WAF現(xiàn)在已經(jīng)成為許多商業(yè)Web 網(wǎng)站與系統(tǒng)的基本保護(hù)措施，它的確在防范許多針對(duì)Web系統(tǒng)的安全攻擊方面卓有成效。但WAF只監(jiān)控通過HTTP方式來的數(shù)據(jù)，而數(shù)據(jù)庫的訪問源頭卻多種多樣，譬如以下幾種數(shù)據(jù)庫訪問方式，WAF并不一定能全面防范對(duì)數(shù)據(jù)庫展開的攻擊。

1、組織內(nèi)其他應(yīng)用系統(tǒng)能訪問數(shù)據(jù)庫：比如在電子商務(wù)系統(tǒng)里，價(jià)格和庫存可能會(huì)用一些自動(dòng)化的腳本來定時(shí)更新。

2、一些內(nèi)部管理程序可以訪問系統(tǒng)，也可能是一些接口，方便雇員添加信息或者發(fā)送信息給客戶。

3、數(shù)據(jù)庫 DBA，IT 經(jīng)理，QA，開發(fā)人員等等內(nèi)部人員通過數(shù)據(jù)庫管理工具可以訪問數(shù)據(jù)庫。

這些潛在的數(shù)據(jù)庫訪問源頭WAF是毫不知情的，來自內(nèi)部的攻擊則更為可怕！數(shù)據(jù)庫暴露的訪問點(diǎn)多種多樣，僅僅依靠單一的防護(hù)手段是不夠的，需要不同的技術(shù)手段加以防護(hù)。審計(jì)是安全的數(shù)據(jù)庫系統(tǒng)不可缺少的一部分，因此，建議將web應(yīng)用防火墻與數(shù)據(jù)庫審計(jì)系統(tǒng)配合使用，對(duì)數(shù)據(jù)庫的防護(hù)效果加倍。

WAF只監(jiān)控通過HTTP方式來的數(shù)據(jù)，而數(shù)據(jù)庫的訪問源頭卻多種多樣，如以下幾種數(shù)據(jù)庫訪問方式：

1、組織內(nèi)其他應(yīng)用系統(tǒng)能訪問數(shù)據(jù)庫：比如在電子商務(wù)系統(tǒng)里，價(jià)格和庫存可能會(huì)用一些自動(dòng)化的腳本來定時(shí)更新。

2、一些內(nèi)部管理程序可以訪問系統(tǒng)，也可能是一些接口，方便雇員添加信息或者發(fā)送信息給客戶。

3、數(shù)據(jù)庫 DBA，IT 經(jīng)理，QA，開發(fā)人員等等內(nèi)部人員通過數(shù)據(jù)庫管理工具可以訪問數(shù)據(jù)庫。

這些潛在的數(shù)據(jù)庫訪問源頭WAF是毫不知情的，來自內(nèi)部的攻擊則更為可怕!當(dāng)數(shù)據(jù)的價(jià)值越來越高，數(shù)據(jù)庫成為“攻擊”目標(biāo)時(shí)，僅依靠 WAF的防護(hù)顯得有些捉襟見肘。

數(shù)據(jù)庫審計(jì)系統(tǒng)一方面可對(duì)數(shù)據(jù)的訪問操作行為做一個(gè)完整的記錄，以備違反安全規(guī)則的事件發(fā)生后，能有效的追查責(zé)任和分析原因，必要時(shí)還可以為懲罰惡意攻擊行為提供必要的證據(jù)。

另一方面，實(shí)施審計(jì)準(zhǔn)則之后，審計(jì)線索會(huì)指出特定人員沒有違反規(guī)程，也沒有破壞性行為，對(duì)合法用戶是一種良好的保護(hù)。

從信息安全的角度上看，審計(jì)是安全的數(shù)據(jù)庫系統(tǒng)不可缺少的一部分，也是數(shù)據(jù)庫的最后一道重要的安全防線。

1、我們談安全防范有幾個(gè)關(guān)鍵概念，事前是指預(yù)防，事中是指正在發(fā)生過程中的管控、事后是指事后的追溯取證；

2、所以審計(jì)不等于只是事后，而是事中的的一種監(jiān)控；人們往往有誤區(qū)，認(rèn)為不能阻止，就不是事中，更不是事前；

3、數(shù)據(jù)庫審計(jì)其實(shí)是可以做到事前預(yù)防、事中監(jiān)控、事后追溯三位一體的功能的。譬如通過監(jiān)控異常IP、進(jìn)程、多次反復(fù)的登錄系統(tǒng)，可以幫助我們預(yù)防非法訪問、暴力破解等問題;事中我們通過監(jiān)控所有對(duì)數(shù)據(jù)庫的各種訪問行為，并且通過預(yù)設(shè)的規(guī)則，可以智能實(shí)時(shí)的發(fā)現(xiàn)問題，通過告警平臺(tái)，短信，郵件等，及時(shí)進(jìn)行干預(yù)，事前事中的控制，不阻斷，只是因?yàn)椴缓线m采用此種模式;事后可以通過告警憑條、時(shí)間平臺(tái)、日志平臺(tái)分析定位問題。

防統(tǒng)方系統(tǒng) ANKKI AAS-P，采用獨(dú)立的硬件架構(gòu)，主系統(tǒng)包含：

●審計(jì)引擎及管理后臺(tái)軟件、資產(chǎn)發(fā)現(xiàn)、事件回放、語句翻譯、策略管理、告警管理、權(quán)限管理、系統(tǒng)日志、狀態(tài)監(jiān)控、三層關(guān)聯(lián)審計(jì)、加密審計(jì)支持、旁路阻斷功能、抗菌藥物試劑及耗材分析、敏感數(shù)據(jù)防護(hù)、本地審計(jì)

