智能化时代数据库自主可靠运维 白皮书 编制委员会 编委会成员（排名不分先后顺序） 朱正珊（福建海峡银行） 王义成（腾讯云数据库） 陈璐（福建海峡银行） 陈琢（腾讯云数据库） 张秀云（腾讯云数据库） 罗晓程（腾讯云数据库） 刘亚琼（腾讯云数据库） 编写组成员 李代丽 任朝阳 参编单位 IT���&ITPUB 腾讯云数据库 福建海峡银行 专家指导（排名不分先后顺序） 白鳝 薛晓刚 严少安 尹海文 PREPARATION COMMITTEE 第一章：智能化时代可靠运维发展趋势 �� �� �� �� �.� AI对传统运维的影响 �.� AI在运维实践中的挑战 �.� 运维应当如何拥抱AI �.� 具有团队建设预算 �.�.� 运维团队建设 �.�.� 运维团队能力可持续发展 �.� 制定对等的权责制度 �.� 构建完善的可观测体系 �.� 建立数据库和应急流程标准化 �.� 制定完善的应急预案 �.� 打造运维知识库体系 目录 CATALOGUE --------------------------------------------

深圳市政务服务和数据管理局：深圳市数智化底座 深圳市宝安区政务服务和数据管理局：宝安政务大模型 第七次人口普查：国产数据库支撑14.1178亿人普查 上海银行：国产数据库实践 四川银行：全栈自主创新云原生平台建设项目 中信建投证券：国产数据处理分析体系 瑞众保险：融合创新云和团险核心业务数据库去O 南方电网：云数底座&连接协同助力数字电网 鞍钢集团：国产分布式数仓项目 中国五环工程有限公司：“智改数转”项目 赋能传统行业转型，正成为千行百业高质量发展的重要引擎。 一方面，国产数字化升级正在通过底层技术的自主创新，为人工智能 和数字化转型提供坚实基础：国产云基础设施，为智能计算提供算力 保障，国产操作系统、数据库和中间件，支持AI训练、推理和部署， 全栈国产软件生态，确保数据安全和系统可控，为智能应用提供可靠 环境；另一方面，国产数字化升级正通过与政府、金融、企事业单位 发展所需的数字化转型高度协同，显著提升各领域的效率，这包括了 响应政策导向，也已经成为企业提升效率、夯实安全基础的战略抉 择。拥抱国产数字化升级，既是企业降本增效的理性之选，更是迈向 高质量智能化发展的关键一步。 近年来，以腾讯为代表的一批中国科技企业围绕国产数据库、操作系 统、大数据平台等基础软件不断开拓创新，构建完整的国产生态链， 为数字经济提供安全可靠的基础软件支撑。在产业落地方面，融合创 新正从党政、金融等典型领域，向电力、交通、医疗等各大关键行业

安全区域边界 边界防护 安全区域划分、安全 产品集成、安全策略 配置 防火墙、非法内外联 （三级增加）、无线 安 全 网 关 （ 三 级 增 加） 访问控制 防火墙、WAF（三级 增加）、数据库防火 墙 入侵防范 IDS 、 APT （ 三 级 增 加）、DPI（三级增 加） 14 智安网络等级保护安全防御体系方案 恶意代码和垃圾邮件 防范 防毒墙、反垃圾邮件 网关 安全审计 全 加 固 、 中 间 件 安 全 加 固、网络设备安全配 置加固、应用安全、 数据安全 双因素、PIK/CA（三 级增加） 访问控制 堡垒机、服务器加固 安全审计 集中日志审计、运维 审计、数据库审计 入侵防范 主机入侵检测、主机 补丁管理、网页防篡 改、WEB 应用防护 恶意代码防范 主机防病毒 可信验证 可信计算（可） 数据完整性 —— 数据备份恢复 备份恢复软件 剩余信息保护 全面日志采集 支持 200 多个品牌。2000 多种设备的日志接入。日志接 入兼容性能力强。覆盖主流硬件设备、主机及应用，保 障日志信息的全面收集。实现信息资产（网络设备、安 全设备、主机、应用及数据库）的日志获取。 大规模安全存储 采用先进的全文索引和文件型高性能日志存储技术。 内置 T 级别存储设备，可以选配各种 RAID 级别进行数 据冗余和安全保障。系统拥有多项自主知识产权的存储

