持續昨天我們針對資料存取活動監控的介紹，
知道資料活動保護著重在「可視化」的掌握、
針對各式資料系統的「相容性」的支援與整合，
以及納入 AI 與自動化技術後的加速與效率提升。
今天要持續分享技術篇的「資料存取規則管控」的範疇。

安全政策的概念 (Policy)

資料安全的核心管控機制，也跟一般性資安機制一樣，
採用規則式 (Rule-based) 的方式，
透過一連串偵測條件的設計，包含偵測的情境、時機，
以及滿足條件後的一連串的執行動作等等，
將一個個直接或間接的安全威脅的透過完整規則呈現出來。

資料安全政策

在資料安全領域也不例外，也是透過豐富、細膩與完整的機制，
來將一個個想要偵測的使用案例 (Use Case) 進行威脅偵測與回應，
透過制定一個政策的過程，我們可以有很多維度面向決定偵測或告警條件，
例如是要針對 SQL 語法或檔案存取指令，偵測特定 DDL/DML 命令，
或當存取到我們預先定義的敏感資料 (Sensitive Object) 時，
透過一連線的條件式與觸發條件的整合後，構成一個個完整用例的細節。

常見的安全政策種類，也可以因為威脅類型可以區分為三個種類：

• 存取型規則 (Access)
• 外洩型規則 (Extrusion)
• 異常型規則 (Exception)

接下來我們來看一下各種類規則的細節：

存取型規則 (Access)

存取型規則主要針對對資料庫連線 (Session) 的檢查與放行與否，
例如當連線內包含 UPDATE 這樣的資料更新指令時，
可以檢查是否為規定的合法來源、資源、角色、權限以及更動的資料幅度程度等，
或是惡意操作行為，例如 DROP 這類移除資料庫的高風險指令，
當偵測到連線內含有相關指令時，就需要直接阻止這類指令的執行。

外洩型規則 (Extrusion)

外洩型規則，主要是針對當資料從資料庫或檔案系統回傳時，
再次檢查本次連線查詢的資料內容，是否有敏感資料，
或重要資料需要做局部欄位處理再回傳給前端應用，
或是身分證字號、信用卡卡號等這類重要資料回傳時，
可以做出告警式的預警以及提示，了解整體資料活動風險層度如何。

異常型規則 (Exception)

異常型規則，則主要是針對資料庫存取的前、後過程，
有任何異常的連線存取行為，例如 SQL 語法錯誤、無法成功執行，
或是 AP 連線至資料庫有直接錯誤訊息等等，
都可能是有預期外的應用程式、前端應用或是人員操作錯誤造成，
當消除掉意外性操作導致的原因之外，也有可能是潛伏的資安威脅導致。

小結

安全規則與政策 (Policy and Rules)，
是實現資料安全保護的措施與手段，
透過一連串完整、綿密與有效的安全規則設計，
可以將我們具體想要偵測的告警樣態與威脅樣態做直接的實現，
因此規則的設計與調整期間的「微調」，才能夠完整發揮資料安全防護機制。
明天我們接續來看看儲存稽核日誌的資料儲存的層級，
看看如何確保稽核資料的長期儲存、完整性與可具稽核性。