数据库安全技术及市场分析

数据库安全技术及市场分析

1、概述

数据库技术从 20 世纪 60 年代中期开始发展，到现在已经成为一个活跃的学科领域。以数据库为基础的信息系统正成为经济、政务、国防等领域的信息基础设施，数据库中存储的信息的价值也越来越高，因此，数据库系统的安全问题也显得越来越重要。在新的网络环境中，数据库系统需要面对更多的安全威胁，针对数据库系统的攻击方式也层出不穷。

数据库系统安全控制是指为数据库系统建立的安全保护措施，以保护数据库系统软件和其中的数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。目前，数据库系统安全与网络安全、操作系统安全及协议安全一起构成了信息系统安全的四个最主要的研究领域。

20世纪70年代初，美国军方率先发起对多级安全数据库管理系统（Multilevel Secure Database Management System，简称MLS DBMS）的研究。此后，一系列数据库安全模型被提出。

80年代，美国国防部根据军用计算机系统的安全需要，制订了《可信计算机系统安全评估标准》（Trusted Computer System Evaluation Criteria，简称TCSEC）以及该标准的可信数据库系统的解释（Trusted Database Interpretation，简称TDI），形成了最早的信息安全及数据库安全评估体系。TCSEC/ TDI将系统安全性分为4组7个等级，依次是D（最小保护）、C1（自主安全保护）、C2（受控存取保护）、B1（标记安全保护）、B2（结构化保护）、B3（安全域）、A1（验证设计），按系统可靠或可信程度逐渐增高。

90年代后期，《信息技术安全评价通用准则》（Common Criteria，简称CC）被ISO接受为国际标准，确立了现代信息安全标准的框架。这些标准指导了安全数据库系统的研究和开发安全数据库及其应用系统研究。

在安全数据库需求以及信息安全标准的推动下，国外各大主流数据库厂商相继推出了各自的安全数据库产品，如Sybase公司的Secure SQL Server（最早通过B1

级安全评估），Oracle公司的Trusted Oracle 7，Informix公司的Informix-online/ Secure 5.0等。近几年，Oracle公司的Oracle 9i、Oracle 10g从用户认证、访问控制、加密存储和审计策略等方面进一步加强了安全控制功能。

我国从80年代开始进行数据库技术的研究和开发，从90年代初开始进行安全数据库理论的研究和实际系统的研制。2001年，中国军方提出了我国最早的数据库安全标准――《军用数据库安全评估准则》。2002年，公安部发布了公安部行业标准――GA/T 389-2002：《计算机信息系统安全等级保护/ 数据库管理系统技术要求》。

90年代以来，华中理工大学（现华中科技大学）、中国人民大学、东北大学等单位对数据库安全技术进行了研究和实践，并开发出了相应的安全数据库软件，如基本达到B1级安全要求的DM3数据库、COBASE（KingBase） 数据库2.0可信版本、OpenBase Secure等。2003年，中科院信息安全国家重点实验室基于开放源代码的数据库管理系统Postgre SQL，开发出安全数据库系统LOIS。总体来说，与国外主流数据库产品相比，这些研究成果在安全性和可用性上还有一定的差距。

根据2004年底的统计，几大国外数据库管理系统在国内的市场占有率达到95%，国产数据库的总市场容量大约为3.5%，其它开源的产品大约占1.5%。国外的数据库产品不提供源程序代码，也很少有可供公开调用的内核接口，这些都加大了自主安全保护的技术难度。加之发达国家限制C2级以上安全级别的信息技术与产品对我国的出口，研究开发数据库安全控制技术具有重要的现实意义，任重而道远。

2、数据库安全现状

2.1 数据库安全现状

数据库系统立足于数据本身的管理，将所有的数据保存于数据库中，进行科学地组织，借助于数据库管理系统，并以此为中介，与各种应用程序或应用系统接口，使之能方便地使用并管理数据库中的数据，如数据查询/添加/删除/修改等。

数据库无所不在。海量的数据信息因为数据库的产生而变得更加容易管理和使用。政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、

电子商务及企业等行业，纷纷建立起各自的数据库应用系统，以便随时对数据库中海量的数据进行管理和使用，国家/社会的发展带入信息时代。

同时，随着互联网的发展，数据库作为网络的重要应用，在网站建设和网络营销中发挥着重要的作用，包括信息收集/信息查询及搜索/产品或业务管理/新闻发布/BBS论坛等等。

