软件、浪潮云、金山云、迪思杰、万里开源、百度智能云等企业于2020年联合编制而成,标准共包括900多个评估点,成为国内数据库服务领域最权威的行业标准,目前已累计完成3批6家共11次评估工作,包括云和恩墨、星环科技、腾讯云、科蓝软件、中移苏研和京东科技,为行业遴选优质服务商提供有力依据,评测证书可通过微信小程序DataKIT或可信大数据官网(https://www.databench.cn/index)查询。有兴趣持续探讨相关话题的,请联系liusiyuan@caict.ac.cn。
点击文末“阅读原文”可回看《数据库服务能力成熟度模型》往期解读。
数据库是基础软件的重要一员,是支撑全球数字经济蓬勃发展的核心技术产品。为推动我国数据库产业国际地位从跟跑、并跑到领跑,2019年10月,中国信息通信研究院云计算与大数据研究所牵头,联合多家数据库企业、应用单位、系统集成商、数据库服务企业、硬件制造商,共同成立公益性免费社群数据库应用创新实验室(以下简称“实验室”),打造了中国数据库产业的“联合舰队”。实验室持续致力于推动我国数据库产业创新发展,以实际问题为导向,以合作共赢为目标,联合政、产、学、研、用等多方力量,协同推进数据库领域应用创新的相关工作。实验室将一直秉承开放理念,持续欢迎数据库领域各企业、各机构、各组织申请加入。
京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有 