安全性成本/收益分析 

    任何企业都不需要达到联邦政府或金融机构部门的安全级别。企业需要对比信息安全的成本和受保护的信息其价值的高低。为了帮助您了解企业需要采取哪些步骤来建立安全环境，Microsoft提供了帮助您建立安全风险管理条例（SRMD）的指导原则。
您可以在Microsoft TechNet上的The Security Risk Management Guide中获得安全风险管理的指导原则。 

    该指导原则的主旨就是建立安全策略，实施适当的和最为经济的安全级别来保护企业的各种资产。建立这样的安全策略需要四个基本步骤： 

    1. 风险评估 – 标识企业存在的风险以及风险优先级。 
    2. 指导决策支持 – 根据风险-收益分析流程来标识和评价风险控制解决方案。 
    3. 实现风险控制 – 部署和运作风险控制方案以降低企业面临的风险。 
    4. 评价程序的有效性 – 分析风险管理过程的有效性，并验证风险控制系统提供了预期程度的保护。 

    风险管理过程提供了一致的途径将有限的资源组织起来，从而实现企业资产的安全风险管理。当您使用该过程建立起成本-收益控制环境后，您的企业就会从这些成本-收益控制系统以及评价有效性的程序中获得良好的收益。这样做可以帮助企业达到可接受的安全水平，同时又不会导致过度开支。您应该考虑每一层需要安全的资产，包括物理层、网络层、宿主应用程序层、数据层，以及如何在每一层实现正确的控制和评价系统。 

    企业将大量需要保护的数据存储在数据库服务器中，大多数信息技术团体也致力于应用层的安全保护。该白皮书将关注于对Microsoft Windows®平台上两个最流行的数据库产品：SQL Server和Oracle的安全功能和成本效益方面的比较。 

    安全技术概述 

    在开始了解每一种数据库产品提供的安全技术之前，您应该对安全领域中常用的概念建立基本的认识。如果要判定一个数据库产品的安全性，还需要了解每一个概念的就安全性而言的重要性。 

    验证 
    验证是指检验用户凭据以决定是否允许该用户访问网络或者资源的过程。验证通常在您输入用户名和密码时进行。通过对这些输入信息进行判断来决定您是否为合法用户。可以通过不同的加密技术，从单向的哈希到使用更强加密技术的智能卡来加强使用简单用户名和密码的验证过程。验证过程对您的身份进行确认，这些身份信息可用于对网络上的个体进行身份鉴别。 

    授权 
    当您的身份被确认后，系统就可以决定允许您使用的资源了。授权根据您的验证凭据定义哪些资源您拥有使用权限。这允许网络或者应用程序管理员保护敏感的资源以及通过网络共享资源，但同时确信只有正确的个体可以访问资源。授权是控制资源访问的一种有效且简单的手段，但它需要安全可信地存储用户名和密码，对于防止他人窃听通过网络传输的数据也表现得无能为力。此时您需要使用加密来抵制这种攻击。 

    加密 
    加密使用某种算法对信息进行处理使之无法被那些没有密钥的个体识别。密钥用于解锁或锁住数据，就像您使用房屋或汽车钥匙一样。通过网络传输的信息或者存储在无法通过授权来保证安全的系统上的信息，加密可以防止信息泄露。有三种基本的加密技术：哈希、对称加密、以及非对称加密。 

    证书 
    X.509证书是证书标准，主要包括已经被可信的第三方机构审查确认的个体或组织的相关信息，因此可以在某种程度上相信对方是真实的。证书中可以包含诸如名称、地址、联络信息、域、以及用于加密消息和验证签名的公钥等个体或组织的相关信息。证书中提供的信息由交换信息双方均信任的第三方认证授权机构（CA）进行核实和确认。CA对证书中的信息进行签名使之无法被篡改。这个过程使您和对方交换密钥时可以确认对方的真实身份。许多对网络信息进行加密的技术都会使用证书。
更多关于加密和证书的信息，请参阅Microsoft TechNet的 “Cryptography, Certificates, and Secure Communications” 

    安全数据库资源 
    数据库中包含了大量重要且敏感的企业信息。许多企业在确保数据库系统运行良好、稳定可靠等方面投入资金，但却没有投入足够的时间来思考在安全性以及维护安全的数据库环境方面的成本。数据库的初始成本只是一个方面，而安全和维护系统的难易程度会增加数据库产品的后续成本。我们来比较一下SQL Server和Oracle在安全管理和开发安全应用程序的简便性方面提供的安全特性。 

    数据库的核心安全特性比较 
    由于数据库包含了企业最为重要的信息，因此让我们来看看保护数据库方面的关键概念。下表提供了每种数据库产品中安全特性的概要。

表1：比较Oracle和SQL Server

    SQL Server 2005和Oracle 10g具有相同的安全功能，但是Oracle上的许多安全功能需要您额外付费才能获得，需要购买高级加密包，并且只有在Oracle 10g企业版上才能运行。Microsoft相信人人都需要强大的安全性，因此SQL Server 2005在所有版本中——Express、Workgroup、标准版和企业版都提供了强大的安全功能。这其中还包括SQL Server提供的管理工具，这些管理工具使安全管理更加简便，而不是像Oracle那样使用配置文件。