家企业提供的 200 款产品，涉及数据备份与恢复产品、 防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、网络和终端隔离产品、反垃圾邮件产品、 网络安全审计产品、网络脆弱性扫描产品、安全数据库系统、网站数据恢复产品、虚拟专用网 产品、防病毒网关等 12 类网络安全专用产品，其中每类产品均按企业名称首字母进行排序。 中国网络安全产业联盟 ...........................................................................................496 安全数据库系统 北京安信天行科技有限公司................................................................................... 以实现事件追溯、发现安全违规或异常的产品。 ８ 网络脆弱性扫描产品 利用扫描手段检测目标网络系统中可能存在的安全弱点的软件或软硬件 组合的产品。 ９ 安全数据库系统 从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全 策略的数据库系统 , 目的是在数据库层面保障数据安全。 10 网站数据恢复产品 提供对网站数据的监测、防篡改 , 并实现数据备份和恢复等安全功能的 产品。 11 虚拟专用网产品

等级保护 2.0 拓扑图案例 整体技术体系架构 产品清单 下一代防火墙 数据库审计 负载均衡 感知平台 + （检测探针） 上网行为管理 SSL VPN 信服云眼 / 信服云盾 日志审计系统 漏洞扫描系统 主机杀毒 运维堡垒主机 云平台安全建设拓扑图 法院等级保护 高校等级保护 广播电视等级保护 监狱等级保护 医院等级保护解决方案 医院整体拓扑图 内网终端接入域 门诊区 行政区 住院区 药房区 上网行 为管理 下一代防火 墙 （基础级） 交换机 检测探针 交换机 下一代防火墙 检测探针 （增强级） 下一代防火墙 （增强级） 交换机 数据库审计 IaaS 边界 安全 虚拟化安全 安全加固 虚拟资源隑离 入侵防御 漏洞扫描 基线核查 安全域隔离 边界安全防护 安全域划分 访问控制 访问控制 入侵防御 负载均衡 网络威胁检测 安全传输 数据脱敂 容器安全 访问控制 访问控制 输入数据验证 API 接口安全 虚拟机微隑离 VPC 隑离 数据加密 剩余信息保护 于数据库安全 计算服务安全 文件服务安全 主机防病毒 主机安全加固 入侵防范

........................................................................................26 4.3.4 数据库审计................................................................................................. 段进行自动漏洞扫描，自动针对在线的 IP 地 址的主机进行漏洞扫描， 使用 ARP、ICMP、TCP、UDP 等多种协议测试在线主机是否存活， 并 提供在线主机漏洞扫描功能。 漏洞扫描通过对信息网中的数据库、 WEB 以及主机进行扫描与威胁情报、APT 等进 行 联动，可用于发现 XX 网中各类非法远程控制行为，及时发现并阻断该行为。 6 跨网安全访问与交换平台安全方案 在接入网中，由跨网安全 2 安全检测 复制分流器 IPS、WAF、流量分析、沙箱检测、数据防泄漏、数据库审计等各类检测设备针对流量 的 安全检测需求，可通过配置一台高性能的 TAP 复制分流器对重要的网络节点镜像的流 量进 行采集和复制，把流量均衡分散到多个出接口，转发给 IPS、WAF、流量分析、沙箱检 测、数 据防泄漏、数据库审计等各类检测设备的安全检测引擎进行数据分析， 维持同源同 宿，保证 用户数据和会话的完整性。

