数据库安全技术及市场分析.doc

数据库安全技术及市场分析 1、概述 数据库技术从 20 世纪 60 年代中期开始发展，到现在已经成为一个活跃的学科领域。以数据库为基础的信息系统正成为经济、政务、国防等领域的信息基础设施，数据库中存储的信息的价值也越来越高，因此，数据库系统的安全问题也显得越来越重要。在新的网络环境中，数据库系统需要面对更多的安全威胁，针对数据库系统的攻击方式也层出不穷。 数据库系统安全控制是指为数据库系统建立的安全保护措施，以保护数据库系统软件和其中的数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。目前，数据库系统安全与网络安全、操作系统安全及协议安全一起构成了信息系统安全的四个最主要的研究领域。 20世纪70年代初，美国军方率先发起对多级安全数据库管理系统（Multilevel Secure Database Management System，简称MLS DBMS）的研究。此后，一系列数据库安全模型被提出。 80年代，美国国防部根据军用计算机系统的安全需要，制订了《可信计算机系统安全评估标准》（Trusted Computer System Evaluation Criteria，简称TCSEC）以及该标准的可信数据库系统的解释（Trusted Database Interpretation，简称TDI），形成了最早的信息安全及数据库安全评估体系。TCSEC/ TDI将系统安全性分为4组7个等级，依次是D（最小保护）、C1（自主安全保护）、C2（受控存取保护）、B1（标记安全保护）、B2（结构化保护）、B3（安全域）、A1（验证设计），按系统可靠或可信程度逐渐增高。 90年代后期，《信息技术安全评价通用准则》（Common Criteria，简称CC）被ISO接受为国际标准，确立了现代信息安全标准的框架。这些标准指导了安全数据库系统的研究和开发安全数据库及其应用系统研究。 在安全数据库需求以及信息安全标准的推动下，国外各大主流数据库厂商相继推出了各自的安全数据库产品，如Sybase公司的Secure SQL Server（最早通过B1级安全评估），Oracle公司的Trusted Oracle 7，Informix公司的Informix-online/ Secure 5.0等。近几年，Oracle公司的Oracle 9i、Oracle 10g从用户认证、访问控制、加密存储和审计策略等方面进一步加强了安全控制功能。 我国从80年代开始进行数据库技术的研究和开发，从90年代初开始进行安全数据库理论的研究和实际系统的研制。2001年，中国军方提出了我国最早的数据库安全标准――《军用数据库安全评估准则》。2002年，公安部发布了公安部行业标准――GA/T 389-2002：《计算机信息系统安全等级保护/ 数据库管理系统技术要求》。 90年代以来，华中理工大学（现华中科技大学）、中国人民大学、东北大学等单位对数据库安全技术进行了研究和实践，并开发出了相应的安全数据库软件，如基本达到B1级安全要求的DM3数据库、COBASE（KingBase） 数据库2.0可信版本、OpenBase Secure等。2003年，中科院信息安全国家重点实验室基于开放源代码的数据库管理系统Postgre SQL，开发出安全数据库系统LOIS。总体来说，与国外主流数据库产品相比，这些研究成果在安全性和可用性上还有一定的差距。 根据2004年底的统计，几大国外数据库管理系统在国内的市场占有率达到95%，国产数据库的总市场容量大约为3.5%，其它开源的产品大约占1.5%。国外的数据库产品不提供源程序代码，也很少有可供公开调用的内核接口，这些都加大了自主安全保护的技术难度。加之发达国家限制C2级以上安全级别的信息技术与产品对我国的出口，研究开发数据库安全控制技术具有重要的现实意义，任重而道远。 数据库安全现状数据库安全现状 数据库系统立足于数据本身的管理，将所有的数据保存于数据库中，进行科学地组织，借助于数据库管理系统，并以此为中介，与各种应用程序或应用系统接口，使之能方便地使用并管理数据库中的数据，如数据查询/添加/删除/修改等。 数据库无所不在。海量的数据信息因为数据库的产生而变得更加容易管理和使用。政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业等行业，纷纷建立起各自的数据库应用系统，以便随时对数据库中海量的数据进行管理和使用，国家/社会的发展带入信息时代。 同时，随着互联网的发展，数据库作为网络的重要应用，在网站建设和网络营销中发挥着重要的作用，包括信息收集/信息查询及搜索/产品或业务管理/新闻发布/BBS论坛等等。 然而，信息技术是一把双刃剑，为社会的进步和发展带来遍历的同时，也带来了许多的安全隐患。对数据库而言，其存在的安全隐患存在