更新时间:2024-09-20 19:25
安全数据库通常是指在具有关系型数据库一般功能的基础上,提高数据库安全性,达到美国TCSEC和TDI的B1(安全标记保护)级标准,或中国国家标准《计算机信息系统安全保护等级划分准则》的第三级(安全标记保护级)以上安全标准的数据库管理系统。
数据库的安全性包括:机密性、完整性和可用性,数据库在三个层次上,客户机 /服务器通过开放的网络环境,跨不同硬件和软件平台通信,数据库安全问题在这个环境下变得更加复杂。管理分布或联邦数据库环境,每个结点服务器还能自治实行集中式安全管理和访问控制,对自己创建的用户、规则、客体进行安全管理。如由 DBA或安全管理员执行本部门、本地区、或整体的安全策略,授权特定的管理员管理各组应用程序、用户、规则和数据库。因此访问控制和安全管理尤为重要。安全数据库是指数据库管理系统必须允许系统管理员有效地管理数据库管理系统和它的安全,并且只有被授权的管理员才可以使用这些安全功能和设备。数据库管理系统保护的资源包括数据库管理系统存储、处理或传送的信息。数据库管理系统阻止对信息的未授权访问,以防止信息的泄漏、修改和破坏。
安全数据库和普通数据库的重要区别在于安全数据库在通用数据库的基础上进行了诸多重要机制的安全增强,通常包括:
安全标记及强制访问控制(麦金塔)
数据存储加密
数据通讯加密
强化身份鉴别
安全审计
三权分立等安全机制
国外的数据库加密产品相对较多,产品相对成熟。但面临着不能集成国产的加密算法、不符合国家安全政策,不能利用密文索引进行范围查询,造成性能严重下降等问题,因此以上产品在我国尚未得到有效应用。
国内的数据库安全增强产品往往采用应用层加密存储或者前置代理的技术实现方式。应用层加密方式的缺点是应用必须对数据进行加解密,增加编程复杂度;加密后的数据不能作为条件进行检索;同时对于已有的系统无法透明实现应用改造。前置代理的重要缺陷是应用必须进行现有程序的改造,使用加密前置代理提供的API;另外大量的相关数据库重要特性将无法使用,如存储过程、函数等。
DBCoffer产品,相对于市场上的其它产品在政策符合性、性能和应用透明性上具有明显优势,下面重点就国外数据安全增强产品和国内按签订数据库访问中间件进行对比分析。
(1)相对于国外数据库安全增强产品I的3点优势
更符合国家安全政策:DBCoffer集成了国家指定密码算法,源代码完全自主可控。
性能更好:在主要数据库操作上,DBCoffer大约有5-10倍的性能优势。
服务更好:DBCoffer的技术支持,直接由开发团队提供,同时能为用户提供定制化服务。而对于国外研发的产品,国内的代理商仅掌握了基本产品使用,无法提供更深入的服务能力。
(2)相对于国内数据库访问中间件的3点优势
性能更好:该产品的前置方案,使加密数据在Oracle数据库内无法检索或基于索引检索;面向加密数据的检索,DBCoffer有10倍以上的性能优势。
更为透明:该产品需要应用将开发接口和SQL改为具体厂商支持的开发接口和SQL语句,因此需要大量的应用改造;而DBCoffer不需要应用进行任何改造。
Oracle功能更为无损:该产品的前置方案,使Oracle的MVCC机制、并行查询、异常恢复等重要特性都无法使用。而应用在使用DBCoffer后,这些特性依然有效。