防火墙有串联和旁路方式可以部署。串联部署在网络中，设备单点故障，可以通过硬件bybass来防止业务中断，并且进行双机冗余部署，防止业务中断；旁路部署时，设备故障不会影响客户的业务。

静态脱敏通过旁路部署，要保证脱敏系统与源数据库、目标数据库之间网络可达，能够从源数据库中进行数据查询抽取以及将脱敏数据插入目标数据库。

动态脱敏代理方式部署。应用系统与数据库建立连接，为了实现数据脱敏处理，应用系统的连接请求转发到数据动态脱敏系统，由脱敏系统解析请求后,再将SQL语句转发到数据库服务器，数据库服务器返回的数据同样经过动态脱敏系统后由脱敏系统返回给应用服务器。

数据脱敏系统是软硬件一体化产品，同时能够进行软件部署，支持云环境及虚拟化部署。

Ankki防统方系统能够监控到非法统方的统计涉及到药品名称、数量、以及金额等信息，而且还能对操作行为进行还原及回放。另外，为了防止通过我们设备造成二次泄密，我们还可以对这些信息进行隐密设计。

当然可以，在我们实施的医疗客户中，全部可通过卫计委的防统方检查，而且普遍反馈得分较高，比如北京安贞医院，连续两年在联合大检查中都获得了卫计委的表扬，既可以帮助客户快速合规，还能实实在在帮助客户定位到人，保护客户的核心数据安全。

 根据我们的实践经验，总结出来大体有三点:

一是强化医院的防统方监控管理体系。建议院长挂帅，纪委+信息科联合班子，以前有些医院排斥信息科人员的参与，而纪检岗位不懂技术无法真正监管;或者完全放手给信息科，纪委不参与又缺乏对信息科监管，都是牛耳两端。

二是部署适当的医院防统方系统。严格选型，选择合适产品，并强化以前单纯只从防范数据库泄密的角度，升级为数据库操作技术，构筑立体监控体系。

三是加强行政政策、管理制度的执行力度。如制定医药购销廉洁协议制度、医药购销领域商业贿赂不良记录制度等等，通过科技手段进行监督，对“顶风作案”者严肃处置，真正起到威慑作用。

只有坚持制度管理和科技防范手段相结合，才能遏制药品回扣、医生乱开处方和过度医疗等行为的发生，从而有效减轻群众就医负担，响应国家卫生主管部门的要求。

分类不同、时代不同，现在已经是数据安全的时代，数据安全迫在眉睫，防火墙、上网行为管理都属于网络安全时代的产品，是老三件产品了，定位也是着眼于边界的防护，对内网的安全无能为力;堡垒机则主要是针对运维人员的安全管理，一是内部用户覆盖不到，二是对数据库访问的具体行为也不可见，而数据库审计是目前能够对数据库进行安全防范为数不多的重要产品之一。

日志或自带审计系统对性能影响巨大，产生大量文件消耗硬盘空间，事实上中大型系统都不能使用，或只能在排查问题时偶尔使用;日志系统不直观、易篡改、不完整、难管理;无法自动智能设置规则; 另外，从安全管控的标准及法规角度来看，也需要第三方独立的审计设备。

在应用软件里面做审计，只是对来自于应用服务器层面的访问做审计，而直接对数据库方面的操作工具、进程等都无法审计，而这些才是威胁最严重的地方。如果软件厂商在数据库服务器做审计，这与他们以前的技术领域完全不同，他们对安全一般都不专业，应用厂商本身就属于被监控对象，所以更不能让他们自己监控自己。

AAS采用旁路部署，只需要在核心交换机上做一个端口镜像即可。旁路部署方案不需要对现有的网络进行调整，没有任何影响。AAS数据库审计系统旁路部署，和现有的业务应用系统没有任何交互，真正的零交互，无干扰。

优质数据库审计产品主要有以下特征：

1. 部署安全

2. 深度解析

3. 灵活策略

4. 性能要求

5. 自身安全

6. 独立可靠

7. 兼容性高