对接全省实有人口数据库......................................................................................8 2.2.2 对接在逃、违法犯罪、治安特种行业数据库......................................................8 2.2.3 对接人脸识别数据库....... 平台，为在全省禁毒工 作贡献更多力量。 本平台从数据收集体系建设、业务应用系统建设、企业监管体系建设、大 数据深度挖掘、平台对接、五个重点方面规划设计并实施。其中数据收集体系 建设具体包括数据库建设、数据收集两部分，系统建设包含专题挖掘应用、业 务专题支撑应用、升级完善、支撑服务能力建设四部分。数据应用体系建设包 括多样花的数据分析结果的预警和报警，案件的关联分析和提醒等。企业监管 在禁毒工作中，对已经收录的吸毒人员进行管理是基本需求，内网的人员 管理模块利用建立人员数据库针对人员的信息进行管理，主要包括如下几点： （1）吸毒人员基础数据库。通过建立吸毒人员基础库，实现对对人员基础 信息的管理，并提供基础信息给予其他应用进行使用。在建立基础库时参考已 有内网吸毒人员数据，与吸毒人员数据保持一致，以便数据互通和导入； （2）新增吸毒人员：可以对数据库进行操作，新增和批量导入吸毒人员； （3）吸毒人员编

..................18 3.4.3.1 数据库选型和数据分类................................................................................................................18 3.4.3.2 人口库数据库表清单（部分）附件..................... .......................................................................19 3.4.3.3 数据库逻辑结构设计（部分）....................................................................................................19 3 本文依据“一中心、四平台”项目城市大数据中心建设的《需求规格说明 书》中所规定的软件开发需求和界定的系统开发范围，将软件需求转换为系统 的软件设计架构，明确软件的系统总体结构、子系统结构、接口设计、数据库 设计，以及运行环境设计、部署架构等设计内容，为下一步的软件开发、测试、 部署、运维提供明确的依据和指导。 1.2 项目背景 通过一中心、四平台和 N 个应用的建设，即城市大数据中心、电子政务综

项目概述 1.1. 系统描述 XX 数据中心平台共有三个信息系统：能源应用，环保应用，市节能减排应 用。 企业节点通过企业信息前置机抓取企业节点数据，并把这些数据上传到 XX 数据中心的数据库中，数据库对这些企业数据进行汇总与分析，同时企业节点 也可以通过 VPN 去访问 XX 数据中心的相关应用。 XX 数据中心平台也可通过政务外网，环保专网与相关部分进行信息交互。 提供信息访问。 20986-2007《信息安全技术信息安全事件分类分级指南》 2. 安全风险分析 2.1. 系统脆弱性分析 人的脆弱性：人的安全意识不足导致的各种被攻击可能，如接受未知数据， 设置弱口令等。 安全技术的脆弱性：操作系统和数据库的安全脆弱性，系统配置的安全脆 弱性，访问控制机制的安全脆弱性，测评和认证的脆弱性。 运行的脆弱性：监控系统的脆弱性，无入侵检测设备，响应和恢复机制的 不完善。 2.2. 安全威胁分析 2 （3）计算环境的主动攻击威胁 引入病毒攻击；引入恶意代码攻击；冒充超级用户或其他合法用户；拒绝 服务和数据的篡改；伪装成合法用户和服务器进行攻击；利用配置漏洞进行攻 击；利用系统脆弱性（操作系统安全脆弱性、数据库安全脆弱性）实施攻击； 利用服务器的安全脆弱性进行攻击；利用应用系统安全脆弱性进行攻击。 （4）支持性基础设施的主动攻击威胁 对未加密或弱加密的通信线路的搭线窃听；用获取包含错误信息的证书进

框架与库选择......................................................................................25 3.3 数据库选型..........................................................................................27 3.4 ....................................52 6. 数据库设计.................................................................................................55 6.1 数据库模型设计........................................ 检 索与分析能力。该项目覆盖的主要范围包括以下几个方面： 首先，系统将涵盖数据处理与存储模块，支持多种数据源的接 入与预处理，确保数据的高效存储与管理。具体而言，系统将支持 结构化数据（如数据库）、半结构化数据（如 JSON、XML）以及 非结构化数据（如文本、图像、视频）的处理。数据处理模块将实 现数据清洗、去重、分类和索引化等功能，并为后续的智能分析提 供高质量的输入数据。 其