在《保护敏感数据对付恶意内部人员的九大妙招（一）》中，我们介绍了前三种方法，包括知道敏感数据存在于哪些数据库，勿轻信本机的数据库工具，监视善意的、恶意的和有特权的用户。本文我们将继续介绍另外三种方法。

　　四、对数据库的使用进行分析

　　许多人员认为恶意内部用户的焦点问题是，用户在哪里与敏感数据交互。传统的网络安全控制，如防火墙（使用签名匹配方法），专注于检测和阻止特定的事件，在应对人员和数据时就显得太简单了。如果一家企业能够决定正常的活动是怎样的，就可以根据用户活动的源头（源用户、源应用程序、源位置）、目的（目标数据库和数据库对象）、用户活动的环境（时间、经常性的用法、成功及失败的活动等）来对使用情况进行分类。可以检测缺乏签名的数据使用的异常情况。一个证明分析的价值的例子是业务逻辑攻击。业务逻辑攻击可以使web应用程序的功能用来对付业务，它破坏的是业务逻辑而不是应用程序。

　　分析应用程序和数据库的交互也很重要。这样做可以更好地防御SQL注入攻击，并确认由于应用程序的设计缺陷而造成的异常数据库活动。以这种方式分析应用程序还可以揭示：在一个不合适的环境中使用后将会显得不正常的各种合法应用：

　　1) 在单个设备与多个设备通信时，有可能被看成是恶意软件的传播和漫延，而实际上有可能是一台备份服务器或一台代理服务器。
　　2) 在非运营时间进行的大量数据传输有可能被认为是信息窃取，而实际上有可能是合法的数据库备份。
　　3) 还可以发现潜在的恶意模式，例如：

• 过度的文件下载
• 在可疑的时间发现了用户活动
• 非授权用户企图访问保密数据，例如，开发人员试图访问人力资源部门的系统
• 可疑的无效活动（如大量的非法登录企图）

　　分析并不像一次性的扫描。因为应用程序和数据库属于连续变化的动态环境，因而对应用程序及数据库的使用情况进行不断分析和更新是很重要的，这应当成为一个成熟的数据安全策略的不可缺少的一部分。

　　五、协调Web应用程序和数据库之间的活动

　　监视用户的全部任务就是跟踪用户并让其为自己的活动负责。确认网络活动的责任人可能很困难。在使用连接池的多数现代应用程序中，并没有在本地记录Web应用程序和数据库之间的用户会话。连接池通过再次使用已打开的数据库连接而不是为每个用户打开数据库连接，从而改善了应用程序的性能。虽然应用程序的性能得到了提高，但连接池也掩盖了每个请求活动的用户身份，这意味着确实没有方法可以将数据库活动与特定用户关联起来。

　　企业可以重新编写客户应用程序和数据库代码来支持此功能。不过，这是一个昂贵的建议，需要为企业中应用程序和数据库的每个版本都这样做，而且增加的代码可能会带来漏洞。

　　Web应用程序和数据库活动的关系协调必须在这两者之外实现，而且要独立于厂商、版本等。以这种方式跟踪用户会话可以更好地控制会话记录，而不会额外地耗用Web和数据库应用程序的资源，也不会使宝贵的开发资源偏离其它项目。可以在Web应用程序、数据库之间有效地协调用户会话，不但可以捕获查询，还可以捕获作为结果而返回的数据。

　　六、以人类的直觉来强化基于机器的分析

　　预防性的安全控制的可升级性总是有限的，如果没有人的分析，纯粹从技术中获得的价值总是有限的。实时的警告一般源自纯技术分析得到的结论。报告可以从两方面来强化这个过程。首先，报告可以更长远地检测趋势，如几个月都在滥用资源的方式。其次，报告利用人类的直觉来强化基于机器的分析。

　　对内部人员而言，拥有一套使人能够根据结果做出结论的简易而有效的方法是至关重要的。这是因为人可以考虑更多的因素，而不仅仅通过应用程序和数据库的分析所捕获的数据。例如，某用户表现不佳，并且有传言说他要离开公司到某竞争对手那里去。因为IT安全团队不可能拥有公司每个人的“全面情况”，因而，这份报告能使公司的各种人员都能使用是很重要的，如非技术经理、人力资源部门、法律部门等。这种由现实分析与应用程序和数据库的详细证据的组合，可以生成比单纯一个方面更多的精确结果。