然而，信息技术是一把双刃剑，为社会的进步和发展带来遍历的同时，也带来了许多的安全隐患。对数据库而言，其存在的安全隐患存在更加难以估计的风险值，数据库安全事件曾出不穷：

某系统开发工程师通过互联网入侵移动中心数据库，盗取冲值卡 某医院数据库系统遭到非法入侵，导致上万名患者私隐信息被盗取 某网游公司内部数据库管理人员通过违规修改数据库数据盗窃网游点卡 黑客利用SQL注入攻击，入侵某防病毒软件数据库中心，窃取大量机密信息，导致该防病毒软件公司严重损失

某证券交易所内部数据库造黑客股民入侵，盗窃证券交易内部报告 ……

数据库安全面临内部恶意操作以及外部恶意入侵两大夹击。如何有效保护数据库信息成为当前信息安全界最为关注的课题。

2.2 三大安全风险

数据库是任何商业和公共安全中最具有战略性的资产，通常都保存着重要的商业伙伴和客户信息，这些信息需要被保护起来，以防止竞争者和其他非法者获取。

互联网的急速发展使得企业数据库信息的价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战，概括起来主要表现在以下三个层面：

管理层面：主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。

技术层面：现有的数据库内部操作不明，无法通过外部的任何安全工具（比如：防火墙、IDS、IPS等）来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。

审计层面：现有的依赖于数据库日志文件的审计方法，存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险，难于体现审计信息的真实性。

伴随着数据库信息价值以及可访问性提升，使得数据库面对来自内部和外部的安全风险大大增加，如违规越权操作、恶意入侵导致机密信息窃取泄漏，但事后却无法有效追溯和审计。

2.3 传统数据库安全方案缺陷

传统的审计方案，或多或少存在一些缺陷，主要表现在以下两个方面。 传统网络安全方案：依靠传统的网络防火墙及入侵保护系统(IPS)，在网络中检查并实施数据库访问控制策略。但是网络防火墙只能实现对IP地址、端口及协议的访问控制，无法识别特定用户的具体数据库活动(比如：某个用户使用数据库客户端删除某张数据库表)；

而 IPS虽然可以依赖特征库有限阻止数据库软件已知漏洞的攻击，但他同样无法判别具体的数据库用户活动，更谈不上细粒度的审计。因此，无论是防火墙，还是 IPS都不能解决数据库特权滥用等问题。

基于日志收集方案：需要数据库软件本身开启审计功能，通过采集数据库系统日志信息的方法形成审计报告，这样的审计方案受限于数据库的审计日志功能和访问控制功能，在审计深度、审计响应的实时性方面都难以获得很好的审计效果。

同时，开启数据库审计功能，一方面会增加数据库服务器的资源消耗，严重影响数据库性能；另一方面审计信息的真实性、完整性也无法保证。

其他诸如应用程序修改、数据源触发器、统一认证系统授权等等方式，均只能记录有限的信息，更加无法提供细料度的数据库操作审计。

以上就是对数据库安全现状的简单阐述。

3、数据库系统的安全需求

与其它计算机系统（如操作系统）的安全需求类似，数据库系统的安全需求可以归纳为完整性、保密性和可用性三个方面。

（1）数据库的完整性

数据库系统的完整性主要包括物理完整性和逻辑完整性。

物理完整性是指保证数据库的数据不受物理故障（如硬件故障、掉电等）的影响，并有可能在灾难性毁坏时重建和恢复数据库。

逻辑完整性是指对数据库逻辑结构的保护，包括数据的语义完整性与操作完整性。前者主要指数据存取在逻辑上满足完整性约束，后者主要指在并发事务中保证数据的逻辑一致性。

（2）数据库的保密性

数据库的保密性是指不允许未经授权的用户存取数据。一般要求对用户的身份进行标识与鉴别，并采取相应的存取控制策略以保证用户仅能访问授权数据，同一组数据的不同用户可以被赋予不同的存取权限。同时，还应能够对用户的访问操作进行跟踪和审计。此外，还应该控制用户通过推理的方式从经过授权的已知数据获取未经授权的数据，造成信息泄漏。

