近期�����,業(yè)界在廣泛討論數(shù)據(jù)分類分級對于數(shù)據(jù)安全的重要性�。一些人認(rèn)為,雖然數(shù)據(jù)的分類整理對于其流通和使用具有積極作用�,但對于確保數(shù)據(jù)安全的貢獻(xiàn)有限�����。他們認(rèn)為這一局限性主要源于應(yīng)用層面的數(shù)據(jù)管控?zé)o法與數(shù)據(jù)庫數(shù)據(jù)的分類分級結(jié)果有效整合��,因此只能依賴于應(yīng)用層自身的數(shù)據(jù)分類分級機(jī)制��。
然而,筆者對此持有不同看法�。
通過實(shí)施三層穿透技術(shù)��,我們可以識別并關(guān)聯(lián)應(yīng)用層數(shù)據(jù)所涉及的數(shù)據(jù)庫表和字段,進(jìn)而與數(shù)據(jù)庫數(shù)據(jù)的分類分級結(jié)果相結(jié)合��。這種技術(shù)的應(yīng)用能夠?qū)崿F(xiàn)對應(yīng)用層面數(shù)據(jù)的精確安全管控���,確保數(shù)據(jù)安全策略的一致性和有效性�����。這不僅提高了數(shù)據(jù)管理的效率����,也加強(qiáng)了數(shù)據(jù)安全的整體防護(hù)�����。
在三層架構(gòu)體系中��,系統(tǒng)由客戶端、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器三個核心層次構(gòu)成�?���?蛻舳酥饕ㄟ^瀏覽器���,利用HTTP協(xié)議與應(yīng)用服務(wù)器進(jìn)行通信���,用戶與之交互的是網(wǎng)頁URL鏈接等網(wǎng)絡(luò)訪問手段����。當(dāng)應(yīng)用服務(wù)器接收到來自客戶端的請求時,它會根據(jù)請求內(nèi)容構(gòu)造相應(yīng)的SQL語句����,對后端數(shù)據(jù)庫執(zhí)行具體的數(shù)據(jù)操作�。操作完成后�,應(yīng)用服務(wù)器將處理結(jié)果封裝并傳遞回客戶端,完成整個請求-響應(yīng)的數(shù)據(jù)交互過程����。
在傳統(tǒng)數(shù)據(jù)安全管理中�,應(yīng)用服務(wù)器層的HTTP訪問與數(shù)據(jù)庫層的SQL訪問之間存在信息孤島��,導(dǎo)致敏感數(shù)據(jù)的識別工作往往獨(dú)立于各自的層面進(jìn)行�����。這種分離的識別機(jī)制限制了數(shù)據(jù)安全管控的效率和效果,因?yàn)樗枰趦蓚€層面上分別實(shí)施敏感數(shù)據(jù)的識別����,然后才能對這些數(shù)據(jù)執(zhí)行必要的保護(hù)措施��。
為了提升數(shù)據(jù)安全管理的一致性和連續(xù)性,可采取一種綜合策略,實(shí)現(xiàn)應(yīng)用層與數(shù)據(jù)庫層安全策略的同步,確保敏感數(shù)據(jù)在全生命周期內(nèi)得到統(tǒng)一識別和保護(hù)����,也即“三層穿透技術(shù)”���。
三層穿透技術(shù)通過在應(yīng)用服務(wù)器上部署輕量級的插件(Agent)���,實(shí)現(xiàn)了對客戶端通過URL訪問應(yīng)用服務(wù)器的行為與應(yīng)用服務(wù)器發(fā)起的數(shù)據(jù)庫SQL操作之間的智能關(guān)聯(lián)��。這一技術(shù)能夠使數(shù)據(jù)庫審計��、數(shù)據(jù)庫防火墻和數(shù)據(jù)動態(tài)脫敏等精確追蹤并識別涉及的用戶身份�、數(shù)據(jù)庫表和字段信息�,提供了必要的上下文信息。如下圖,用戶訪問應(yīng)用服務(wù)器的請求與應(yīng)用服務(wù)器訪問數(shù)據(jù)庫的SQL進(jìn)行關(guān)聯(lián):
將三層穿透識別結(jié)果同步給應(yīng)用前端的數(shù)據(jù)安全管控能力,實(shí)現(xiàn)對應(yīng)用返回數(shù)據(jù)的安全管控當(dāng)用戶訪問應(yīng)用程序的某項功能時��,所觸發(fā)的API調(diào)用是預(yù)定義的����,這意味著相應(yīng)的SQL查詢所涉及的數(shù)據(jù)庫表和字段也是固定的。利用三層穿透技術(shù),數(shù)據(jù)庫審計系統(tǒng)等安全能力能夠精確識別用戶請求所關(guān)聯(lián)的表和字段信息。這些信息隨后可以被傳遞至應(yīng)用層的數(shù)據(jù)安全控制能力。
