保護企業數據庫和(hé)應用程序安全，滿足數據合規要求以及有(yǒu)效管控數據庫免遭數據竊取，是帕拉迪一(yī)直專注在做(zuò)的(de)事情。本文将從數據庫的(de)安全管控方面，介紹數據庫安全準入控制矩陣模型的(de)構建和(hé)實踐，以此為(wèi)企業的(de)數據安全能力建設提供借鑒思路。

随着企業信息化工作的(de)開展，業務系統數據化明顯加快，數據被廣泛應用于企業內(nèi)部支撐、合作經營、産品研發等。的(de)确，數據共享促進了生産力發展，但同時也讓數據的(de)邊界模糊，數據流動變得頻繁。因此，流通共享數據給企業安全訪問控制帶來了更高(gāo)的(de)挑戰。

因為(wèi)傳統的(de)身份認證和(hé)訪問控制是基于網絡層的(de)訪問控制，劃分獨立數據網絡區域和(hé)運維管理(lǐ)區域，以IP資源（協議端口）為(wèi)對象，控制力度較為(wèi)寬泛，隻能參與網絡傳輸層的(de)訪問要求。而與業務系統有(yǒu)關的(de)訪問控制，通常以系統功能為(wèi)中心設計，通過控制用戶對不同功能界面的(de)訪問來達到權限控制的(de)目的(de)。部分數據共享時，通常系統允許以文件或圖片方式保存，并在文件中添加水印，用于在信息洩露後的(de)追溯，如(rú)果高(gāo)權限人員對數據庫內(nèi)具有(yǒu)流動性的(de)單條數據進行(xíng)傳播的(de)話，系統往往不能進行(xíng)有(yǒu)效控制。這些方式在數據中心級别資源池面前，便不足以支撐對企業內(nèi)數據傳輸、數據交換、數據處理(lǐ)的(de)更高(gāo)細粒度的(de)訪問準入控制要求。

帕拉迪作為(wèi)行(xíng)業內(nèi)領先的(de)數據庫安全整體解決方案提供商(shāng)，先後發布了基于登陸參數的(de)數據庫準入控制、基于大流量的(de)數據庫訪問控制的(de)專利技術。其數據庫類安全産品，具有(yǒu)專業的(de)全協議解碼模塊，識别和(hé)分析數據庫傳輸協議以及應用層的(de)協議解碼，剝離(lí)SQL語句。通過流會話技術，對協議進行(xíng)流重組，所有(yǒu)解析語句會被标記唯一(yī)的(de)标識。在此基礎上，針對數據庫安全訪問的(de)準入控制方面，總結形成了一(yī)個安全準入控制矩陣模型。

傳統網絡運維中，不注重數據安全的(de)流向，關注點始終停留在網絡建設層面，對數據庫的(de)訪問準入策略，元素使用網絡傳輸的(de)來源與目标IP、目标端口及協議（TCP/UDP）。

要實現對數據庫訪問準入的(de)控制，必須解決的(de)問題是對數據庫協議的(de)解析。首先需要從網絡流量中獲取數據庫的(de)訪問流量，識别數據庫協議，例如(rú)Oracle的(de)數據傳輸協議TNS、SQL Server傳輸協議TDS。

然後對數據庫流量協議數據包進行(xíng)全協議解析，其中必然涉及到對加密數據庫信息的(de)破解（如(rú)SQLServer的(de)TDS協議，需要通過獲取加密證書實現加密登錄參數解析），從中識别可(kě)利用的(de)獨特參數。

從以上對Oracle數據庫的(de)簡短(duǎn)訪問請求中我們(men)可(kě)以看到，除了訪問IP、端口和(hé)協議外，還能夠采集的(de)參數信息包括客戶端應用程序名（navicat.exe）、客戶端主機(jī)名（DESKTOP-VCK0MFC）、客戶端主機(jī)用戶名（J），以及使用的(de)數據庫賬号名（system）和(hé)實例服務名（xe），以上稱為(wèi)準入控制因子(zǐ)。

主流應用中使用數據庫軟件種類衆多，協議類型、加密方法各不相同，我們(men)通過協議解析獲得的(de)數據庫應用協議內(nèi)的(de)參數信息也不相同，其部分舉例如(rú)下：

在安全準入控制模型中，加入以上準入控制因子(zǐ)，便可(kě)以得到更高(gāo)細粒度的(de)訪問控制，準入控制策略也将變得更靈活。

企業內(nèi)訪問數據庫使用的(de)準入因子(zǐ)多種多樣，例如(rú)業務中間件與數據庫集群交互、業務應用後台維護對數據庫的(de)訪問、運維DBA利用工具對數據庫表的(de)操作行(xíng)為(wèi)。而做(zuò)到評估所有(yǒu)“需要知道(dào)”的(de)訪問權限信息是非常困難且成本過高(gāo)的(de)，因此需要自(zì)動化且更智能的(de)方法。

安全準入控制模型，基于大流量的(de)數據庫協議全解碼技術，通過機(jī)器學(xué)習，實現對全網數據庫流量（包含業務系統請求的(de)南北(běi)向流量、運維與數據中心內(nèi)服務器交互的(de)東西向流量）內(nèi)安全訪問準入因子(zǐ)的(de)自(zì)主學(xué)習，快速完善數據庫訪問策略，形成準入控制矩陣。

完善可(kě)視(shì)化的(de)準入控制矩陣，形成了白名單式的(de)安全規則配置，對數據庫的(de)所有(yǒu)訪問行(xíng)為(wèi)，都需要進入準入控制矩陣進行(xíng)混合匹配認證，隻有(yǒu)符合複雜白名單規則的(de)訪問才被允許。而不斷變換攻擊腳本程序、賬号以及目标設備的(de)異常攻擊行(xíng)為(wèi)，都會被精準識别并及時阻斷。不管是業務系統的(de)外來請求，還是服務器集群內(nèi)的(de)東西向交互訪問，實現完全杜絕非法行(xíng)為(wèi)的(de)管控。

所以，數據庫安全準入控制矩陣模型的(de)構建是以協議全解碼技術為(wèi)基礎，識别多項準入控制因子(zǐ)，通過訪問內(nèi)容的(de)自(zì)主學(xué)習，形成的(de)準入控制矩陣。對數據庫的(de)訪問進行(xíng)準入控制，對非理(lǐ)性和(hé)異常行(xíng)為(wèi)達到精準阻斷，有(yǒu)效落地(dì)企業數據庫安全能力。

數據庫安全準入控制矩陣模型是企業構建數據庫安全能力建設之中的(de)一(yī)環，是實現靈活多變自(zì)适應式的(de)且具有(yǒu)高(gāo)細粒度訪問控制矩陣的(de)最佳實踐。對企業而言，特别是在面對衆多以獲取企業敏感數據信息為(wèi)目的(de)的(de)威脅面前，在未來以數據為(wèi)中心的(de)新經濟時代，通過整合來自(zì)人、流程和(hé)技術的(de)輸入信息，有(yǒu)效構建并提升企業數據安全能力，才能在威脅來臨之際快速、自(zì)信地(dì)做(zuò)出反應。