能找到最終的訪問者，這里就要談到三層架構(gòu)審計(jì)，所謂三層架構(gòu)審計(jì)，是將應(yīng)用層區(qū)域的審計(jì)數(shù)據(jù)與數(shù)據(jù)庫(kù)層區(qū)域的審計(jì)數(shù)據(jù)綜合起來進(jìn)行“關(guān)聯(lián)分析”，從而將應(yīng)用層操作準(zhǔn)確對(duì)應(yīng)到數(shù)據(jù)庫(kù)層的操作。當(dāng)發(fā)生安全事件時(shí)，根據(jù)關(guān)聯(lián)審計(jì)記錄的日志信息，可快速定位到網(wǎng)絡(luò)中的責(zé)任人。所以，通過三層審計(jì)即可實(shí)現(xiàn)應(yīng)用與數(shù)據(jù)庫(kù)的有效關(guān)聯(lián)，追蹤到最終用戶端。正常情況下，應(yīng)用層跑的是URL行為，在數(shù)據(jù)庫(kù)層則走的是數(shù)據(jù)庫(kù)命令，兩者的表現(xiàn)形式截然不同，但有了“關(guān)聯(lián)分析”，就可以從技術(shù)上穿透兩個(gè)區(qū)域，從而將訪問的應(yīng)用層帳號(hào)和相關(guān)的數(shù)據(jù)庫(kù)操作關(guān)聯(lián)起來，從而能夠追查到真正的訪問者。三層審計(jì)是數(shù)據(jù)庫(kù)審計(jì)領(lǐng)域的業(yè)界難題之一,難點(diǎn)在于審計(jì)技術(shù)的選擇，業(yè)界傳統(tǒng)的做法是采取“時(shí)間戳”方法來實(shí)現(xiàn)“關(guān)聯(lián)，這種做法的優(yōu)點(diǎn)可以應(yīng)用于任何的三層架構(gòu)審計(jì)，缺點(diǎn)也很顯示，在高并發(fā)時(shí)會(huì)造成業(yè)務(wù)用戶與SQL語句的錯(cuò)誤關(guān)聯(lián)。昂楷從開始做數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)這個(gè)產(chǎn)品，就不斷研究針對(duì)“三層架構(gòu)審計(jì)”的最佳解決方案，目前已率先取得了重大的突破,針對(duì)采取“COM/DCOM/COM+ ”等組件的三層架構(gòu)體系，昂楷科技獨(dú)創(chuàng)組件穿透技術(shù)，可規(guī)避時(shí)間系列的干擾，在任何情況下都能精確審計(jì)，定位到人，創(chuàng)新性地解決了“三層+COM 組件審計(jì)”這個(gè)困擾客戶及眾多友商多年的業(yè)界難題，并在北京中醫(yī)藥大學(xué)東直門醫(yī)院得到了實(shí)際的應(yīng)用檢驗(yàn)。當(dāng)然，三層架構(gòu)體系的復(fù)雜性決定了，我們只是取得了階段性的“勝利”，要取得全面“勝利”，還需要繼續(xù)努力。

防統(tǒng)方系統(tǒng)主要作用是避免人為對(duì)醫(yī)院藥品數(shù)據(jù)庫(kù)信息的數(shù)據(jù)進(jìn)行非法的統(tǒng)計(jì)和提取，避免醫(yī)院內(nèi)部的違法交易，因此，防統(tǒng)方系統(tǒng)內(nèi)置的通用規(guī)則庫(kù)，具有較強(qiáng)的針對(duì)性，涵蓋非法統(tǒng)方操作可涉及的各種規(guī)則，細(xì)致、有針對(duì)性的為醫(yī)院提供防統(tǒng)方服務(wù)。

但除了醫(yī)藥信息，醫(yī)院還存儲(chǔ)著如醫(yī)療影像信息、患者就醫(yī)信息等等重要數(shù)據(jù)。這些數(shù)據(jù)如果出現(xiàn)非授權(quán)的增刪改查，防統(tǒng)方系統(tǒng)無法進(jìn)行告警，這時(shí)就需要數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)。

信息安全包括數(shù)據(jù)安全和網(wǎng)絡(luò)安全。網(wǎng)絡(luò)信息安全是一個(gè)關(guān)系國(guó)家安全和主權(quán)、社會(huì)穩(wěn)定、民族文化繼承和發(fā)揚(yáng)的重要問題。其重要性，正隨著全球信息化步伐的加快越來越重要。網(wǎng)絡(luò)信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。它主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

大數(shù)據(jù)很簡(jiǎn)單，只要掌握五個(gè)特點(diǎn)：

　　第一是大，容量巨大，海量的數(shù)據(jù)，數(shù)據(jù)已從TB級(jí)別達(dá)到PB級(jí)別;

　　第二是數(shù)據(jù)類型多，從普通的文字、視頻、圖片到地理位置信息等;

　　第三是價(jià)值密度低，可能很龐大的一個(gè)數(shù)據(jù)，有用的信息就那么幾秒;

　　第四是處理速度快，可以通過數(shù)據(jù)庫(kù)實(shí)現(xiàn)快速的獲取很分析;

　　第五是我們不再熱于尋求因果關(guān)系，而更加關(guān)注于相當(dāng)關(guān)系。

根據(jù)數(shù)據(jù)庫(kù)類型特點(diǎn)，加強(qiáng)數(shù)據(jù)庫(kù)安全的方案可有

　　1、通過設(shè)備認(rèn)證層管理加強(qiáng)數(shù)據(jù)庫(kù)安全。

　　2、通過身份認(rèn)證管理加強(qiáng)數(shù)據(jù)庫(kù)安全。

　　3、通過配置角色及權(quán)限管理加強(qiáng)數(shù)據(jù)庫(kù)安全。

　　4、通過加密手段加強(qiáng)數(shù)據(jù)庫(kù)安全。

　　5、為數(shù)據(jù)庫(kù)配置數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)加強(qiáng)數(shù)據(jù)庫(kù)安全(最佳效果)。

