保护企业数据库和应用程序安全，满足数据合规要求以及有效管控数据库免遭数据窃取，是汉领信息一直专注在做的事情。本文将从数据库的安全管控方面，介绍数据库安全准入控制矩阵模型的构建和实践，以此为企业的数据安全能力建设提供借鉴思路。

随着企业信息化工作的开展，业务系统数据化明显加快，数据被广泛应用于企业内部支撑、合作经营、产品研发等。的确，数据共享促进了生产力发展，但同时也让数据的边界模糊，数据流动变得频繁。因此，流通共享数据给企业安全访问控制带来了更高的挑战。

因为传统的身份认证和访问控制是基于网络层的访问控制，划分独立数据网络区域和运维管理区域，以IP资源（协议端口）为对象，控制力度较为宽泛，只能参与网络传输层的访问要求。而与业务系统有关的访问控制，通常以系统功能为中心设计，通过控制用户对不同功能界面的访问来达到权限控制的目的。部分数据共享时，通常系统允许以文件或图片方式保存，并在文件中添加水印，用于在信息泄露后的追溯，如果高权限人员对数据库内具有流动性的单条数据进行传播的话，系统往往不能进行有效控制。这些方式在数据中心级别资源池面前，便不足以支撑对企业内数据传输、数据交换、数据处理的更高细粒度的访问准入控制要求。

汉领信息作为行业内领先的数据库安全整体解决方案提供商，先后发布了基于登陆参数的数据库准入控制、基于大流量的数据库访问控制的专利技术。其数据库类安全产品，具有专业的全协议解码模块，识别和分析数据库传输协议以及应用层的协议解码，剥离SQL语句。通过流会话技术，对协议进行流重组，所有解析语句会被标记唯一的标识。在此基础上，针对数据库安全访问的准入控制方面，总结形成了一个安全准入控制矩阵模型。

传统网络运维中，不注重数据安全的流向，关注点始终停留在网络建设层面，对数据库的访问准入策略，元素使用网络传输的来源与目标IP、目标端口及协议（TCP/UDP）。

要实现对数据库访问准入的控制，必须解决的问题是对数据库协议的解析。首先需要从网络流量中获取数据库的访问流量，识别数据库协议，例如Oracle的数据传输协议TNS、SQL Server传输协议TDS。

然后对数据库流量协议数据包进行全协议解析，其中必然涉及到对加密数据库信息的破解（如SQLServer的TDS协议，需要通过获取加密证书实现加密登录参数解析），从中识别可利用的独特参数。

从以上对Oracle数据库的简短访问请求中我们可以看到，除了访问IP、端口和协议外，还能够采集的参数信息包括客户端应用程序名（navicat.exe）、客户端主机名（DESKTOP-VCK0MFC）、客户端主机用户名（J），以及使用的数据库账号名（system）和实例服务名（xe），以上称为准入控制因子。

主流应用中使用数据库软件种类众多，协议类型、加密方法各不相同，我们通过协议解析获得的数据库应用协议内的参数信息也不相同，其部分举例如下：

在安全准入控制模型中，加入以上准入控制因子，便可以得到更高细粒度的访问控制，准入控制策略也将变得更灵活。

企业内访问数据库使用的准入因子多种多样，例如业务中间件与数据库集群交互、业务应用后台维护对数据库的访问、运维DBA利用工具对数据库表的操作行为。而做到评估所有“需要知道”的访问权限信息是非常困难且成本过高的，因此需要自动化且更智能的方法。

安全准入控制模型，基于大流量的数据库协议全解码技术，通过机器学习，实现对全网数据库流量（包含业务系统请求的南北向流量、运维与数据中心内服务器交互的东西向流量）内安全访问准入因子的自主学习，快速完善数据库访问策略，形成准入控制矩阵。

完善可视化的准入控制矩阵，形成了白名单式的安全规则配置，对数据库的所有访问行为，都需要进入准入控制矩阵进行混合匹配认证，只有符合复杂白名单规则的访问才被允许。而不断变换攻击脚本程序、账号以及目标设备的异常攻击行为，都会被精准识别并及时阻断。不管是业务系统的外来请求，还是服务器集群内的东西向交互访问，实现完全杜绝非法行为的管控。

所以，数据库安全准入控制矩阵模型的构建是以协议全解码技术为基础，识别多项准入控制因子，通过访问内容的自主学习，形成的准入控制矩阵。对数据库的访问进行准入控制，对非理性和异常行为达到精准阻断，有效落地企业数据库安全能力。

数据库安全准入控制矩阵模型是企业构建数据库安全能力建设之中的一环，是实现灵活多变自适应式的且具有高细粒度访问控制矩阵的最佳实践。对企业而言，特别是在面对众多以获取企业敏感数据信息为目的的威胁面前，在未来以数据为中心的新经济时代，通过整合来自人、流程和技术的输入信息，有效构建并提升企业数据安全能力，才能在威胁来临之际快速、自信地做出反应。