在过去的几年中，新闻不断出现包括医疗信息，帐户凭证，公司电子邮件和内部敏感的企业数据被盗事件。有的来自外部网络攻击，有的来自数据泄露，发生的原因各不相同。

其中内部人员原因最令人防不胜防，其中包括今年上过热搜的微盟的业务系统数据库（包括主备）遭遇其公司运维人员的删除的“删库跑路事件”。

而如今随着各种智慧城市的打造，越来越多的数据库建设充斥在其中，数据库安全受到了极大的考验。无独有偶，郑大一附院的智慧医院就遭到了“内鬼”破坏事件 —— 夏某某任职北京中科某某科技有限公司，负责该公司为郑大一附院开发的“软件信息系统”的维护工作。

2017年10月31日20时许，夏某某参与并直接操作了郑大一附院“HIS数据库”的账号密码修改仪式，夏某某在未经授权或许可的情况下，私自记录了该账号密码。后夏某某在未经授权或许可的情况下，私自编写了“数据库性能观测程序”和锁表语句，并利用私自记录的账号密码将该程序私自连接郑大一附院“HIS数据库”，导致该锁表语句在“HIS数据库”运行。

2018年12月24日8时13分至9时47分期间，夏某某先后六次利用“数据库性能观测程序”连接“平台数据库”的“锁定平台挂号表”功能，将数据库执行锁表命令。该命令执行后锁定fin_opr_register表，使其不能进行其它活动，并导致“HIS数据库”锁定。造成郑大一附院郑东院区、惠济院区、医学院院区所有门诊、临床计算机业务受到恶意语句攻击，门急诊挂号、门急诊叫号、门急诊支付、门急诊药房、门急诊检查、门急诊检验等业务系统均无法正常操作，所有门诊相关业务停止服务，造成该医院三个院区门诊业务停滞近两个小时，造成大量患者积压在门诊无法就诊，严重影响医院的正常医疗工作。

案发后，夏某某对其工作数据日志、办公电脑进行了清理。

……

事件发生后，公安机关立案调查，经过层层排查，确定了作案嫌疑人对象。2019年5月22日，经民警电话通知后被告人夏某某到郑州市公安局郑东分局投案。

经郑大一附院出具证明：由于恶意锁表行为遭受损失等相关情况，包括：

从当日收入来测算。当日收入损失约为800万元。

郑东院区门诊楼有380台电脑无法进入医生工作站正常工作，72台自助挂号机和49台报到机无法正常工作；河医院区门诊楼有1027台电脑无法正常进入系统，86台自助挂号机和55台报到机无法工作；惠济院区门诊部有82台电脑无法正常进入系统，11台自助挂号机和4台报到机无法工作。

虽然“内鬼”最终被抓获，但是该院智慧医院项目造成巨大损失是无法挽回的，那么有没有办法可以在千里堤坝决堤前就时刻警戒，并且及时发出警报呢？

合众安全审计日志分析系统支持对云平台、数据、应用、网络、边界、终端等日志信息进行记录和安全审计，支持对用户操作行为进行安全审计，支持基线、特征、异常类型、威胁场景等分析，支持用户画像分析，发现异常/违规行为并进行告警。针对类似事件可以通过系统来记录用户的行为，例如对数据库对象的访问。通过分析日志信息，发现用户行为模式和引发安全事件的异常/违规操作。做到及时发现问题，分析日志信息，跟踪审计事件，分析原因。对症下药，才能防患未然。