（3）数据库的可用性

数据库的可用性是指不应拒绝授权用户对数据库的正常操作，同时保证系统的运行效率并提供用户友好的人机交互。

一般而言，数据库的保密性和可用性是一对矛盾。对这一矛盾的分析与解决构成了数据库系统的安全模型和一系列安全机制的主要目标。

4、数据库系统的安全模型

安全模式也称为策略表达模型，是一种抽象的、独立于软件实现的概念模型。数据库系统的安全模型是用于精确描述数据库系统的安全需求和安全策略的有效方式。

从 70 年代开始，一系列数据库安全模型与原型系统得到研究。80 年代末开始，研究的重点集中于如何在数据库系统中实现多级安全，即如何将传统的关系数据库理论与多级安全模型相结合，建立多级安全数据库系统。到目前为止，先后提出的

基于多级关系模型的数据库多级安全模型主要有 Bell-La Padula 模型（简称 BLP 模型）、Biba 模型、SeaView 模型和 Jajodia Sandhu 模型（简称 JS 模型）等。

在多级安全模型中，客体（各种逻辑数据对象）被赋予了不同的安全标记属性，或称密级（security level）；主体（用户或用户进程）根据访问权限也被分配不同的许可级（clearance level）。主体根据一定的安全规则访问客体，以保证系统的安全性和完整性。一般地，多级安全模型还能对系统内的信息流动进行控制。传统模式中关系的定义需要修改以支持多级关系。同时，传统关系模型中关系的完整性约束及关系上的操作也需要改进以保证安全性。因此，数据库系统的多级安全模型是以多级关系数据模型为基础的。

与传统关系数据模型类似，多级关系数据模型中的三要素为多级关系、多级关系完整性约束和多级关系操作。此外，为解决实际存储问题，多级关系模型中还包括多级关系的分解与恢复算法。按由大到小的次序，多级访问控制粒度可分为关系级、元组级与属性级。粒度越小则控制越灵活，相对应的多级关系模型越复杂。

随着研究的深入，人们逐渐认识到，多级安全模型与传统的关系数据库理论（如可串行化理论等）之间存在一定的内在冲突，导致在某些问题上必须在正确性与安全性之间妥协。

比如，数据库多级安全模型通过引入多实例来解决数据完整性和推理控制问题。多实例不可避免地会带来数据一致性问题，也会影响系统的运行效率，在不少场合显得弊大于利。有学者研究了消除多实例的方法，比如通过将所有的主键赋予可能的最低安全级来消除元组多实例的发生。但消除多实例的方法大多限制了系统的可用性和灵活性。如何在满足数据的保密性和完整性的同时，兼顾系统的可用性，这一直是数据库安全模型研究需要解决的一个重要问题。

5、数据库系统安全机制

数据库安全机制是用于实现数据库的各种安全策略的功能集合。正是由这些安全机制来实现安全模型，进而实现保护数据库系统安全的目标。近年来，对用户认证与鉴别、存取控制、数据库加密及推理控制等安全机制的研究取得了不少新的进展。

5.1 用户标识与鉴别

用户标识是指用户向系统出示自己的身份证明，最简单的方法是输入用户ID和密码。标识机制用于唯一标志进入系统的每个用户的身份，因此必须保证标识的唯一性。鉴别是指系统检查验证用户的身份证明，用于检验用户身份的合法性。标识和鉴别功能保证了只有合法的用户才能存取系统中的资源。

由于数据库用户的安全等级是不同的，分配给他们的权限也是不一样的，数据库系统必须建立起严格的用户认证机制。身份的标识和鉴别是DBMS对访问者授权的前提，并通过审计机制使DBMS保留追究用户行为责任的能力。功能完善的标识与鉴别机制也是访问控制机制有效实施的基础。特别是在一个开放的多用户系统的网络环境中，识别与鉴别用户是构筑DBMS安全防线的第一个重要环节。

近年来标识与鉴别技术发展迅速，一些实体认证的新技术在数据库系统集成中得到应用。目前，常用的方法有通行字认证、数字证书认证、智能卡认证、个人特征识别等。

通行字也称口令、密码，是一种根据已知事物验证身份的方法，也是一种最广泛研究和使用的身份验证法。在数据库系统中往往对通行字采取一些控制措施，常见的有：最小长度限制、口令次数限定、选择字符、有效期、双通行字、封锁用户系统等。一般还需考虑通行字的分配和管理以及在计算机中的安全存储。通行字多以加密形式存储。攻击者要得到通行字，必须知道加密算法和密钥，算法可能是公开的，但密钥应该是秘密的。也有的系统存储通行字的单向Hash值，攻击者即使得到密文也难以推出通行字的明文。