●支持主流數(shù)據(jù)庫類型：：Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、人大金倉、達(dá)夢(mèng)、神州通用等

支持對(duì)Caché數(shù)據(jù)庫的M語言的審計(jì)，包括傳統(tǒng)的sql工具如Sqlmanager/WinSql，和特有的Medtrak、Studio、Portal、Terminal工具，能夠?qū)Χ喾NCaché版本進(jìn)行審計(jì)，能夠?qū)﹂_發(fā)和維護(hù)global變量、方法過程進(jìn)行監(jiān)控審計(jì)；

支持對(duì)HIS系統(tǒng)、Telnet、CachePORTAL、FTP等信息的采集和審計(jì),支持處方還原

SQL審計(jì)處理能力（吞吐）峰值≥1Gbps

SQL審計(jì)處理能力（速率）峰值≥24000SQL/S

日志在線存儲(chǔ)24億條；

不限制數(shù)據(jù)庫實(shí)例數(shù)；

CPU：4核8線程；

內(nèi)存：16GB；

硬盤：4TB HDD硬盤*1；240G SSD硬盤*2；

網(wǎng)卡：千兆電口*6；萬兆光口*2；

電源：高效節(jié)能服務(wù)器電源

我們的平臺(tái)采用了新的架構(gòu)，引入了大數(shù)據(jù)組件層次化設(shè)計(jì)。大數(shù)據(jù)搜索引擎實(shí)現(xiàn)海量數(shù)據(jù)的快速檢索；數(shù)據(jù)分析層采用多進(jìn)程、高效緩存機(jī)制對(duì)源數(shù)據(jù)與系統(tǒng)的情景模型進(jìn)行快速匹配分析，實(shí)現(xiàn)實(shí)時(shí)分析，實(shí)時(shí)告警，實(shí)時(shí)聯(lián)動(dòng)；平臺(tái)預(yù)置AI學(xué)習(xí)引擎，能快速對(duì)源數(shù)據(jù)進(jìn)行學(xué)習(xí)建模，實(shí)現(xiàn)異常行為的快速定位和識(shí)別。平臺(tái)已完成多場(chǎng)景化的適配應(yīng)用，包括鯤鵬大數(shù)據(jù)平臺(tái)，阿里的大數(shù)據(jù)平臺(tái)、華為的數(shù)據(jù)中臺(tái)，我們做到與新場(chǎng)景新技術(shù)的快速匹配和對(duì)接。

Ankki DSP的數(shù)據(jù)安全治理平臺(tái)有如下幾方面優(yōu)勢(shì)：開放的體系結(jié)構(gòu)，不僅能對(duì)接我們自身的產(chǎn)品，還可以對(duì)接其他廠商安全產(chǎn)品；具備采集完整、風(fēng)險(xiǎn)可量化、風(fēng)險(xiǎn)識(shí)別精準(zhǔn)的特點(diǎn)；支持多種數(shù)據(jù)接口，方便對(duì)接；分布式大數(shù)據(jù)平臺(tái)，支持支持Tomcat、spark、ES、kafka等組件，保障系統(tǒng)數(shù)據(jù)分析能力、系統(tǒng)可擴(kuò)展性。

非結(jié)構(gòu)化目前支持幾種NoSQL數(shù)據(jù)庫，如hive、mongodb、Elasticsearch等。

Ankki數(shù)據(jù)分級(jí)分類擁有豐富的規(guī)則，擁有

1. 內(nèi)置行業(yè)規(guī)則，例如醫(yī)療、金融等；

2. 內(nèi)置分級(jí)標(biāo)準(zhǔn)規(guī)則；

3. 內(nèi)置特殊行業(yè)的分類規(guī)則，例如醫(yī)療數(shù)據(jù)分類：醫(yī)療應(yīng)用數(shù)據(jù)、醫(yī)療支付數(shù)據(jù)惡人屬性數(shù)據(jù)等等，以及金融數(shù)據(jù)分類：交易、監(jiān)管、信息披露、其他數(shù)據(jù)等

4. 內(nèi)置敏感類型規(guī)則，例如身份證、電子郵箱、IP地址、姓名，支持自定義敏感數(shù)據(jù)類型。

Ankki數(shù)據(jù)庫防火墻支持多機(jī)集群模式，集群模式時(shí)支持負(fù)載均衡，集群內(nèi)設(shè)備出現(xiàn) 故障時(shí)能屏蔽故障設(shè)備，把業(yè)務(wù)秒級(jí)轉(zhuǎn)到運(yùn)行正常的設(shè)備中，防止業(yè)務(wù)中斷。

防火墻有串聯(lián)和旁路方式可以部署。串聯(lián)部署在網(wǎng)絡(luò)中，設(shè)備單點(diǎn)故障，可以通過硬件bybass來防止業(yè)務(wù)中斷，并且進(jìn)行雙機(jī)冗余部署，防止業(yè)務(wù)中斷；旁路部署時(shí)，設(shè)備故障不會(huì)影響客戶的業(yè)務(wù)。

數(shù)據(jù)脫敏設(shè)備不會(huì)記錄用戶的數(shù)據(jù)，采用不落地脫敏，同時(shí)本地?zé)o數(shù)據(jù)存儲(chǔ)，讀取的數(shù)據(jù)都在內(nèi)存中臨時(shí)存放，不會(huì)寫入設(shè)備硬盤，內(nèi)存中的數(shù)據(jù)之后都會(huì)清除。