企業信息數據的高利益誘惑、不斷精進的武器化攻擊方法、攻擊情報收集更加便利，在日益劇增的網絡安全威脅狀況下，傳統性的終端安全和網絡安全顯得捉襟見肘，已無法保障企業組織真正重要的東西–業務數據和應用程序。

如何維持企業的核心競爭力，保證業務連續性和數據安全，需要構建更高層次、更全面、更具成熟度的數據安全能力（參考DSMM數據安全能力成熟度模型）。

而數據庫安全能力，承載了企業核心業務數據的系統軟件，已經成為業務運行和數據保護的基礎設施，自然也成為針對性攻擊的首要目標。

而數據風險帶來的爆炸半徑早已遠超過去，數據庫安全首當其沖躍上安全部門的數據安全能力建設工作清單榜首。

數據庫安全能力如何建設？保護企業數據庫和應用程序安全，滿足數據合規要求以及有效管控數據庫免遭數據竊取，是每個CSO都會關注的事情，筆者近幾年一直在漢領信息從事數據庫安全管控方面的工作，下面介紹下我的數據庫安全準入控制矩陣模型的構建和實踐心得，以此為企業組織的數據安全能力建設提供借鑒思路。

隨著信息化開展，業務系統數據化明顯，數據被廣泛應用于企業內部支撐、合作經營、產品研發等，數據共享帶來了普遍性，促進了生產力發展，同時也讓數據的邊界模糊，流動變得頻繁。

因此，流通共享數據的安全訪問控制帶來了更高的挑戰。

為什么傳統的身份認證和訪問控制不再適用于數據安全？因為傳統的身份認證和訪問控制是基于網絡層的訪問控制，通過劃分獨立數據網絡區域和運維管理區域，以IP資源（協議端口）為對象，控制力度較為寬泛，只能參與網絡傳輸層的訪問要求。

與業務系統有關的訪問控制，通常以核心業務實現為中心設計，通過控制用戶對不同功能界面的訪問來達到權限控制的目的。

部分數據共享時，通常系統允許以文件或圖片方式保存，并在文件中添加水印，用于在信息泄露后的追溯，如果高權限人員對數據庫內具有流動性的單條數據進行傳播，系統則難以招架。

這些方式在面對數據中心級別資源池面前，便不足以支撐對企業內數據傳輸、數據交換、數據處理的更高細粒度的訪問準入控制要求。

一個核心技術點是協議解碼框架，需要有專業的全協議解碼能力，識別和分析數據庫傳輸協議以及應用層的協議解碼，剝離SQL語句。

通過流會話技術，對協議進行流重組，所有解析語句會被標記唯一的標識。

在此基礎上，針對數據庫安全訪問的準入控制方面，總結形成了一個安全準入控制矩陣模型。

傳統網絡架構中，不注重數據安全的流向，關注點始終停留在網絡建設層面，對數據庫的訪問準入策略，元素使用網絡傳輸的來源與目標IP、目標端口及協議（TCP/UDP）。

在安全準入控制中，對數據庫的訪問準入還能基于哪些元素？要實現對數據庫訪問準入的控制，首當其沖便是對數據庫協議的解析。

首先需要從網絡流量中獲取數據庫的訪問流量，識別數據庫協議，例如Oracle的數據傳輸協議TNS、SQL Server傳輸協議TDS。

然后對數據庫流量協議數據包進行全協議解碼，其必然涉及到對加密數據庫信息的破解（如SQLServer的TDS協議，需要通過獲取加密證書實現加密登錄參數解析），從中識別可利用的獨特參數。

除了訪問IP、端口和協議外，還能夠采集的參數信息有客戶端應用程序名（navicat.exe）、客戶端主機名（DESKTOP-VCK0MFC）、客戶端主機用戶名（J），以及訪問時使用的數據庫賬號名（system）和實例服務名（xe），以上稱為準入控制因子。

企業組織架構設計時，可選用數據庫軟件種類眾多，協議類型、加密方法各不相同，我們通過協議解析獲得的數據庫應用協議內的參數信息也不相同。

如何構建實現矩陣模型?創新的安全準入控制模型，以數據庫協議的解析為核心基礎，加入流量解析識別而來的準入因子，形成更完善的可選準入控制因子集合。

企業內對數據庫訪問使用的準入因子多種多樣，因為訪問途徑較多，例如業務中間件與數據庫集群交互，業務應用后臺維護對數據庫的訪問，運維DBA利用工具對數據庫表的操作行為。

而做到評估所有的“需要知道”的訪問權限信息是非常困難且成本過高的，因此需要自動化的方法，而且需要更智能。

安全準入控制模型，基于數據中心大流量的數據庫協議全解碼技術，通過機器學習，實現對全網數據庫流量（包含業務系統請求的南北向流量、運維與數據中心內服務器交互的東西向流量）內安全訪問準入因子的自主學習，甄別自動化腳本攻擊摻入的臟數據，快速完善數據庫訪問策略，形成準入控制矩陣。

如何完美實現技術落地？在業務系統與數據庫訪問路徑中間，建立完善可視化的準入控制矩陣，形成了白名單式的安全規則配置，對數據庫的所有訪問行為，都需要進入準入控制矩陣進行混合匹配認證，只有符合復雜白名單規則的訪問才被允許。

而自動化變換攻擊腳本程序、更換賬號以及目標設備的異常攻擊行為，都會被精準識別并及時阻斷。

不管從業務系統的外來請求，還是服務器集群內的東西向交互訪問，實現完全杜絕非法行為。

所以，數據庫安全準入控制矩陣模型的構建是以協議全解碼技術為基礎，識別多項準入控制因子，通過訪問內容的自主學習，形成的準入控制矩陣。

對數據庫的訪問進行準入控制，對非理性和異常行為達到精準阻斷，有效落地企業數據庫安全能力。

數據庫安全準入控制矩陣模型是企業構建數據庫安全能力建設內容之中的一環，是實現靈活多變、自適應式、且具有高細粒度訪問控制矩陣的最佳實踐。

對企業組織而言，特別是在面對眾多以獲取企業敏感數據信息為目的的威脅面前，在未來以數據為中心的新經濟時代，通過整合來自人、流程和技術的輸入信息，才能有效構建并提升企業數據安全能力，才能在威脅來臨之際快速、自信地做出反應。