在大型機(jī)興起之初，它的使用環(huán)境是非常安全的。用戶可以將終端系統(tǒng)與大型機(jī)相連，這樣大型機(jī)就能控制數(shù)據(jù)存儲(chǔ)的訪問路徑和權(quán)限，掌控用戶的使用信息和來源。

　　但時(shí)至今日我們使用的是面向服務(wù)的體系架構(gòu)(SOA)，在與后端系統(tǒng)連接之前會(huì)有一系列的計(jì)算機(jī)發(fā)出請(qǐng)求。用戶也分為不同的級(jí)別。因此大型機(jī)的后端就無法實(shí)際確認(rèn)用戶真正的身份和授權(quán)的地點(diǎn)。所以，在分布式計(jì)算機(jī)的領(lǐng)域，當(dāng)用戶準(zhǔn)備訪問大型機(jī)數(shù)據(jù)時(shí)，安全狀況就變得前景堪憂。

　　另外，目前真正了解大型機(jī)的專家實(shí)在寥寥可數(shù)--他們多數(shù)都已退居二線。因此當(dāng)用戶訪問大型機(jī)并分享數(shù)據(jù)時(shí)，內(nèi)憂外患也是越來越多。

　　大型機(jī)是座寶庫

　　威利薩頓(willie sutton)是十九世紀(jì)二十年代聞名一時(shí)的銀行大盜，在他被抓獲后有人問他“威利，你為什么搶劫銀行呢？”他老實(shí)回答說“因?yàn)槟抢镉绣X”。

　　如果威利能活到今天，我敢打賭他一定是名入侵終端數(shù)據(jù)庫的黑客，因?yàn)殄X就在那里，或者說至少那里擁有很有價(jià)值的信息。大型機(jī)對(duì)于那些惡意的電腦黑客來說就是令人垂涎的攻擊目標(biāo)，黑客典型的做法是在網(wǎng)絡(luò)協(xié)議的掩護(hù)下去讀取數(shù)據(jù)。當(dāng)大型機(jī)看到諸如FTP或者HTTP這樣的協(xié)議時(shí)基本都會(huì)予以批準(zhǔn)，如果這是個(gè)SQL注入攻擊(SQL injection attack)，那么大型機(jī)根本就無能無力。

　　大型機(jī)的安全保障

　　與其不斷安裝大型機(jī)應(yīng)用軟件不如借此機(jī)會(huì)適時(shí)增加基礎(chǔ)架構(gòu)的功能，畢竟開發(fā)應(yīng)用軟件也并非易事。因此用戶應(yīng)該將安全功能外置諸如數(shù)據(jù)庫，應(yīng)用軟件或者網(wǎng)絡(luò)服務(wù)器之上，增加另外的安全層也是非常有效的方法。

　　這個(gè)單獨(dú)的層將彌補(bǔ)安全鑒定的空白。舉例來說，如果有黑客竊取了用戶密碼就會(huì)繞過安全驗(yàn)證系統(tǒng)，那么用戶還有另外的安全層權(quán)限來訪問數(shù)據(jù)。因此，增加更高權(quán)限的安全線和深度防護(hù)措施是十分關(guān)鍵的。

　　深度防護(hù)流程

　　首先職權(quán)分離能有助于抵御來自內(nèi)部和外部的攻擊。設(shè)置網(wǎng)絡(luò)應(yīng)用軟件防火墻是抵御黑客攻擊的第一道防線，這也相當(dāng)于將威利薩頓擋在門外的安全電網(wǎng)。

　　其次你需要防范數(shù)據(jù)外流的風(fēng)險(xiǎn)，單獨(dú)的入侵檢測(cè)和審核還遠(yuǎn)遠(yuǎn)不夠。你需要防止意外情況下數(shù)據(jù)被竊取，因此你要找到合適的方法對(duì)數(shù)據(jù)進(jìn)行鎖定。加密技術(shù)是最好的方法。如果能夠正確的運(yùn)用，這也是讓你免受數(shù)據(jù)外泄風(fēng)險(xiǎn)的唯一方法。

　　入侵檢測(cè)也是基本方式。如果你的系統(tǒng)處于危險(xiǎn)之中，你就必須設(shè)置防護(hù)層來阻止攻擊者入侵系統(tǒng)竊取數(shù)據(jù)。Protegrity公司擁有一項(xiàng)技術(shù)專利就是根據(jù)在系統(tǒng)上用戶常規(guī)活動(dòng)的歷史記錄為基礎(chǔ)來限定其訪問的數(shù)據(jù)流量。

　　舉例來說，如果某人通常在一周內(nèi)每天下載的數(shù)據(jù)量是500條記錄，周末沒有訪問量。那么我們的系統(tǒng)就會(huì)鑒別某人的數(shù)據(jù)下載量不超過10,000條或者周末晚上不能下載數(shù)據(jù)。

　　最后，對(duì)你的用戶實(shí)施監(jiān)控。一旦你對(duì)數(shù)據(jù)進(jìn)行了鎖定，你就需要關(guān)注它的運(yùn)行情況。是否有未經(jīng)授權(quán)的請(qǐng)求?是否有黑客的攻擊企圖?你必須關(guān)注這些問題，如果用戶出現(xiàn)濫用數(shù)據(jù)的情況能及時(shí)的加以制止。

　　由此可見大型機(jī)安全方和的三大要素：網(wǎng)絡(luò)應(yīng)用軟件防火墻，加密技術(shù)和監(jiān)控措施。

　　大型機(jī)安全防護(hù)的支柱 各個(gè)方面的安全檢查

　　是時(shí)候?qū)χ八雎缘陌踩到y(tǒng)進(jìn)行全面的檢查。舉例來說，檢查你的數(shù)據(jù)庫，看看是否有人試圖讀取你數(shù)據(jù)庫中的信用卡信息。如果你發(fā)現(xiàn)有黑客以有效的用戶身份訪問信用卡信息，我們就應(yīng)該對(duì)其訪問的數(shù)據(jù)量增加相應(yīng)的功能設(shè)置。

　　如果你的用戶身份存在危險(xiǎn)，你就應(yīng)該設(shè)置防護(hù)層來阻止入侵者來獲取更多的信息。你也可以通過數(shù)據(jù)使用控制來對(duì)入侵進(jìn)行檢測(cè)或者阻止黑客攻擊的速度。目前我們?cè)诨谛袨榈娜肭謾z測(cè)技術(shù)已經(jīng)獲取了專利許可。我們之所以開發(fā)這項(xiàng)技術(shù)是因?yàn)槲艺J(rèn)為它在數(shù)據(jù)驅(qū)動(dòng)防護(hù)層方面頗有成效。

　　對(duì)于基于行為的訪問加以限制在物理世界是非常自然的事。就像按方抓藥或者去自動(dòng)提款機(jī)限額取錢一樣的道理。這些都是非常成功的安全系統(tǒng)能從邏輯上限定人們的行為。我認(rèn)為這種方法也同樣適用于IT領(lǐng)域的安全防護(hù)。