还有一种是管理，也就是说当他发现危险的时候第一个去报警，第二个阻止这种行为的发生。所以白名单的好处可以让你快速地去部署说哪些访问是OK的，还有一些黑名单哪次什么样的访问是有危害的，你只要定义出来，这个安全策略马上部署出来。当白名单和黑名单联合在一起就可以实现安全策略的部署。所以大家可以看到，所有里面的所谓的管理的细节都会通过一个管理策略来。重要的是说，所有的管理的策略不依赖与你对安全的理解，而是在防火墙当中有一些，我们叫全世界最佳实践。其他客户在产品的实践当中累计的经验，这个就是属于一种我们叫做最佳实践，同时它是支持比如像我们现在讲的CTI也好，在数据库防火墙当中都是支撑的。

　　这边我举个图，跟大家分享一下，数据库防火墙怎么工作，可以有哪些好处?大家会看到有很多红色的，比如说现在有720次严重的报警。右侧是一个小时就产生了5130次的访问，接下来在这边左上角你会看到有很多在，这个很严重，你再一个生产环境要删掉的时候，这种操作无疑是高危的。其实我们看到一个小时，有5000多次访问，这个系统产生了11.9万的访问，但是你如果要是对每个11万条都去看的话有一个很庞大的工作量，这个时候就依赖于你的数据库的安全管理体系是不是有效识别，什么样的语句具有什么样的特点?所以我们的防火墙自动归类，这473个类里面有什么安全的特征。接下来还有右下角当中，有1261个出现语法错误，这个我现在给大家分享的都是一些实际的我们的客户场景，而且这些场景基本上在我们今天的市场当中我们所有的客户当中都存在，如果说到我不能叫严重，现实一点说，我所见到的所有银行的、保险的、政府的，包括公安系统的，包括交通运输和电信、电力，BOSS大学，基本上这些场景都是存在的，生产系统。

　　比如说出现语法错误的时候，生产环境不应该出现错误，这都是有人直接在访问数据库系统，在扫描，他就会产生这一类的错误。接下来这个5曲线，你只要装上，安装也非常简单，只要插上光盘两个小时，它自动就开始去学习，你现在系统的基本特点，有哪些语句，都来自哪些IT，都做什么样的访问，什么人在做什么样的访问，他有什么样的一些动作是危险的，哪些是合规合法的，接下来你可以去看有哪些用户，那些用户都来自哪些，去到那里，接下来对所有的用户的行为进行跟踪，通过什么样的方法，比如说通过GBC做一个什么样的语句呀?

　　还有做安全策略的部署，大家会看到，我们叫做红绿灯，你觉得哪一类人访问的话，你个人觉得想加强，你想完善的时候，你可以做设置。大家知道，TOPSQL这个就变成在系统当中最慢的语句，开销多少，被访问了多少次，你可以对你的数据库做调整。像这样的情况，你会看到有很多人、很多场景，那些人不管是因为敲错了还是什么原因，当超过三次的时候就会出现报警，还有如果很多人在批量地去抓你的敏感数据，比如你说有一些客户的数据产生了消存，对很多人来讲不管是从企业和个人的角度都有数据，所以当他去抓这些数据的时候不带条件的，这种访问方式其实对你的系统，尤其是对那些敏感的在后台可以捕捉到，把它作为一条审计系统记录下来。还有像这种删除都是很关键的，比如说像常数表不可能删掉的时候，这种删的操作其实也是被记录，还有失败的访问，同时SQL数据库的扫描，哪里有漏洞，这个时候就会产生一些错误。我们传统的方法是没有办法去识别的，我们只有像数据库防火墙那种方式去抓到访问。还有的时候有的后台，当出现违规违法，有权限的人做的小动作，他应用不能去改，所以调动看似正常，结果对他所做的动作是有利的。

　　另外一点，再一个生产环境当中，如果不是基于互联网的时候，你会发现你所有的IP运行了一段时间都固定下来了。你搞，比如说你说的网点来自固定的访问的时候，你都大概有哪些IP曾经访问，有哪些是合法的，这个在现实生活中是非常严重的情况。我们曾经在一个甚至一个公安的系统，有日本人在搞，你开放云应用给他的时候，我不想通过应用，我想拿到跟多的数据。

　　所以他就用各种各样的手段，或者是黑客的攻击行为。还有大家知道，我们永远生活再一个安全又不是完全安全的环境当中，说安全，我们今天的IT系统是够高性能、高可用性、可靠，但是随着你的应用，你的整个部署的架构，你还是会带来一些危险，就跟楼很坚固，但是它有门和窗，这时候就带来一些隐患，你还要去看，这个当中你的应用显得不好，应该不用就给别人带来门和窗，我们的防火墙就发现你的应用开发或者你的开发团队应用没有写好，他把这个都挑出来说，你在未来的维护当中应该去有所改善。SQL错误语句是非常严重的问题，不但撞墙，在墙上不断血液，如果说我来简单总结一下，今天如果我们过去是希望通过架构网络的安全、架构系统安全体系，建立个人用户访问安全体系，做单点登录，桌面安全等等等等的时候，大家千万不要忽略。今天其实所有的安全建设都是服务于什么?

　　都是服务于最后的信息安全。也就是今天所有的信息安全建设都是服务于家庭安全，有钱人家里都有保险柜，我的家里没有，在座的很多人家里就有保险柜，因为什么?就是因为你最后不担心别人进到你的楼里，也不担心别人进到你的家里，所以IT系统的根本损失就是来自你的数据的损失。

　　接下来我做一个总结，今天当你去看待我的整个信息安全体系的时候，一定是从应用到数据，应用安全，下午F5的同事会跟大家介绍，其实很多可以启动、可以激活，你在F5的安全模块，或者用其他的方式取得数据的安全。当然数据库的方式也可以用SQL的方式，其实我也在看好像界面上也有数据库防火墙，开玩笑讲，我们叫的那些商品化的工具通常不是非常有效的。为什么在安全的产品选择方面也要有特别明显的标准呢?这个就是说你做一般的建设的时候，但是安全的建设，这个就跟你的目的背离。

　　所以今天的安全，你要用企业级的方案，SQL今天做的话找数据库，确切来讲，对语句分析的能力是没有超越的。如果大家可以想，如果说今天在一个关键业务系统当中，百万分之一的时间误差，如果今天通常一个一天都是在几千万到上亿次的SQL访问的时候，一天当中你其实接收到误报和漏报的概率非常高。像在市场上买的东西要拿走，那是因为他不能有效识别对的和错的，这个工作量基本上是没有办法接受的，或者是不吭声。所以如果今天我们看到安全解决方案的时候，大家可以从硬件到软件，或者从应用一直到数据。

　　总结，大家一定要关注信息安全或者数据安全，而且高风险、高技术行业。如果大家看今年的SQL，也就是说我的IT建设建设到今天的时候，安全其实已经变成一个关键的因素。另外一点，我们的数据库防火墙可以支撑今天在市场当中所有的数据库，包括开元的SQL，其他的厂家在不同的数据库当中都是支持，还有一个好处，传统都是装在什么?探底，要装探针。今天只要一根网线，就可以有效地做到数据的跟帖、去解析当中有没有危险。它的好处能使你一夜之间，在很短的时间最大强度加强你的系统安全建设。

(责任编辑：)