数字证书是认证中心颁发并进行数字签名的数字凭证，它实现实体身份的鉴别与认证、信息完整性验证、机密性和不可否认性等安全服务。数字证书可用来证明实体所宣称的身份与其持有的公钥的匹配关系，使得实体的身份与证书中的公钥相互绑定。

智能卡（有源卡、IC卡或Smart卡）作为个人所有物，可以用来验证个人身份。典型智能卡主要由微处理器、存储器、输入输出接口、安全逻辑及运算处理器等组成。在智能卡中引入了认证的概念。认证是智能卡和应用终端之间通过相应的认证

过程来相互确认合法性。在卡和接口设备之间只有相互认证之后才能进行数据的读写操作，目的在于防止伪造应用终端及相应的智能卡。

根据被授权用户的个人特征来进行的确证是一种可信度更高的验证方法。个人特征识别应用了生物统计学（Biometrics）的研究成果，它利用个人具有唯一性的生理特征来实现。

个人特征都具有因人而异和随身携带的特点，不会丢失并且难以伪造，非常适合于个人身份认证。目前已得到应用的个人生理特征包括指纹、语音声纹（voice- print）、DNA、视网膜、虹膜、脸型、手型等。一些学者已开始研究基于用户个人行为方式的身份识别技术，如用户写签名的方式、敲击键盘的方式等。

个人特征一般需要应用多媒体数据存储技术来建立档案，相应地需要基于多媒体数据的压缩、存储、检索等技术作支撑。目前已有不少基于个人特征识别的身份认证系统成功地投入应用。如美国联邦调查局（FBI）成功地将小波理论应用于压缩和识别指纹图样，从而可以将一个10MB的指纹图样压缩成500KB，大大减少了数百万指纹档案的存储空间和检索时间。

5.2 存取控制

访问控制的目的是确保用户对数据库只能进行经过授权的有关操作。在存取控制机制中，一般把被访问的资源称作客体，把以用户名义进行资源访问的进程、事务等实体称作主体。

传统的存取控制机制有两种：自主存取控制（Discretionary Access Control，简称 DAC）和强制存取控制（Mandatory Access Control，简称 MAC）。在 DAC 机制中，用户对不同的数据对象有不同的存取权限，而且用户还可以将其拥有的存取权限转授给其他用户。DAC 访问控制完全基于访问者和对象的身份。MAC 机制对于不同类型的信息采取不同层次的安全策略，对不同类型的数据来进行访问授权。在 MAC 机制中，存取权限不可以转授，所有用户必须遵守由数据库管理员建立的安全规则，其中最基本的规则为―向下读取，向上写入。显然，与 DAC相比，MAC 机制比较严格。

近年来，基于角色的存取控制（Role-based Access Control，简称 RBAC）得到了广泛的关注。RBAC 在主体和权限之间增加了一个中间桥梁——角色。权限被授予角色，而管理员通过指定用户为特定的角色来为用户授权。这大大简化了授权管理，具有强大的可操作性和可管理性。角色可以根据组织中不同的工作创建，然后根据用户的责任和资格分配角色。用户可以轻松地进行角色转换，而随着新应用和新系统的增加，角色可以分配更多的权限，也可以根据需要撤销相应的权限。

RBAC 核心模型包含 5 个基本的静态集合：用户集（users）、角色集（roles）、对象集（objects）、操作集（operators）和特权集（perms），以及一个运行过程中动态维护的集合――会话集（sessions）。用户集包括系统中可以执行操作的用户，是主动的实体；

对象集是系统中被动的实体，包含系统需要保护的信息；操作集是定义在对象上的一组操作；

对象上的一组操作构成了一个特权；角色则是 RBAC 模型的核心，通过用户分配（UA）和特权分配（PA）使用户与特权关联起来。

RBAC 属于策略中立型的存取控制模型，既可以实现自主存取控制策略，又可以实现强制存取控制策略，可以有效缓解传统安全管理处理瓶颈问题，被认为是一种普遍适用的访问控制模型，尤其适用于大型组织的有效的访问控制机制。

