前两部分文章中，我们一共介绍了六个方法，包括监视善意的、恶意的和有特权的用户，对数据库的使用进行分析，协调Web应用程序和数据库之间的活动等。本文将介绍最后三个方法，帮助减轻恶意的内部人员威胁。

　　七、通过日志分析对犯罪情况进行取证调查

　　警告、报告、个别事件分析在发现恶意内部人员时都扮演着重要的角色。但高效的内部人员调查要求更多的灵活性。详细检查可能缺乏有力审计线索的多个异构数据库，借以调查内部人员是不足取的。企业利用Perl、grep、SED、awk等工具来搜索审计数据，查找特定的已知恶意条目也是不可取的。这种方法是不可升级的，而且对于查找未知的威胁也没有什么用处。

　　在涉及审计日志时，一张图片比一万个日志可能更有说服力。与审计数据的可视化交互会形成一种因果关系，如果不使用可视化工具，就很难注意到这种关系。例如，分析人员可以根据用户、登录、被监视的资产（如服务器等）来搜索信息。通过使用这些搜索，分析人员就可以访问底层的事件细节。这种信息有可能会促使分析人员查找新的以前没有注意的趋势。在多数内部人员调查中，一旦确认了恶意活动的迹象，就可以问三个问题：内部人员还做了什么？这种状况持续了多长时间？谁还牵涉到类似的活动中了？

　　在调查中，必须考虑下面的事件顺序：

• 检测到SQL错误——但并非所有的SQL错误都是在生产环境中发现的。
• 分析人员可以轻易地利用可视化工具，过滤并且不选择非生产环境中的资源。
• 下一步，从与SQL错误相关的用户方面进一步调整其分析，进一步更新数据。
• 某特定用户的错误比其它用户更多。
• 确认该用户为一位开发人员，而且他所访问的系统属于生产环境中的。
• 进一步挖掘此数据，发现该用户试图访问的信息位于信用卡和工资表中。
• 其它细节还有可能显示出该用户访问这些数据的成功和失败的企图。
• 趋势报告可显示出，此事件发生了多长时间，还有谁牵涉到类似的活动中了。

　　八、保护数据库中的敏感数据

　　数据库安全是保护敏感数据免受内部人员危害的最关键的领域之一，因为数据库中存储着恶意内部人员需要的信息。这些数据库一般十分复杂且动态变化，难以锁定。更糟的是，数据库管理员一般重视正常的运行时间和可用性，而安全则是以后才会想到的事情。以往，这造成了IT安全和数据库管理员之间的分离。有两种解决方案可以很好地适应数据库管理员和IT安全的需要，即数据库防火墙和数据库活动监视解决方案。

　　数据库防火墙：正如传统的网络防火墙解决以网络为中心的攻击一样，数据库防火墙可以阻止以攻击形式或数据窃取形式直接针对数据库的恶意活动。数据库防火墙可以提供的一些关键功能有：

• 阻止数据库攻击和欺诈活动
• 提供敏感数据的实时、自动化的保护
• 洞察用户访问数据的方式
• 利用灵活的视图和审计分析进一步调查被审计的事件
• 通过有效的补丁来透明地保护数据库

　　借助于数据库防火墙，虚拟补丁可用于解决通过漏洞评估解决方案发现的漏洞，而不必重写代码、应用补丁、经历冗长而昂贵的漏洞修补过程。数据库防火墙可以阻止这种企图：利用已经打上了虚拟补丁的漏洞进行攻击，或对此攻击发出警告，从而使企业更安全地运营，直至其有时间和资源直接解决漏洞。

　　数据活动监视：数据库防火墙在数据库层提供了类似于传统网络防火墙的功能，而数据库活动监视能够捕获独立于数据库和数据库管理的用户和数据库之间的双向通信，从而提供了强健的审计。数据库活动监视有助于解决五个关键的数据库审计问题：

　　1、审计过程独立于被审计的数据库系统吗？不要依赖于数据库的审计信息。
　　2、审计线索能够确立用户责任吗？特定的事件需要与特定的用户责任相关联。
　　3、审计线索包括适当的细节吗？审计系统必须收集足够有用的细节。如果有问题的审计系统是数据库的本地方案，答案一般是否定的。
　　4、审计线索能够确定与标准的正常活动的本质差异吗？决定正常活动和异常活动之间的差别是至关重要的。
　　5、审计线索的范围足够吗？

