企業(yè)信息數(shù)據(jù)的高利益誘惑、不斷精進(jìn)的武器化攻擊方法、攻擊情報(bào)收集更加便利，在日益劇增的網(wǎng)絡(luò)安全威脅狀況下，傳統(tǒng)性的終端安全和網(wǎng)絡(luò)安全顯得捉襟見肘，已無法保障企業(yè)組織真正重要的東西–業(yè)務(wù)數(shù)據(jù)和應(yīng)用程序。

如何維持企業(yè)的核心競爭力，保證業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全，需要構(gòu)建更高層次、更全面、更具成熟度的數(shù)據(jù)安全能力。

而數(shù)據(jù)庫安全能力，承載了企業(yè)核心業(yè)務(wù)數(shù)據(jù)的系統(tǒng)軟件，已經(jīng)成為業(yè)務(wù)運(yùn)行和數(shù)據(jù)保護(hù)的基礎(chǔ)設(shè)施，自然也成為針對(duì)性攻擊的首要目標(biāo)。

而數(shù)據(jù)風(fēng)險(xiǎn)帶來的爆炸半徑早已遠(yuǎn)超過去，數(shù)據(jù)庫安全首當(dāng)其沖躍上安全部門的數(shù)據(jù)安全能力建設(shè)工作清單榜首。

數(shù)據(jù)庫安全能力如何建設(shè)？保護(hù)企業(yè)數(shù)據(jù)庫和應(yīng)用程序安全，滿足數(shù)據(jù)合規(guī)要求以及有效管控?cái)?shù)據(jù)庫免遭數(shù)據(jù)竊取，是每個(gè)CSO都會(huì)關(guān)注的事情，筆者近幾年一直在漢領(lǐng)信息從事數(shù)據(jù)庫安全管控方面的工作，下面介紹下我的數(shù)據(jù)庫安全準(zhǔn)入控制矩陣模型的構(gòu)建和實(shí)踐心得，以此為企業(yè)組織的數(shù)據(jù)安全能力建設(shè)提供借鑒思路。

隨著信息化開展，業(yè)務(wù)系統(tǒng)數(shù)據(jù)化明顯，數(shù)據(jù)被廣泛應(yīng)用于企業(yè)內(nèi)部支撐、合作經(jīng)營、產(chǎn)品研發(fā)等，數(shù)據(jù)共享帶來了普遍性，促進(jìn)了生產(chǎn)力發(fā)展，同時(shí)也讓數(shù)據(jù)的邊界模糊，流動(dòng)變得頻繁。

因此，流通共享數(shù)據(jù)的安全訪問控制帶來了更高的挑戰(zhàn)。

為什么傳統(tǒng)的身份認(rèn)證和訪問控制不再適用于數(shù)據(jù)安全？因?yàn)閭鹘y(tǒng)的身份認(rèn)證和訪問控制是基于網(wǎng)絡(luò)層的訪問控制，通過劃分獨(dú)立數(shù)據(jù)網(wǎng)絡(luò)區(qū)域和運(yùn)維管理區(qū)域，以IP資源（協(xié)議端口）為對(duì)象，控制力度較為寬泛，只能參與網(wǎng)絡(luò)傳輸層的訪問要求。

與業(yè)務(wù)系統(tǒng)有關(guān)的訪問控制，通常以核心業(yè)務(wù)實(shí)現(xiàn)為中心設(shè)計(jì)，通過控制用戶對(duì)不同功能界面的訪問來達(dá)到權(quán)限控制的目的。

部分?jǐn)?shù)據(jù)共享時(shí)，通常系統(tǒng)允許以文件或圖片方式保存，并在文件中添加水印，用于在信息泄露后的追溯，如果高權(quán)限人員對(duì)數(shù)據(jù)庫內(nèi)具有流動(dòng)性的單條數(shù)據(jù)進(jìn)行傳播，系統(tǒng)則難以招架。

這些方式在面對(duì)數(shù)據(jù)中心級(jí)別資源池面前，便不足以支撐對(duì)企業(yè)內(nèi)數(shù)據(jù)傳輸、數(shù)據(jù)交換、數(shù)據(jù)處理的更高細(xì)粒度的訪問準(zhǔn)入控制要求。

一個(gè)核心技術(shù)點(diǎn)是協(xié)議解碼框架，需要有專業(yè)的全協(xié)議解碼能力，識(shí)別和分析數(shù)據(jù)庫傳輸協(xié)議以及應(yīng)用層的協(xié)議解碼，剝離SQL語句。

通過流會(huì)話技術(shù)，對(duì)協(xié)議進(jìn)行流重組，所有解析語句會(huì)被標(biāo)記唯一的標(biāo)識(shí)。

在此基礎(chǔ)上，針對(duì)數(shù)據(jù)庫安全訪問的準(zhǔn)入控制方面，總結(jié)形成了一個(gè)安全準(zhǔn)入控制矩陣模型。

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中，不注重?cái)?shù)據(jù)安全的流向，關(guān)注點(diǎn)始終停留在網(wǎng)絡(luò)建設(shè)層面，對(duì)數(shù)據(jù)庫的訪問準(zhǔn)入策略，元素使用網(wǎng)絡(luò)傳輸?shù)膩碓磁c目標(biāo)IP、目標(biāo)端口及協(xié)議（TCP/UDP）。

要實(shí)現(xiàn)對(duì)數(shù)據(jù)庫訪問準(zhǔn)入的控制，首當(dāng)其沖便是對(duì)數(shù)據(jù)庫協(xié)議的解析。