2002 年，Park. J 和 Sundhu. R 首次提出了使用控制（Usage Control，简称 UCON）的概念。UCON 对传统的存取控制进行了扩展，定义了授权（Authorization）、职责（Obligation）和条件（Condition）三个决定性因素，同时提出了存取控制的连续性（Continuity）和易变性（Mutability）两个重要属性。UCON 集合了传统的访问控制、可信管理以及数字权力管理，用系统的方式提供了一个保护数字资源的统一标准的框架，为下一代存取控制机制提供了新思路。

5.3 安全数据库

5.3.1 安全数据库定义

我们所说的安全数据库通常是指在具有关系型数据库一般功能的基础上，提高数据库安全性，达到美国TCSEC和TDI的B1（安全标记保护）级标准，或中国国家

标准《计算机信息系统安全保护等级划分准则》的第三级（安全标记保护级）以上安全标准的数据库管理系统。

数据库的安全性包括：机密性、完整性和可用性，数据库在三个层次上，客户机 /服务器通过开放的网络环境，跨不同硬件和软件平台通信，数据库安全问题在这个环境下变得更加复杂。管理分布或联邦数据库环境，每个结点服务器还能自治实行集中式安全管理和访问控制，对自己创建的用户、规则、客体进行安全管理。如由 DBA或安全管理员执行本部门、本地区、或整体的安全策略，授权特定的管理员管理各组应用程序、用户、规则和数据库。因此访问控制和安全管理尤为重要。安全数据库是指数据库管理系统必须允许系统管理员有效地管理数据库管理系统和它的安全，并且只有被授权的管理员才可以使用这些安全功能和设备。数据库管理系统保护的资源包括数据库管理系统存储、处理或传送的信息。数据库管理系统阻止对信息的未授权访问，以防止信息的泄漏、修改和破坏。

5.3.2 安全数据库和传统数据库的区别

安全数据库和普通数据库的重要区别在于安全数据库在通用数据库的基础上进行了诸多重要机制的安全增强，通常包括：

? 安全标记及强制访问控制（MAC） ? 数据存储加密 ? 数据通讯加密 ? 强化身份鉴别 ? 安全审计 ? 三权分立等安全机制

5.4 数据库加密

由于数据库在操作系统下都是以文件形式进行管理的，入侵者可以直接利用操作系统的漏洞窃取数据库文件，或者篡改数据库文件内容。另一方面，数据库管理员（DBA）可以任意访问所有数据，往往超出了其职责范围，同样造成安全隐患。因此，数据库的保密问题不仅包括在传输过程中采用加密保护和控制非法访问，还包括对存储的敏感数据进行加密保护，使得即使数据不幸泄露或者丢失，也难以造成

泄密。同时，数据库加密可以由用户用自己的密钥加密自己的敏感信息，而不需要了解数据内容的数据库管理员无法进行正常解密，从而可以实现个性化的用户隐私保护。

对数据库加密必然会带来数据存储与索引、密钥分配和管理等一系列问题。同时，加密也会显著地降低数据库的访问与运行效率。保密性与可用性之间不可避免地存在冲突，需要妥善解决两者之间的矛盾。

数据库中存储密文数据后，如何进行高效查询成为一个重要的问题。查询语句一般不可以直接运用到密文数据库的查询过程中，一般的方法是首先对加密数据进行解密，然后对解密数据进行查询，但由于要对整个数据库或数据表进行解密操作，开销巨大。在实际操作中需要通过有效的查询策略来直接执行密文查询或进行较小粒度的快速解密。

一般来说，一个好的数据库加密系统应该满足以下几方面的要求： （1）足够的加密强度，保证长时间、大量数据不被破译。 （2）加密后的数据库存储量没有明显的增加。

（3）加解密速度足够快，影响数据操作响应时间尽量短。

（4）加解密对数据库的合法用户操作（如数据的增、删、改等）是透明的。 （5）灵活的密钥管理机制，加解密密钥存储安全，使用方便、可靠。

5.4.1 数据库加密的实现机制

数据库加密的实现机制主要研究执行加密部件在数据库系统中所处的层次和位置，通过对比各种体系结构的运行效率、可扩展性和安全性，以求得最佳的系统结构。

按照加密部件与数据库系统的不同关系，数据库加密机制可以从大的方面分为库内加密和库外加密。

（1）库内加密

库内加密在 DBMS 内核层实现加密，加/ 解密过程对用户与应用透明，数据在物理存取之前完成加/ 解密工作。

库内加密方式的优点是加密功能强，并且加密功能集成为 DBMS 的功能，可以实现加密功能与 DBMS 之间的无缝耦合。对于数据库应用来说，库内加密方式是完全透明的。

