安全數據庫通常是指在具有關系型數據庫一般功能的基礎上,提高數據庫安全性,達到美國TCSEC和TDI的B1(安全標記保護)級標準,或中國國家標準《計算機信息系統安全保護等級劃分準則》的第三級(安全標記保護級)以上安全標準的數據庫管理系統。
定義
數據庫的安全性包括:機密性、完整性和可用性,數據庫在三個層次上,客戶機 /服務器通過開放的網絡環境,跨不同硬件和軟件平臺通信,數據庫安全問題在這個環境下變得更加復雜。管理分布或聯邦數據庫環境,每個結點服務器還能自治實行集中式安全管理和訪問控制,對自己創建的用戶、規則、客體進行安全管理。如由 DBA或安全管理員執行本部門、本地區、或整體的安全策略,授權特定的管理員管理各組應用程序、用戶、規則和數據庫。因此訪問控制和安全管理尤為重要。安全數據庫是指數據庫管理系統必須允許系統管理員有效地管理數據庫管理系統和它的安全,并且只有被授權的管理員才可以使用這些安全功能和設備。數據庫管理系統保護的資源包括數據庫管理系統存儲、處理或傳送的信息。數據庫管理系統阻止對信息的未授權訪問,以防止信息的泄漏、修改和破壞。
區別
安全數據庫和普通數據庫的重要區別在于安全數據庫在通用數據庫的基礎上進行了諸多重要機制的安全增強,通常包括:
安全標記及強制訪問控制(麥金塔)
數據存儲加密
數據通訊加密
強化身份鑒別
安全審計
三權分立等安全機制
基本狀況
國外的數據庫加密產品相對較多,產品相對成熟。但面臨著不能集成國產的加密算法、不符合國家安全政策,不能利用密文索引進行范圍查詢,造成性能嚴重下降等問題,因此以上產品在我國尚未得到有效應用。
國內的數據庫安全增強產品往往采用應用層加密存儲或者前置代理的技術實現方式。應用層加密方式的缺點是應用必須對數據進行加解密,增加編程復雜度;加密后的數據不能作為條件進行檢索;同時對于已有的系統無法透明實現應用改造。前置代理的重要缺陷是應用必須進行現有程序的改造,使用加密前置代理提供的API;另外大量的相關數據庫重要特性將無法使用,如存儲過程、函數等。
競爭優勢
DBCoffer產品,相對于市場上的其它產品在政策符合性、性能和應用透明性上具有明顯優勢,下面重點就國外數據安全增強產品和國內按簽訂數據庫訪問中間件進行對比分析。
(1)相對于國外數據庫安全增強產品I的3點優勢
更符合國家安全政策:DBCoffer集成了國家指定密碼算法,源代碼完全自主可控。
性能更好:在主要數據庫操作上,DBCoffer大約有5-10倍的性能優勢。
服務更好:DBCoffer的技術支持,直接由開發團隊提供,同時能為用戶提供定制化服務。而對于國外研發的產品,國內的代理商僅掌握了基本產品使用,無法提供更深入的服務能力。
(2)相對于國內數據庫訪問中間件的3點優勢
性能更好:該產品的前置方案,使加密數據在Oracle數據庫內無法檢索或基于索引檢索;面向加密數據的檢索,DBCoffer有10倍以上的性能優勢。
更為透明:該產品需要應用將開發接口和SQL改為具體廠商支持的開發接口和SQL語句,因此需要大量的應用改造;而DBCoffer不需要應用進行任何改造。
Oracle功能更為無損:該產品的前置方案,使Oracle的MVCC機制、并行查詢、異常恢復等重要特性都無法使用。而應用在使用DBCoffer后,這些特性依然有效。
參考資料 >