首先需要從網(wǎng)絡(luò)流量中獲取數(shù)據(jù)庫的訪問流量，識(shí)別數(shù)據(jù)庫協(xié)議，例如Oracle的數(shù)據(jù)傳輸協(xié)議TNS、SQL Server傳輸協(xié)議TDS。

然后對(duì)數(shù)據(jù)庫流量協(xié)議數(shù)據(jù)包進(jìn)行全協(xié)議解碼，其必然涉及到對(duì)加密數(shù)據(jù)庫信息的破解（如SQLServer的TDS協(xié)議，需要通過獲取加密證書實(shí)現(xiàn)加密登錄參數(shù)解析），從中識(shí)別可利用的獨(dú)特參數(shù)。

除了訪問IP、端口和協(xié)議外，還能夠采集的參數(shù)信息有客戶端應(yīng)用程序名（navicat.exe）、客戶端主機(jī)名（DESKTOP-VCK0MFC）、客戶端主機(jī)用戶名（J），以及訪問時(shí)使用的數(shù)據(jù)庫賬號(hào)名（system）和實(shí)例服務(wù)名（xe），以上稱為準(zhǔn)入控制因子。

企業(yè)組織架構(gòu)設(shè)計(jì)時(shí)，可選用數(shù)據(jù)庫軟件種類眾多，協(xié)議類型、加密方法各不相同，我們通過協(xié)議解析獲得的數(shù)據(jù)庫應(yīng)用協(xié)議內(nèi)的參數(shù)信息也不相同。

如何構(gòu)建實(shí)現(xiàn)矩陣模型?創(chuàng)新的安全準(zhǔn)入控制模型，以數(shù)據(jù)庫協(xié)議的解析為核心基礎(chǔ)，加入流量解析識(shí)別而來的準(zhǔn)入因子，形成更完善的可選準(zhǔn)入控制因子集合。

企業(yè)內(nèi)對(duì)數(shù)據(jù)庫訪問使用的準(zhǔn)入因子多種多樣，因?yàn)樵L問途徑較多，例如業(yè)務(wù)中間件與數(shù)據(jù)庫集群交互，業(yè)務(wù)應(yīng)用后臺(tái)維護(hù)對(duì)數(shù)據(jù)庫的訪問，運(yùn)維DBA利用工具對(duì)數(shù)據(jù)庫表的操作行為。

而做到評(píng)估所有的“需要知道”的訪問權(quán)限信息是非常困難且成本過高的，因此需要自動(dòng)化的方法，而且需要更智能。

安全準(zhǔn)入控制模型，基于數(shù)據(jù)中心大流量的數(shù)據(jù)庫協(xié)議全解碼技術(shù)，通過機(jī)器學(xué)習(xí)，實(shí)現(xiàn)對(duì)全網(wǎng)數(shù)據(jù)庫流量（包含業(yè)務(wù)系統(tǒng)請(qǐng)求的南北向流量、運(yùn)維與數(shù)據(jù)中心內(nèi)服務(wù)器交互的東西向流量）內(nèi)安全訪問準(zhǔn)入因子的自主學(xué)習(xí)，甄別自動(dòng)化腳本攻擊摻入的臟數(shù)據(jù)，快速完善數(shù)據(jù)庫訪問策略，形成準(zhǔn)入控制矩陣。

如何完美實(shí)現(xiàn)技術(shù)落地？在業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫訪問路徑中間，建立完善可視化的準(zhǔn)入控制矩陣，形成了白名單式的安全規(guī)則配置，對(duì)數(shù)據(jù)庫的所有訪問行為，都需要進(jìn)入準(zhǔn)入控制矩陣進(jìn)行混合匹配認(rèn)證，只有符合復(fù)雜白名單規(guī)則的訪問才被允許。

而自動(dòng)化變換攻擊腳本程序、更換賬號(hào)以及目標(biāo)設(shè)備的異常攻擊行為，都會(huì)被精準(zhǔn)識(shí)別并及時(shí)阻斷。

不管從業(yè)務(wù)系統(tǒng)的外來請(qǐng)求，還是服務(wù)器集群內(nèi)的東西向交互訪問，實(shí)現(xiàn)完全杜絕非法行為。

所以，數(shù)據(jù)庫安全準(zhǔn)入控制矩陣模型的構(gòu)建是以協(xié)議全解碼技術(shù)為基礎(chǔ)，識(shí)別多項(xiàng)準(zhǔn)入控制因子，通過訪問內(nèi)容的自主學(xué)習(xí)，形成的準(zhǔn)入控制矩陣。

對(duì)數(shù)據(jù)庫的訪問進(jìn)行準(zhǔn)入控制，對(duì)非理性和異常行為達(dá)到精準(zhǔn)阻斷，有效落地企業(yè)數(shù)據(jù)庫安全能力。

數(shù)據(jù)庫安全準(zhǔn)入控制矩陣模型是企業(yè)構(gòu)建數(shù)據(jù)庫安全能力建設(shè)內(nèi)容之中的一環(huán)，是實(shí)現(xiàn)靈活多變、自適應(yīng)式、且具有高細(xì)粒度訪問控制矩陣的最佳實(shí)踐。

對(duì)企業(yè)組織而言，特別是在面對(duì)眾多以獲取企業(yè)敏感數(shù)據(jù)信息為目的的威脅面前，在未來以數(shù)據(jù)為中心的新經(jīng)濟(jì)時(shí)代，通過整合來自人、流程和技術(shù)的輸入信息，才能有效構(gòu)建并提升企業(yè)數(shù)據(jù)安全能力，才能在威脅來臨之際快速、自信地做出反應(yīng)。