库内加密的主要缺点是：首先，对系统性能影响比较大。DBMS 除了完成正常的功能外，还要进行加/ 解密运算，加重了数据库服务器的负载。其次，密钥管理风险大。加密密钥与库数据一同保存在服务器中，其安全性依赖于 DBMS 的访问控制机制。第三，加密功能依赖于数据库厂商的支持。DBMS 一般只提供有限的加密算法与强度可供选择，自主性受限。

（2）库外加密

在库外加密方式中，加/ 解密过程发生在 DBMS 之外，DBMS 所管理的是密文。加/ 解密过程大多在客户端实现，也有的由专门的加密服务器或硬件完成。

与库内加密方式相比，库外加密有明显的优点：首先，由于加/ 解密过程在客户端或专门的加密服务器实现，减少了数据库服务器与 DBMS 的运行负担。其次，可以将加密密钥与所加密的数据分开保存，提高了安全性。第三，由客户端与服务器的配合，可以实现端到端的网上密文传输。

库外加密的主要缺点是加密后的数据库功能受到一些限制，例如加密后的数据无法正常索引，数据加密后也会破坏原有的关系数据的完整性与一致性，这些都会给数据库应用带来影响。

在目前新兴的外包数据库服务模式中，数据库服务器由非可信的第三方提供，仅用来运行标准的 DBMS，要求加密解密都在客户端完成。因此，库外加密方式受到越来越多研究者的关注。

5.4.2 数据库加密的粒度

一般来说，数据库加密的粒度可以有四种：表、属性、记录和数据元素。各种加密粒度的特点不同。总的来说，加密粒度越小则灵活性越好，且安全性越高，但实现技术也更为复杂，对系统的运行效率影响也越大。

（1）表加密

表级加密的对象是整个表。这种加密方法类似于操作系统中文件加密的方法，每个表与不同的表密钥运算，形成密文后存储。这种方式最为简单，但因为对表中任何记录或数据项的访问都需要将其所在表的所有数据快速解密，执行效率很低，浪费了大量的系统资源。在目前的实际应用中，表加密方法基本已被放弃。

（2）属性加密

属性加密又称域加密或字段加密，是以表中的列为单位进行加密。一般而言属性的个数少于记录的条数，需要的密钥数相对较少。如果只有少数属性需要加密，属性加密是可选的方法。

（3）记录加密

记录加密是把表中的一条记录作为加密的单位。当数据库中需要加密的记录数比较少时，采用记录加密是比较好的。

（4）数据元素加密

数据元素加密是以记录中每个字段的值为单位进行加密。数据元素是数据库中最小的加密粒度，采用这种加密粒度，系统的安全性与灵活性最高，同时实现技术也最为复杂。不同的数据项使用不同的密钥，相同的明文形成不同的密文，抗攻击能力得到提高。不利的方面是，该方法需要引入大量的密钥，一般要周密设计自动生成密钥的算法，密钥管理的复杂度大为增加，同时系统效率也受到影响。

在目前条件下，为了得到较高的安全性和灵活性，采用最多的加密粒度是数据元素。为了使数据库中的数据能够充分而灵活地共享，加密后，还应当允许用户以不同的粒度进行访问。

5.4.3 加密算法

加密算法是数据加密的核心，一个好的加密算法产生的密文应该频率平衡，随机无重码规律，周期很长而又不可能产生重复现象。窃密者很难通过对密文频率、重码等特征的分析获得成功。同时，算法必须适应数据库系统的特性，加/解密尤其是解密响应迅速。

常用的加密算法包括对称密钥算法和非对称密钥算法。

对称密钥算法的特点是解密密钥和加密密钥相同，或可由加密密钥推出。对称密钥算法一般又可分为两类：序列算法和分组算法。序列算法一次只对明文中的单个位或字节运算，分组算法是对明文的分组后以组为单位进行运算。常用的分组密钥算法有 DES 等。

非对称密钥算法也称公开密钥算法，其特点是解密密钥不同于加密密钥，并且从解密密钥推出加密密钥在计算上是不可行的。其中加密密钥公开，解密密钥则是由用户秘密保管的私有密钥。常用的公开密钥算法有 RSA 等。

