能找到最終的訪(fǎng)問(wèn)者，這里就要談到三層架構審計，所謂三層架構審計，是將應用層區域的審計數據與數據庫層區域的審計數據綜合起來(lái)進(jìn)行“關(guān)聯(lián)分析”，從而將應用層操作準確對應到數據庫層的操作。當發(fā)生安全事件時(shí)，根據關(guān)聯(lián)審計記錄的日志信息，可快速定位到網(wǎng)絡(luò )中的責任人。所以，通過(guò)三層審計即可實(shí)現應用與數據庫的有效關(guān)聯(lián)，追蹤到最終用戶(hù)端。正常情況下，應用層跑的是URL行為，在數據庫層則走的是數據庫命令，兩者的表現形式截然不同，但有了“關(guān)聯(lián)分析”，就可以從技術(shù)上穿透兩個(gè)區域，從而將訪(fǎng)問(wèn)的應用層帳號和相關(guān)的數據庫操作關(guān)聯(lián)起來(lái)，從而能夠追查到真正的訪(fǎng)問(wèn)者。三層審計是數據庫審計領(lǐng)域的業(yè)界難題之一,難點(diǎn)在于審計技術(shù)的選擇，業(yè)界傳統的做法是采取“時(shí)間戳”方法來(lái)實(shí)現“關(guān)聯(lián)，這種做法的優(yōu)點(diǎn)可以應用于任何的三層架構審計，缺點(diǎn)也很顯示，在高并發(fā)時(shí)會(huì )造成業(yè)務(wù)用戶(hù)與SQL語(yǔ)句的錯誤關(guān)聯(lián)。昂楷從開(kāi)始做數據庫審計系統這個(gè)產(chǎn)品，就不斷研究針對“三層架構審計”的最佳解決方案，目前已率先取得了重大的突破,針對采取“COM/DCOM/COM+ ”等組件的三層架構體系，昂楷科技獨創(chuàng )組件穿透技術(shù)，可規避時(shí)間系列的干擾，在任何情況下都能精確審計，定位到人，創(chuàng )新性地解決了“三層+COM 組件審計”這個(gè)困擾客戶(hù)及眾多友商多年的業(yè)界難題，并在北京中醫藥大學(xué)東直門(mén)醫院得到了實(shí)際的應用檢驗。當然，三層架構體系的復雜性決定了，我們只是取得了階段性的“勝利”，要取得全面“勝利”，還需要繼續努力。

防統方系統主要作用是避免人為對醫院藥品數據庫信息的數據進(jìn)行非法的統計和提取，避免醫院內部的違法交易，因此，防統方系統內置的通用規則庫，具有較強的針對性，涵蓋非法統方操作可涉及的各種規則，細致、有針對性的為醫院提供防統方服務(wù)。

但除了醫藥信息，醫院還存儲著(zhù)如醫療影像信息、患者就醫信息等等重要數據。這些數據如果出現非授權的增刪改查，防統方系統無(wú)法進(jìn)行告警，這時(shí)就需要數據庫審計系統。

信息安全包括數據安全和網(wǎng)絡(luò )安全。網(wǎng)絡(luò )信息安全是一個(gè)關(guān)系國家安全和主權、社會(huì )穩定、民族文化繼承和發(fā)揚的重要問(wèn)題。其重要性，正隨著(zhù)全球信息化步伐的加快越來(lái)越重要。網(wǎng)絡(luò )信息安全是一門(mén)涉及計算機科學(xué)、網(wǎng)絡(luò )技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應用數學(xué)、數論、信息論等多種學(xué)科的綜合性學(xué)科。它主要是指網(wǎng)絡(luò )系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網(wǎng)絡(luò )服務(wù)不中斷。

大數據很簡(jiǎn)單，只要掌握五個(gè)特點(diǎn)：

　　第一是大，容量巨大，海量的數據，數據已從TB級別達到PB級別;

　　第二是數據類(lèi)型多，從普通的文字、視頻、圖片到地理位置信息等;

　　第三是價(jià)值密度低，可能很龐大的一個(gè)數據，有用的信息就那么幾秒;

　　第四是處理速度快，可以通過(guò)數據庫實(shí)現快速的獲取很分析;

