近期，業(yè)界在廣泛討論數(shù)據(jù)分類(lèi)分級(jí)對(duì)于數(shù)據(jù)安全的重要性。一些人認(rèn)為，雖然數(shù)據(jù)的分類(lèi)整理對(duì)于其流通和使用具有積極作用，但對(duì)于確保數(shù)據(jù)安全的貢獻(xiàn)有限。他們認(rèn)為這一局限性主要源于應(yīng)用層面的數(shù)據(jù)管控?zé)o法與數(shù)據(jù)庫(kù)數(shù)據(jù)的分類(lèi)分級(jí)結(jié)果有效整合，因此只能依賴(lài)于應(yīng)用層自身的數(shù)據(jù)分類(lèi)分級(jí)機(jī)制。

然而，筆者對(duì)此持有不同看法。

在三層架構(gòu)體系中，系統(tǒng)由客戶(hù)端、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器三個(gè)核心層次構(gòu)成。客戶(hù)端主要通過(guò)瀏覽器，利用HTTP協(xié)議與應(yīng)用服務(wù)器進(jìn)行通信，用戶(hù)與之交互的是網(wǎng)頁(yè)URL鏈接等網(wǎng)絡(luò)訪問(wèn)手段。當(dāng)應(yīng)用服務(wù)器接收到來(lái)自客戶(hù)端的請(qǐng)求時(shí)，它會(huì)根據(jù)請(qǐng)求內(nèi)容構(gòu)造相應(yīng)的SQL語(yǔ)句，對(duì)后端數(shù)據(jù)庫(kù)執(zhí)行具體的數(shù)據(jù)操作。操作完成后，應(yīng)用服務(wù)器將處理結(jié)果封裝并傳遞回客戶(hù)端，完成整個(gè)請(qǐng)求-響應(yīng)的數(shù)據(jù)交互過(guò)程。

在傳統(tǒng)數(shù)據(jù)安全管理中，應(yīng)用服務(wù)器層的HTTP訪問(wèn)與數(shù)據(jù)庫(kù)層的SQL訪問(wèn)之間存在信息孤島，導(dǎo)致敏感數(shù)據(jù)的識(shí)別工作往往獨(dú)立于各自的層面進(jìn)行。這種分離的識(shí)別機(jī)制限制了數(shù)據(jù)安全管控的效率和效果，因?yàn)樗枰趦蓚€(gè)層面上分別實(shí)施敏感數(shù)據(jù)的識(shí)別，然后才能對(duì)這些數(shù)據(jù)執(zhí)行必要的保護(hù)措施。

為了提升數(shù)據(jù)安全管理的一致性和連續(xù)性，可采取一種綜合策略，實(shí)現(xiàn)應(yīng)用層與數(shù)據(jù)庫(kù)層安全策略的同步，確保敏感數(shù)據(jù)在全生命周期內(nèi)得到統(tǒng)一識(shí)別和保護(hù)，也即“三層穿透技術(shù)”。

三層穿透技術(shù)通過(guò)在應(yīng)用服務(wù)器上部署輕量級(jí)的插件（Agent），實(shí)現(xiàn)了對(duì)客戶(hù)端通過(guò)URL訪問(wèn)應(yīng)用服務(wù)器的行為與應(yīng)用服務(wù)器發(fā)起的數(shù)據(jù)庫(kù)SQL操作之間的智能關(guān)聯(lián)。這一技術(shù)能夠使數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)庫(kù)防火墻和數(shù)據(jù)動(dòng)態(tài)脫敏等精確追蹤并識(shí)別涉及的用戶(hù)身份、數(shù)據(jù)庫(kù)表和字段信息，提供了必要的上下文信息。如下圖，用戶(hù)訪問(wèn)應(yīng)用服務(wù)器的請(qǐng)求與應(yīng)用服務(wù)器訪問(wèn)數(shù)據(jù)庫(kù)的SQL進(jìn)行關(guān)聯(lián)：

結(jié)合數(shù)據(jù)庫(kù)數(shù)據(jù)分類(lèi)分級(jí)的結(jié)果和用戶(hù)的權(quán)限設(shè)置，應(yīng)用層數(shù)據(jù)安全控制能力就能夠?qū)嵤┒ㄖ苹臄?shù)據(jù)安全策略。如下圖：