目前还没有公认的专门针对数据库加密的加密算法，因此一般根据数据库特点选择现有的加密算法来进行数据库加密。一方面，对称密钥算法的运算速度比非对称密钥算法快很多，两者相差大约 2～3 个数量级；另一方面，在公开密钥算法中，每个用户有自己的密钥对。而作为数据库加密的密钥如果因人而异，将产生异常庞大的数据存储量。因此，在数据库加密中一般采取对称密钥的分组加密算法。

5.4.4 密钥管理

对数据库进行加密，一般对不同的加密单元采用不同的密钥。以加密粒度为数据元素为例，如果不同数据元素采用同一个密钥，由于同一属性中数据项的取值在一定范围之内，且往往呈现一定的概率分布，攻击者可以不用求原文，而直接通过统计方法，就可以得到有关的原文信息，这就是所谓统计攻击。

大量的密钥自然带来密钥管理的问题。根据加密粒度的不同，系统所产生的密钥数量也不同。越是细小的加密粒度，所产生的密钥数量越多，密钥管理也就越复杂。良好的密钥管理机制既可以保证数据库信息的安全性，又可以进行快速的密钥交换，以便进行数据解密。

对数据库密钥的管理一般有集中密钥管理和多级密钥管理两种体制。集中密钥管理方法是设立密钥管理中心。在建立数据库时，密钥管理中心负责产生密钥并对数据加密，形成一张密钥表。当用户访问数据库时，密钥管理机构核对用户识别符和用户密钥，通过审核后，由密钥管理机构找到或计算出相应的数据密钥。这种密钥管理方式，用户使用方便，管理也方便，但由于这些密钥一般都是由数据库管理人员控制的，权限过于集中。

目前研究和应用比较多的是多级密钥管理体制。以加密粒度为数据元素的三级密钥管理体制为例，整个系统的密钥由一个主密钥、每个表上的表密钥、以及各个数据元素密钥组成。

表密钥被主密钥加密后以密文形式保存在数据字典中，数据元素密钥由主密钥及数据元素所在行、列通过某种函数自动生成，一般不需要保存。在多级密钥体制中，主密钥是加密子系统的关键，系统的安全性在很大程度上依赖于主密钥的安全性。

5.4.5 数据库加密的局限性

数据库加密技术在保证安全性的同时，也给数据库系统的可用性带来一些影响。 （1）系统运行效率受到影响

数据库加密技术带来的主要问题之一是影响效率。为了减小这种影响，一般对加密的范围作一些约束，如可以对索引字段、关系运算的比较字段等不进行加密。

（2）难以实现对数据完整性约束的定义

数据库一般都定义了关系数据之间的完整性约束，如主/ 外键约束，值域的定义等。数据一旦加密，DBMS 将难以实现这些约束。

（3）对数据的 SQL 语言及 SQL 函数操作受到制约

SQL 语言中的 Group by、Order by、Having 子句分别完成分组、排序等操作。这些子句的操作对象如果是加密数据，那么解密后的明文数据将失去原语句的分组、排序作用。另外，DBMS 扩展的 SQL 内部函数一般也不能直接作用于密文数据。

（4）密文数据容易成为攻击目标

加密技术把有意义的明文转换成看上去没有实际意义的密文信息，但密文的随机性同时也暴露了消息的重要性，容易引起攻击者的注意和破坏，这造成了一种新的不安全性。加密技术往往需要和其他非加密安全机制相结合，以提高数据库系统的整体安全性。

数据库加密作为一种对敏感数据进行安全保护的有效手段，将得到越来越多的重视。总体来说，目前数据库加密技术还面临许多挑战，其中，解决保密性与可用性之间的矛盾是关键。

5.5 数据库审计

数据库审计是指监视和记录用户对数据库所施加的各种操作的机制。按照美国国防部TCSEC /TDI 标准中关于安全策略的要求，审计功能是数据库系统达到 C2 以上安全级别必不可少的一项指标。

审计功能把用户对数据库的所有操作自动记录下来，存入审计日志，事后可以利用审计信息，重现导致数据库现有状况的一系列事件，提供分析攻击者线索的依据。

数据库管理系统的审计主要分为语句审计、特权审计、模式对象审计和资源审计。语句审计是指监视一个或者多个特定用户或者所有用户提交的 SQL 语句；特权审计是指监视一个或者多个特定用户或者所有用户使用的系统特权；模式对象审计是指监视一个模式里在一个或者多个对象上发生的行为；资源审计是指监视分配给每个用户的系统资源。

