在大型機興起之初，它的使用環境是非常安全的。用戶可以將終端系統與大型機相連，這樣大型機就能控制數據存儲的訪問路徑和權限，掌控用戶的使用信息和來源。

　　但時至今日我們使用的是面向服務的體系架構(SOA)，在與后端系統連接之前會有一系列的計算機發出請求。用戶也分為不同的級別。因此大型機的后端就無法實際確認用戶真正的身份和授權的地點。所以，在分布式計算機的領域，當用戶準備訪問大型機數據時，安全狀況就變得前景堪憂。

　　另外，目前真正了解大型機的專家實在寥寥可數--他們多數都已退居二線。因此當用戶訪問大型機并分享數據時，內憂外患也是越來越多。

　　大型機是座寶庫

　　威利薩頓(willie sutton)是十九世紀二十年代聞名一時的銀行大盜，在他被抓獲后有人問他“威利，你為什么搶劫銀行呢？”他老實回答說“因為那里有錢”。

　　如果威利能活到今天，我敢打賭他一定是名入侵終端數據庫的黑客，因為錢就在那里，或者說至少那里擁有很有價值的信息。大型機對于那些惡意的電腦黑客來說就是令人垂涎的攻擊目標，黑客典型的做法是在網絡協議的掩護下去讀取數據。當大型機看到諸如FTP或者HTTP這樣的協議時基本都會予以批準，如果這是個SQL注入攻擊(SQL injection attack)，那么大型機根本就無能無力。

　　大型機的安全保障

　　與其不斷安裝大型機應用軟件不如借此機會適時增加基礎架構的功能，畢竟開發應用軟件也并非易事。因此用戶應該將安全功能外置諸如數據庫，應用軟件或者網絡服務器之上，增加另外的安全層也是非常有效的方法。

　　這個單獨的層將彌補安全鑒定的空白。舉例來說，如果有黑客竊取了用戶密碼就會繞過安全驗證系統，那么用戶還有另外的安全層權限來訪問數據。因此，增加更高權限的安全線和深度防護措施是十分關鍵的。

　　深度防護流程

　　首先職權分離能有助于抵御來自內部和外部的攻擊。設置網絡應用軟件防火墻是抵御黑客攻擊的第一道防線，這也相當于將威利薩頓擋在門外的安全電網。

　　其次你需要防范數據外流的風險，單獨的入侵檢測和審核還遠遠不夠。你需要防止意外情況下數據被竊取，因此你要找到合適的方法對數據進行鎖定。加密技術是最好的方法。如果能夠正確的運用，這也是讓你免受數據外泄風險的唯一方法。

　　入侵檢測也是基本方式。如果你的系統處于危險之中，你就必須設置防護層來阻止攻擊者入侵系統竊取數據。Protegrity公司擁有一項技術專利就是根據在系統上用戶常規活動的歷史記錄為基礎來限定其訪問的數據流量。

　　舉例來說，如果某人通常在一周內每天下載的數據量是500條記錄，周末沒有訪問量。那么我們的系統就會鑒別某人的數據下載量不超過10,000條或者周末晚上不能下載數據。

　　最后，對你的用戶實施監控。一旦你對數據進行了鎖定，你就需要關注它的運行情況。是否有未經授權的請求?是否有黑客的攻擊企圖?你必須關注這些問題，如果用戶出現濫用數據的情況能及時的加以制止。

　　由此可見大型機安全方和的三大要素：網絡應用軟件防火墻，加密技術和監控措施。

　　大型機安全防護的支柱 各個方面的安全檢查

　　是時候對之前所忽略的安全系統進行全面的檢查。舉例來說，檢查你的數據庫，看看是否有人試圖讀取你數據庫中的信用卡信息。如果你發現有黑客以有效的用戶身份訪問信用卡信息，我們就應該對其訪問的數據量增加相應的功能設置。

　　如果你的用戶身份存在危險，你就應該設置防護層來阻止入侵者來獲取更多的信息。你也可以通過數據使用控制來對入侵進行檢測或者阻止黑客攻擊的速度。目前我們在基于行為的入侵檢測技術已經獲取了專利許可。我們之所以開發這項技術是因為我認為它在數據驅動防護層方面頗有成效。

　　對于基于行為的訪問加以限制在物理世界是非常自然的事。就像按方抓藥或者去自動提款機限額取錢一樣的道理。這些都是非常成功的安全系統能從邏輯上限定人們的行為。我認為這種方法也同樣適用于IT領域的安全防護。