用戶(hù)User1被授予對(duì)“個(gè)人信息”類(lèi)別數(shù)據(jù)的讀取權(quán)限，但禁止寫(xiě)入操作；而用戶(hù)User2則被限制對(duì)“經(jīng)營(yíng)數(shù)據(jù)”類(lèi)別數(shù)據(jù)的讀取和寫(xiě)入權(quán)限。通過(guò)將用戶(hù)權(quán)限信息與數(shù)據(jù)分類(lèi)分級(jí)結(jié)果相結(jié)合，我們可以明確：當(dāng)用戶(hù)User1訪問(wèn)存儲(chǔ)個(gè)人信息的User_info表時(shí)，可以查看訪數(shù)據(jù)的明文形式；相對(duì)地，User2在訪問(wèn)存儲(chǔ)經(jīng)營(yíng)信息的Finance_info表時(shí)，必須對(duì)相關(guān)數(shù)據(jù)應(yīng)用脫敏處理，以確保數(shù)據(jù)的保密性。

根據(jù)上述定義的用戶(hù)權(quán)限和數(shù)據(jù)分類(lèi)分級(jí)結(jié)果，數(shù)據(jù)庫(kù)防火墻能夠?qū)崿F(xiàn)訪問(wèn)控制：對(duì)于User1用戶(hù)的合法訪問(wèn)請(qǐng)求，數(shù)據(jù)庫(kù)防火墻將予以放行，確保其正常訪問(wèn)所需數(shù)據(jù)；而對(duì)于User2用戶(hù)的訪問(wèn)請(qǐng)求，由于其權(quán)限限制，數(shù)據(jù)庫(kù)防火墻將直接阻斷其訪問(wèn)，并觸發(fā)安全告警機(jī)制，及時(shí)通知管理員存在可能的未授權(quán)訪問(wèn)嘗試。

三層穿透技術(shù)通過(guò)精確關(guān)聯(lián)應(yīng)用層請(qǐng)求與數(shù)據(jù)庫(kù)操作，為識(shí)別和追蹤用戶(hù)行為提供了有效手段。盡管如此，這項(xiàng)技術(shù)在實(shí)施過(guò)程中也面臨了一些挑戰(zhàn)：

1、架構(gòu)適應(yīng)性挑戰(zhàn)：三層穿透技術(shù)用于跨越多層系統(tǒng)架構(gòu)，其效果可能受到應(yīng)用架構(gòu)復(fù)雜性的影響。例如，在四層或包含單點(diǎn)登錄、負(fù)載均衡的架構(gòu)中，用戶(hù)信息的準(zhǔn)確識(shí)別可能變得困難，從而影響穿透技術(shù)的效果。

2、系統(tǒng)兼容性問(wèn)題：不同數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)架構(gòu)可能需要特定的穿透技術(shù)，這也可能導(dǎo)致兼容性問(wèn)題，需要對(duì)不同系統(tǒng)進(jìn)行定制化適配，增加了技術(shù)整合的復(fù)雜度。

要解決好企業(yè)的數(shù)據(jù)安全問(wèn)題，應(yīng)該是一個(gè)體系化的建設(shè)過(guò)程，包括組織團(tuán)隊(duì)保障、制度流程指導(dǎo)、防護(hù)技術(shù)支撐，以及日常持續(xù)的運(yùn)營(yíng)，而不應(yīng)是單靠某項(xiàng)技術(shù)或產(chǎn)品就可以解決好數(shù)據(jù)安全問(wèn)題。在數(shù)據(jù)安全體系建設(shè)過(guò)程中數(shù)據(jù)分類(lèi)分級(jí)是基礎(chǔ)，是精細(xì)化安全管控策略制定的依據(jù)，形成基于身份、權(quán)限、行為的細(xì)粒度管控。

同時(shí)，數(shù)據(jù)分類(lèi)分級(jí)也需要持續(xù)化運(yùn)營(yíng)，而不是一次完成后就一勞永逸的，需要隨著數(shù)據(jù)使用場(chǎng)景的變化、數(shù)據(jù)量的變化等多方面因素綜合考量數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)的調(diào)整，持續(xù)對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)。后續(xù)我們將介紹“如何實(shí)現(xiàn)持續(xù)的對(duì)數(shù)據(jù)分類(lèi)分級(jí)”。