近期�,業(yè)界在廣泛討論數(shù)據(jù)分類分級對于數(shù)據(jù)安全的重要性。一些人認(rèn)為��,雖然數(shù)據(jù)的分類整理對于其流通和使用具有積極作用����,但對于確保數(shù)據(jù)安全的貢獻(xiàn)有限���。他們認(rèn)為這一局限性主要源于應(yīng)用層面的數(shù)據(jù)管控?zé)o法與數(shù)據(jù)庫數(shù)據(jù)的分類分級結(jié)果有效整合��,因此只能依賴于應(yīng)用層自身的數(shù)據(jù)分類分級機(jī)制�����。
然而,筆者對此持有不同看法���。
通過實(shí)施三層穿透技術(shù)��,我們可以識別并關(guān)聯(lián)應(yīng)用層數(shù)據(jù)所涉及的數(shù)據(jù)庫表和字段���,進(jìn)而與數(shù)據(jù)庫數(shù)據(jù)的分類分級結(jié)果相結(jié)合��。這種技術(shù)的應(yīng)用能夠?qū)崿F(xiàn)對應(yīng)用層面數(shù)據(jù)的精確安全管控,確保數(shù)據(jù)安全策略的一致性和有效性。這不僅提高了數(shù)據(jù)管理的效率���,也加強(qiáng)了數(shù)據(jù)安全的整體防護(hù)。
在三層架構(gòu)體系中,系統(tǒng)由客戶端���、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器三個核心層次構(gòu)成。客戶端主要通過瀏覽器��,利用HTTP協(xié)議與應(yīng)用服務(wù)器進(jìn)行通信���,用戶與之交互的是網(wǎng)頁URL鏈接等網(wǎng)絡(luò)訪問手段���。當(dāng)應(yīng)用服務(wù)器接收到來自客戶端的請求時�����,它會根據(jù)請求內(nèi)容構(gòu)造相應(yīng)的SQL語句���,對后端數(shù)據(jù)庫執(zhí)行具體的數(shù)據(jù)操作�����。操作完成后,應(yīng)用服務(wù)器將處理結(jié)果封裝并傳遞回客戶端���,完成整個請求-響應(yīng)的數(shù)據(jù)交互過程。
在傳統(tǒng)數(shù)據(jù)安全管理中,應(yīng)用服務(wù)器層的HTTP訪問與數(shù)據(jù)庫層的SQL訪問之間存在信息孤島���,導(dǎo)致敏感數(shù)據(jù)的識別工作往往獨(dú)立于各自的層面進(jìn)行���。這種分離的識別機(jī)制限制了數(shù)據(jù)安全管控的效率和效果�����,因?yàn)樗枰趦蓚€層面上分別實(shí)施敏感數(shù)據(jù)的識別�����,然后才能對這些數(shù)據(jù)執(zhí)行必要的保護(hù)措施。
為了提升數(shù)據(jù)安全管理的一致性和連續(xù)性��,可采取一種綜合策略�����,實(shí)現(xiàn)應(yīng)用層與數(shù)據(jù)庫層安全策略的同步��,確保敏感數(shù)據(jù)在全生命周期內(nèi)得到統(tǒng)一識別和保護(hù),也即“三層穿透技術(shù)”��。
三層穿透技術(shù)通過在應(yīng)用服務(wù)器上部署輕量級的插件(Agent)��,實(shí)現(xiàn)了對客戶端通過URL訪問應(yīng)用服務(wù)器的行為與應(yīng)用服務(wù)器發(fā)起的數(shù)據(jù)庫SQL操作之間的智能關(guān)聯(lián)�����。這一技術(shù)能夠使數(shù)據(jù)庫審計��、數(shù)據(jù)庫防火墻和數(shù)據(jù)動態(tài)脫敏等精確追蹤并識別涉及的用戶身份、數(shù)據(jù)庫表和字段信息,提供了必要的上下文信息�。如下圖����,用戶訪問應(yīng)用服務(wù)器的請求與應(yīng)用服務(wù)器訪問數(shù)據(jù)庫的SQL進(jìn)行關(guān)聯(lián):
將三層穿透識別結(jié)果同步給應(yīng)用前端的數(shù)據(jù)安全管控能力����,實(shí)現(xiàn)對應(yīng)用返回數(shù)據(jù)的安全管控當(dāng)用戶訪問應(yīng)用程序的某項(xiàng)功能時��,所觸發(fā)的API調(diào)用是預(yù)定義的���,這意味著相應(yīng)的SQL查詢所涉及的數(shù)據(jù)庫表和字段也是固定的�����。利用三層穿透技術(shù),數(shù)據(jù)庫審計系統(tǒng)等安全能力能夠精確識別用戶請求所關(guān)聯(lián)的表和字段信息�。這些信息隨后可以被傳遞至應(yīng)用層的數(shù)據(jù)安全控制能力�。