安全審計(jì)分析是指對(duì)系統(tǒng)行為和審計(jì)數(shù)據(jù)進(jìn)行自動(dòng)分析，發(fā)現(xiàn)潛在的或者實(shí)際發(fā)生的安全違規(guī)。

　　安全審計(jì)分析的能力直接關(guān)系到能否識(shí)別真正的安全違規(guī)。它包括四個(gè)組件的定義：潛在違規(guī)分析、基于異常檢測(cè)的描述、簡(jiǎn)單攻擊試探法、復(fù)雜攻擊試探法。

　　1) 潛在違規(guī)分析：建立一個(gè)固定的、由特征信息構(gòu)成的規(guī)則集合并對(duì)其進(jìn)行維護(hù)(添加、修改、刪除規(guī)則)，以監(jiān)視審計(jì)出的事件，通過累積或者合并已知的可審計(jì)事件來顯示潛在的安全違規(guī)。

　　2) 基于異常檢測(cè)的描述：每個(gè)特征描述代表特定目的組成員使用的某個(gè)歷史模式。每個(gè)特定目的組的成員分配相應(yīng)的閥值，來表明此用戶當(dāng)前行為是否符合己建立的該用戶的使用模式。這種分析可以在實(shí)時(shí)或者批處理模式分析下實(shí)現(xiàn)。每個(gè)用戶相關(guān)的閥值表示用戶當(dāng)前行為是否符合已建立的該用戶的使用模式，當(dāng)用戶的閥值已經(jīng)超過臨界條件時(shí)，要能夠表明即將來臨的違規(guī)。

　　3) 簡(jiǎn)單攻擊試探法：該功能應(yīng)檢測(cè)出代表重大威脅的特征事件的發(fā)生。對(duì)特征事件的搜索可以在實(shí)時(shí)或者批處理模式下分析實(shí)現(xiàn)。該功能應(yīng)當(dāng)能夠維護(hù)特征事件(系統(tǒng)事件子集)的內(nèi)部表示，可以表明違規(guī)事件，在對(duì)用于確定系統(tǒng)行為的信息檢測(cè)中，能夠從可辨認(rèn)的系統(tǒng)行為記錄中區(qū)別出特征事件，當(dāng)系統(tǒng)事件匹配特征事件表明潛在違規(guī)時(shí)，能夠表明即將發(fā)生的違規(guī)。

　　4) 復(fù)雜攻擊試探法：該功能能夠描繪和檢測(cè)出多步驟的入侵攻擊方案，能夠?qū)?比系統(tǒng)事件(可能是多個(gè)個(gè)體實(shí)現(xiàn))和事件序列來描繪出整個(gè)攻擊方案，當(dāng)發(fā)現(xiàn)某個(gè)特征事件序列時(shí)，能夠表明發(fā)生了潛在的違規(guī)。在管理上應(yīng)當(dāng)做好對(duì)系統(tǒng)事件子集的維護(hù)(刪除、修改、添加)和對(duì)系統(tǒng)事件序列集合的維護(hù)。在細(xì)節(jié)上能夠維護(hù)己知攻擊方案的事件序列(系統(tǒng)事件的序列表，表示已經(jīng)發(fā)生了已知的滲透事件)和特征事件(系統(tǒng)事件的子集)的內(nèi)部表示，能夠表明發(fā)生了潛在的違規(guī)，在對(duì)用于確定系統(tǒng)行為的信息的檢測(cè)中，能夠從可辨認(rèn)的系統(tǒng)行為記錄中區(qū)別出特征事件和事件序列，當(dāng)系統(tǒng)事件匹配特征事件或者事件序列表明潛在違規(guī)時(shí)，能夠表明即將發(fā)生的違規(guī)。

優(yōu)質(zhì)數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品主要有以下特征：

1. 部署安全

2. 深度解析

3. 靈活策略

4. 性能要求

5. 自身安全

6. 獨(dú)立可靠

7. 兼容性高

AAS采用旁路部署，只需要在核心交換機(jī)上做一個(gè)端口鏡像即可。旁路部署方案不需要對(duì)現(xiàn)有的網(wǎng)絡(luò)進(jìn)行調(diào)整，沒有任何影響。AAS數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)旁路部署，和現(xiàn)有的業(yè)務(wù)應(yīng)用系統(tǒng)沒有任何交互，真正的零交互，無干擾。

在應(yīng)用軟件里面做審計(jì)，只是對(duì)來自于應(yīng)用服務(wù)器層面的訪問做審計(jì)，而直接對(duì)數(shù)據(jù)庫(kù)方面的操作工具、進(jìn)程等都無法審計(jì)，而這些才是威脅最嚴(yán)重的地方。如果軟件廠商在數(shù)據(jù)庫(kù)服務(wù)器做審計(jì)，這與他們以前的技術(shù)領(lǐng)域完全不同，他們對(duì)安全一般都不專業(yè)，應(yīng)用廠商本身就屬于被監(jiān)控對(duì)象，所以更不能讓他們自己監(jiān)控自己。

防火墻有串聯(lián)和旁路方式可以部署。串聯(lián)部署在網(wǎng)絡(luò)中，設(shè)備單點(diǎn)故障，可以通過硬件bybass來防止業(yè)務(wù)中斷，并且進(jìn)行雙機(jī)冗余部署，防止業(yè)務(wù)中斷；旁路部署時(shí)，設(shè)備故障不會(huì)影響客戶的業(yè)務(wù)。