結(jié)合數(shù)據(jù)庫數(shù)據(jù)分類分級的結(jié)果和用戶的權(quán)限設(shè)置�����,應(yīng)用層數(shù)據(jù)安全控制能力就能夠?qū)嵤┒ㄖ苹臄?shù)據(jù)安全策略���。如下圖:
用戶User1被授予對“個人信息”類別數(shù)據(jù)的讀取權(quán)限��,但禁止寫入操作�����;而用戶User2則被限制對“經(jīng)營數(shù)據(jù)”類別數(shù)據(jù)的讀取和寫入權(quán)限。通過將用戶權(quán)限信息與數(shù)據(jù)分類分級結(jié)果相結(jié)合�����,我們可以明確:當(dāng)用戶User1訪問存儲個人信息的User_info表時����,可以查看訪數(shù)據(jù)的明文形式;相對地,User2在訪問存儲經(jīng)營信息的Finance_info表時���,必須對相關(guān)數(shù)據(jù)應(yīng)用脫敏處理,以確保數(shù)據(jù)的保密性。
利用三層穿透識別結(jié)果直接在數(shù)據(jù)庫前端實(shí)現(xiàn)對返回給應(yīng)用的數(shù)據(jù)進(jìn)行安全管控利用三層穿透技術(shù),數(shù)據(jù)庫審計�����、數(shù)據(jù)動態(tài)脫敏和數(shù)據(jù)庫防火墻等數(shù)據(jù)安全能力能夠精確識別訪問過程中涉及的用戶身份�����、數(shù)據(jù)表和字段等關(guān)鍵信息��。識別后,可以直接與數(shù)據(jù)分類分級的結(jié)果以及用戶權(quán)限相結(jié)合�����,對返回給應(yīng)用的數(shù)據(jù)進(jìn)行風(fēng)險監(jiān)測和控制���。
根據(jù)上述定義的用戶權(quán)限和數(shù)據(jù)分類分級結(jié)果����,數(shù)據(jù)庫防火墻能夠?qū)崿F(xiàn)訪問控制:對于User1用戶的合法訪問請求,數(shù)據(jù)庫防火墻將予以放行���,確保其正常訪問所需數(shù)據(jù);而對于User2用戶的訪問請求,由于其權(quán)限限制,數(shù)據(jù)庫防火墻將直接阻斷其訪問��,并觸發(fā)安全告警機(jī)制��,及時通知管理員存在可能的未授權(quán)訪問嘗試����。
三層穿透技術(shù)通過精確關(guān)聯(lián)應(yīng)用層請求與數(shù)據(jù)庫操作���,為識別和追蹤用戶行為提供了有效手段���。盡管如此�,這項技術(shù)在實(shí)施過程中也面臨了一些挑戰(zhàn):
1����、架構(gòu)適應(yīng)性挑戰(zhàn):三層穿透技術(shù)用于跨越多層系統(tǒng)架構(gòu),其效果可能受到應(yīng)用架構(gòu)復(fù)雜性的影響����。例如�,在四層或包含單點(diǎn)登錄�、負(fù)載均衡的架構(gòu)中,用戶信息的準(zhǔn)確識別可能變得困難�����,從而影響穿透技術(shù)的效果�����。
2��、系統(tǒng)兼容性問題:不同數(shù)據(jù)庫和應(yīng)用系統(tǒng)架構(gòu)可能需要特定的穿透技術(shù),這也可能導(dǎo)致兼容性問題�,需要對不同系統(tǒng)進(jìn)行定制化適配�����,增加了技術(shù)整合的復(fù)雜度。
要解決好企業(yè)的數(shù)據(jù)安全問題�����,應(yīng)該是一個體系化的建設(shè)過程���,包括組織團(tuán)隊保障��、制度流程指導(dǎo)、防護(hù)技術(shù)支撐,以及日常持續(xù)的運(yùn)營�����,而不應(yīng)是單靠某項技術(shù)或產(chǎn)品就可以解決好數(shù)據(jù)安全問題�����。在數(shù)據(jù)安全體系建設(shè)過程中數(shù)據(jù)分類分級是基礎(chǔ)��,是精細(xì)化安全管控策略制定的依據(jù)���,形成基于身份����、權(quán)限���、行為的細(xì)粒度管控��。
同時����,數(shù)據(jù)分類分級也需要持續(xù)化運(yùn)營��,而不是一次完成后就一勞永逸的���,需要隨著數(shù)據(jù)使用場景的變化����、數(shù)據(jù)量的變化等多方面因素綜合考量數(shù)據(jù)分類分級標(biāo)準(zhǔn)的調(diào)整����,持續(xù)對數(shù)據(jù)進(jìn)行分類分級��。后續(xù)我們將介紹“如何實(shí)現(xiàn)持續(xù)的對數(shù)據(jù)分類分級”���。
題-4.jpg)