結(jié)合數(shù)據(jù)庫數(shù)據(jù)分類分級的結(jié)果和用戶的權(quán)限設(shè)置�����,應(yīng)用層數(shù)據(jù)安全控制能力就能夠?qū)嵤┒ㄖ苹臄?shù)據(jù)安全策略�。如下圖:
用戶User1被授予對“個人信息”類別數(shù)據(jù)的讀取權(quán)限�����,但禁止寫入操作�����;而用戶User2則被限制對“經(jīng)營數(shù)據(jù)”類別數(shù)據(jù)的讀取和寫入權(quán)限。通過將用戶權(quán)限信息與數(shù)據(jù)分類分級結(jié)果相結(jié)合�����,我們可以明確:當(dāng)用戶User1訪問存儲個人信息的User_info表時���,可以查看訪數(shù)據(jù)的明文形式�����;相對地,User2在訪問存儲經(jīng)營信息的Finance_info表時,必須對相關(guān)數(shù)據(jù)應(yīng)用脫敏處理����,以確保數(shù)據(jù)的保密性�。
利用三層穿透識別結(jié)果直接在數(shù)據(jù)庫前端實(shí)現(xiàn)對返回給應(yīng)用的數(shù)據(jù)進(jìn)行安全管控利用三層穿透技術(shù)���,數(shù)據(jù)庫審計�、數(shù)據(jù)動態(tài)脫敏和數(shù)據(jù)庫防火墻等數(shù)據(jù)安全能力能夠精確識別訪問過程中涉及的用戶身份、數(shù)據(jù)表和字段等關(guān)鍵信息。識別后,可以直接與數(shù)據(jù)分類分級的結(jié)果以及用戶權(quán)限相結(jié)合�,對返回給應(yīng)用的數(shù)據(jù)進(jìn)行風(fēng)險監(jiān)測和控制���。
根據(jù)上述定義的用戶權(quán)限和數(shù)據(jù)分類分級結(jié)果���,數(shù)據(jù)庫防火墻能夠?qū)崿F(xiàn)訪問控制:對于User1用戶的合法訪問請求��,數(shù)據(jù)庫防火墻將予以放行,確保其正常訪問所需數(shù)據(jù)���;而對于User2用戶的訪問請求,由于其權(quán)限限制��,數(shù)據(jù)庫防火墻將直接阻斷其訪問��,并觸發(fā)安全告警機(jī)制���,及時通知管理員存在可能的未授權(quán)訪問嘗試�����。
三層穿透技術(shù)通過精確關(guān)聯(lián)應(yīng)用層請求與數(shù)據(jù)庫操作,為識別和追蹤用戶行為提供了有效手段。盡管如此,這項(xiàng)技術(shù)在實(shí)施過程中也面臨了一些挑戰(zhàn):
1��、架構(gòu)適應(yīng)性挑戰(zhàn):三層穿透技術(shù)用于跨越多層系統(tǒng)架構(gòu)���,其效果可能受到應(yīng)用架構(gòu)復(fù)雜性的影響�。例如,在四層或包含單點(diǎn)登錄、負(fù)載均衡的架構(gòu)中����,用戶信息的準(zhǔn)確識別可能變得困難�,從而影響穿透技術(shù)的效果�。
2、系統(tǒng)兼容性問題:不同數(shù)據(jù)庫和應(yīng)用系統(tǒng)架構(gòu)可能需要特定的穿透技術(shù),這也可能導(dǎo)致兼容性問題��,需要對不同系統(tǒng)進(jìn)行定制化適配���,增加了技術(shù)整合的復(fù)雜度����。
要解決好企業(yè)的數(shù)據(jù)安全問題,應(yīng)該是一個體系化的建設(shè)過程,包括組織團(tuán)隊(duì)保障、制度流程指導(dǎo)、防護(hù)技術(shù)支撐,以及日常持續(xù)的運(yùn)營��,而不應(yīng)是單靠某項(xiàng)技術(shù)或產(chǎn)品就可以解決好數(shù)據(jù)安全問題��。在數(shù)據(jù)安全體系建設(shè)過程中數(shù)據(jù)分類分級是基礎(chǔ)�����,是精細(xì)化安全管控策略制定的依據(jù),形成基于身份、權(quán)限����、行為的細(xì)粒度管控�。
同時����,數(shù)據(jù)分類分級也需要持續(xù)化運(yùn)營���,而不是一次完成后就一勞永逸的�,需要隨著數(shù)據(jù)使用場景的變化、數(shù)據(jù)量的變化等多方面因素綜合考量數(shù)據(jù)分類分級標(biāo)準(zhǔn)的調(diào)整���,持續(xù)對數(shù)據(jù)進(jìn)行分類分級。后續(xù)我們將介紹“如何實(shí)現(xiàn)持續(xù)的對數(shù)據(jù)分類分級”���。
題-4.jpg)
