【IT168 数据库】

    内容提要 

    随着越来越多的网络连接在一起，安全性也变得越来越重要。企业的资产需要受到保护，特别是包含了企业重要信息的数据库。保护数据以防止黑客、窃贼、企业自己的员工以及竞争对手破坏数据。 

    为了响应企业的这种安全需求，Oracle和Microsoft均在其数据库产品中实现了强大的安全特性。通过正确的安全策略和实践，两种数据库都支持对有价值的数据资产进行保护。该白皮书将在安全特性、功能、成本以及管理简易性等方面对两个数据库产品提供的安全性进行比较。 

    关键调查 

    以下是作者所作的一些关键调查结果： 

    1. 通过实现正确的安全策略以及遵循数据库开发厂商建议的非常好的实践，Microsoft® SQL Server™ 2005和 Oracle 10g足以安全和保护您的数据。 

    2. 两个数据库产品本质上提供了相同的安全功能。这些功能包括：用户验证、授权、网络加密、数据加密、以及单一帐户登陆（SSO）。 

    3. 在SQL Server 2005中管理安全性明显要比Oracle 10g简单得多。SQL Server的这种管理简易性将随着时间的推移而转换为较低的维护和管理成本。 

    4. 同样的功能但SQL Server 2005要比Oracle廉价许多。Microsoft将所有的安全功能作为数据库内置功能提供给用户，而Oracle提供的许多安全功能都需要额外付费。要想在Oracle平台上获得和SQL Server 2005同样的安全功能，Oracle要求您付一大笔钱来购买企业版和高级安全选项。 

    5. SQL Server中发现的安全漏洞也比Oracle少——而且Microsoft解决这些安全漏洞的速度也快于Oracle。这意味着使用SQL Server企业每天遭受的安全性风险要远远低于使用Oracle。 

    安全方程式等于技术、人员和流程 

    随着越来越多的网络连接在一起，安全性也变得越来越重要。企业的资产需要受到保护，特别是包含了企业重要信息的数据库。一份来自CERT Coordination Center（由卡纳基梅隆大学主持运作）的调查显示，在2001年： 

    • 有90%的回答者已经发现了计算机安全缺口。 
    • 有74% 的回答者承认由于安全缺口而导致财务损失。 
    • 有70% 报告了诸如私有信息被盗、金融欺诈、系统入侵、拒绝服务、以及数据和网络遭到破坏等事件。 

    安全数据库环境决不仅仅是拥有出色的技术，因为再伟大的技术也会被粗心的人员或者无效的程序打败。例如，数据库技术允许您增强密码安全策略，要求密码至少为14个字符并且满足密码复杂性要求，但是如果用户将密码记在便签上或者告知一个打电话冒充信息技术部门的人，那么再好的技术也不起作用。Giga Information Group陈述“对于安全官员来说，企业的安全性首先是人员和流程的问题，排在第三位的才是技术”。

    人员和流程是安全性中的最薄弱的环节。防火墙、反病毒软件、加密、以及入侵检测系统只是帮助技术人员和流程实现企业资源安全的工具而已。企业可以花钱购买最好的技术，但是如果企业中没有好的流程解决服务器补丁问题，或者没有对员工进行培训，告诉他们要当心可能被攻击者利用的社交工程陷阱，那么企业很快就会被攻击者打败。如果有效的人员和流程等于好的安全性，那么我们该如何做才能提高和改进安全环境呢？记住以下几个观点： 

    • 企业中的人员是大多数企业安全缺口的一个潜在来源，不管他们是不是故意的。人是可以被改造的，因此也是最容易被利用的目标。人员需要接受关于避免社交工程陷阱以及企业安全策略等方面的培训。培训需要坚持不解的进行，因为安全是不断动态变化的。培训员工如何识别和报告社交工程陷阱可以大大地增强企业的安全性。企业对安全性要有正确的认识，它决不只是一个预算问题，更多的是解决那些与安全教育训练和业务过程有关的问题。 

    • 中小型企业在实施安全计算环境时会受到很多限制。由于信息技术管理人员数量有限、缺乏高学历人员或技术专家、缺乏补丁和最新的病毒定义、古老的操作系统、有限的信息技术预算等等，这使信息技术人员常常无法关注于和安全相关的问题。 

    • 威胁模型的本质就是理解服务器架构中存在那些威胁以及如何减缓这些威胁。要关注整个环境的威胁模型，然后对安全性进行利弊权衡。 

    安全企业资源需要投入费用。绝大多数企业都竭尽全力地赚钱并且尽可能地节省开支和费用。您需要权衡投入多少费用来安全那些存储在数据库服务器中的数据。要把恢复数据发生的费用、数据破坏导致的企业损失以及为实现信息安全而投入的费用放在一起作权衡。 

    机密性、一致性、可用性三者间存在相互制约关系。您在决定如何实现数据安全性时必须要权衡和考虑这些原则。如果在一个方面进行了增强就可能导致另一个方面功能被削弱。例如您通过安全措施保护了机密数据，其结果就是获取数据变得更难了。
提升企业安全的正确方法就是致力于那些使用多种安全机制并因此实现多层安全性的手段和方法。尽管一种安全机制可能出现失败，但多种安全机制同时失败的机会就十分渺茫了。