　　第五是我們不再熱于尋求因果關(guān)系，而更加關(guān)注于相當關(guān)系。

根據數據庫類(lèi)型特點(diǎn)，加強數據庫安全的方案可有

　　1、通過(guò)設備認證層管理加強數據庫安全。

　　2、通過(guò)身份認證管理加強數據庫安全。

　　3、通過(guò)配置角色及權限管理加強數據庫安全。

　　4、通過(guò)加密手段加強數據庫安全。

　　5、為數據庫配置數據庫審計系統加強數據庫安全(最佳效果)。

安全審計分析是指對系統行為和審計數據進(jìn)行自動(dòng)分析，發(fā)現潛在的或者實(shí)際發(fā)生的安全違規。

　　安全審計分析的能力直接關(guān)系到能否識別真正的安全違規。它包括四個(gè)組件的定義：潛在違規分析、基于異常檢測的描述、簡(jiǎn)單攻擊試探法、復雜攻擊試探法。

　　1) 潛在違規分析：建立一個(gè)固定的、由特征信息構成的規則集合并對其進(jìn)行維護(添加、修改、刪除規則)，以監視審計出的事件，通過(guò)累積或者合并已知的可審計事件來(lái)顯示潛在的安全違規。

　　2) 基于異常檢測的描述：每個(gè)特征描述代表特定目的組成員使用的某個(gè)歷史模式。每個(gè)特定目的組的成員分配相應的閥值，來(lái)表明此用戶(hù)當前行為是否符合己建立的該用戶(hù)的使用模式。這種分析可以在實(shí)時(shí)或者批處理模式分析下實(shí)現。每個(gè)用戶(hù)相關(guān)的閥值表示用戶(hù)當前行為是否符合已建立的該用戶(hù)的使用模式，當用戶(hù)的閥值已經(jīng)超過(guò)臨界條件時(shí)，要能夠表明即將來(lái)臨的違規。

　　3) 簡(jiǎn)單攻擊試探法：該功能應檢測出代表重大威脅的特征事件的發(fā)生。對特征事件的搜索可以在實(shí)時(shí)或者批處理模式下分析實(shí)現。該功能應當能夠維護特征事件(系統事件子集)的內部表示，可以表明違規事件，在對用于確定系統行為的信息檢測中，能夠從可辨認的系統行為記錄中區別出特征事件，當系統事件匹配特征事件表明潛在違規時(shí)，能夠表明即將發(fā)生的違規。

　　4) 復雜攻擊試探法：該功能能夠描繪和檢測出多步驟的入侵攻擊方案，能夠對 比系統事件(可能是多個(gè)個(gè)體實(shí)現)和事件序列來(lái)描繪出整個(gè)攻擊方案，當發(fā)現某個(gè)特征事件序列時(shí)，能夠表明發(fā)生了潛在的違規。在管理上應當做好對系統事件子集的維護(刪除、修改、添加)和對系統事件序列集合的維護。在細節上能夠維護己知攻擊方案的事件序列(系統事件的序列表，表示已經(jīng)發(fā)生了已知的滲透事件)和特征事件(系統事件的子集)的內部表示，能夠表明發(fā)生了潛在的違規，在對用于確定系統行為的信息的檢測中，能夠從可辨認的系統行為記錄中區別出特征事件和事件序列，當系統事件匹配特征事件或者事件序列表明潛在違規時(shí)，能夠表明即將發(fā)生的違規。

優(yōu)質(zhì)數據庫審計產(chǎn)品主要有以下特征：

1. 部署安全

2. 深度解析

3. 靈活策略

4. 性能要求

5. 自身安全

6. 獨立可靠

7. 兼容性高

AAS采用旁路部署，只需要在核心交換機上做一個(gè)端口鏡像即可。旁路部署方案不需要對現有的網(wǎng)絡(luò )進(jìn)行調整，沒(méi)有任何影響。AAS數據庫審計系統旁路部署，和現有的業(yè)務(wù)應用系統沒(méi)有任何交互，真正的零交互，無(wú)干擾。

在應用軟件里面做審計，只是對來(lái)自于應用服務(wù)器層面的訪(fǎng)問(wèn)做審計，而直接對數據庫方面的操作工具、進(jìn)程等都無(wú)法審計，而這些才是威脅最嚴重的地方。如果軟件廠(chǎng)商在數據庫服務(wù)器做審計，這與他們以前的技術(shù)領(lǐng)域完全不同，他們對安全一般都不專(zhuān)業(yè)，應用廠(chǎng)商本身就屬于被監控對象，所以更不能讓他們自己監控自己。

防火墻有串聯(lián)和旁路方式可以部署。串聯(lián)部署在網(wǎng)絡(luò )中，設備單點(diǎn)故障，可以通過(guò)硬件bybass來(lái)防止業(yè)務(wù)中斷，并且進(jìn)行雙機冗余部署，防止業(yè)務(wù)中斷；旁路部署時(shí)，設備故障不會(huì )影響客戶(hù)的業(yè)務(wù)。