　　必须监视整个数据库系统，其范围包括：数据库软件、操作系统软件、数据库协议。注意，数据库协议并不遵循某个开放标准而且经常变化，因而常常是攻击者的切入点。

　　数据库防火墙和数据库活动监视一起提供数据库的保护、监视、警告，并且提供审计质量数据，能够调查并对针对数据库的恶意活动进行报告。

　　九、保护用户用于访问数据库的Web应用程序

　　虽然敏感数据存在于数据库中，但多数用户是通过一个Web应用程序来访问数据库的。因而，除了要保护数据库层，还需要保护Web应用程序层。保护在线应用程序和数据使其免受复杂的应用程序级攻击需要“双管齐下”的方法，既要考虑开发又要考虑生产。

　　开发：在保护Web应用程序时，在应用程序进入生产前可以采取几个步骤来改善安全。向应用程序的开发人员培训安全编码，并利用安全开发生命周期（SDLC）来改善安全代码的开发。还有几种可以测试并分析代码的模式，如静态代码测试、动态代码测试、架构风险分析、测试滥用情况、黑盒测试、白盒测试等。

　　许多企业在开发阶段还使用Web应用程序防火墙。在此情况下，Web应用程序防火墙并不提供防火墙功能，但监视除外。更准确地说，Web应用程序防火墙向开发人员提供了一种检查其应用程序操作的更好视图。在beta测试阶段，对于动态客户和客户数据而言，这更为有效。Web应用程序防火墙可以提供：

• 透明地监视Web应用程序和通信
• 监视客户如何使用Web应用程序及应用程序的工作方式
• 监视所期望的和真实的用户行为
• 关于Web应用程序参数的细节，如长度和类型
• Web连接的性能结果
• 监视数据库活动（如果结合使用数据库活动监视和数据库防火墙）

　　生产：所有的安全编码、测试及最佳方法已经锁定。由于威胁不断演变，而且代码绝不会完美或100%的安全，因而需要在生产阶段强化Web应用程序的安全。Web应用程序防火墙能够提供多种好处，例如阻止恶意活动、监视、警告、报告等。另一个关键方面是解决Web应用程序的漏洞。Web应用程序防火墙能够执行虚拟补丁，但这种工作是在Web应用程序层完成的。

　　Web应用程序防火墙提供的其它功能包括：

• 在多个应用程序和版本之间的操作
• 警告或阻止恶意事件
• Web应用程序的入侵检测
• 管理应用程序风险的深度防御

　　Web应用程序防火墙在开发和生产阶段可以提供增强安全性的高效机制。通过在Web应用程序层提供事件防御和检测，可以减轻源自内部或外部的对敏感数据的攻击，而敏感数据就会更安全。

　　总结

　　到目前为止，业界已经找到了大量的方法和技术来减轻恶意的内部人员威胁。然而，还需要一种统一的技术。数据安全需要一种透明性。通过将应用程序和数据库信息关联起来，对企业全面的数据安全形势形成一种整体的观点，同时又强化防止、检测、审计内部人员活动，这是可能的。

　　当今的攻击伎俩利用了数据库和应用程序之间的诸多弱点。从侦察阶段到实际的攻击阶段，非常关键的一点是，将数据库和应用程序之间的信息与真正理解用户和数据的交互方式关联起来，并且将合法的活动与潜在的或已知的恶意活动隔离开来。

　　内部人员的威胁分析，可以从以数据为中心的多个信息源中获得好处，这是因为单个源提供的信息可能并不完整。发现和分类应当用于确认关键的资产及其包含的信息。利用Web应用程序防火墙来保护应用程序，利用数据库防火墙来保护数据库，并应当利用数据库活动监视来提供数据库的审计。可以将这些方案一起用于减轻内部人员的威胁，即使对于极复杂的运行着关键任务的分布式环境，也不应当影响Web应用程序和数据库操作的性能。