审计机制应该至少记录以下类型的事件：用户标识和认证、客体访问、授权用户进行的会影响系统安全的操作以及其他安全相关事件。对于每个被记录下来的事件，审计记录中需要包括事件时间、用户、时间类型、事件数据和事件的成功/ 失败情况。对于标识和认证事件，其事件源的终端 ID、源地址等必须被记录下来。对于访问和删除对象的事件需要记录对象的名称。

审计的策略库一般由两个方面因素构成：一是数据库本身可选的审计规则，一是管理员设计触发策略机制。当这些审计规则或策略机制一旦被触发，将引起相关的表操作。这些表可能是数据库自己定义好的，也可能是管理员另外定义的，最终这些审计的操作都将被记录在特定的表中以备查证。一般地，将审计跟踪和数据库日志记录结合起来，会达到更好的安全审计效果。

对于审计粒度与审计对象的选择，需要考虑系统运行效率与存储空间消耗的问题。为达到审计目的，一般必须审计到对数据库记录与字段一级的访问，但这种小粒度的审计需要消耗大量的存储空间，同时使系统的响应速度降低，给系统运行效率带来影响。

5.6 备份与恢复

一个数据库系统总避免不了故障的发生。安全的数据库系统必须能在系统发生故障后，利用已有的数据备份，把数据库恢复到原来的状态，并保持数据的完整性和一致性。数据库系统所采用的备份与恢复技术，对系统的安全性与可靠性起着重要作用，也对系统的运行效率有着重大影响。

5.6.1 数据库备份

常用的数据库备份的方法有三种：冷备份、热备份和逻辑备份。 （1）冷备份

冷备份是在没有终端用户访问数据库的情况下关闭数据库，并将其备份，又称为脱机备份。这种方法在保持数据完整性方面显然最有保障。但是，对于那些必须保持每天 24 小时、每周 7 天全天候运行的数据库服务器来说，较长时间地关闭数据库进行备份是不现实的。

（2）热备份

热备份是指当数据库正在运行时进行的备份，又称联机备份。因为数据备份需要一段时间，而且备份大容量的数据库还需要较长的时间，那么在此期间发生的数据更新就有可能使备份的数据不能保持完整性。这个问题的解决依赖于数据库日志文件。在备份进行时，日志文件将需要进行数据更新的指令―堆起来‖，并不进行真正的物理更新。因此，数据库能被完整地备份。备份结束后，系统再按照被日志文件―堆起来‖的指令对数据库进行真正的物理更新。可见，被备份的数据保持了备份开始时刻前的数据一致性状态。

热备份操作存在一定的不利因素。首先，如果系统在进行备份时崩溃，则堆在日志文件中的所有事务都会被丢失，即造成数据的丢失。其次，在进行热备份的过程中，如果日志文件占用系统资源过大，如将系统存储空间占用完，会造成系统不能接受业务请求的局面，对系统运行产生影响。第三，热备份本身要占用相当一部分系统资源，使系统运行效率下降。

（3）逻辑备份

逻辑备份是指使用软件技术从数据库中导出数据并写入一个输出文件。该文件的格式一般与原数据库的文件格式不同，而是原数据库中数据内容的一个映像。因

此，逻辑备份文件只能用来对数据库进行逻辑恢复，即数据导入，而不能按数据库原来的存储特征进行物理恢复。逻辑备份一般用于增量备份，即备份那些在上次备份以后改变了的数据。

5.6.2 数据库恢复

在系统发生故障后，把数据库恢复到原来的某种一致性状态的技术称作恢复。数据库恢复的基本原理是利用―冗余‖进行数据库恢复。问题的关键是怎样建立―冗余‖以及如何利用―冗余‖实施数据库恢复，即恢复策略。

数据库恢复技术一般有三种策略：基于备份的恢复、基于运行时日志的恢复和基于镜像数据库的恢复。

（1）基于备份的恢复

基于备份的恢复是指周期性地对数据库进行备份。当数据库失效时，可取最近一次的数据库备份来恢复数据库，即把备份的数据拷贝到原数据库所在的位置上。用这种方法，数据库只能恢复到最近一次备份的状态，而从最近备份到故障发生期间的所有数据库更新将会丢失。备份的周期越长，丢失的更新数据越多。

（2）基于运行时日志的恢复

运行时日志文件是用来记录对数据库每一次更新的文件。对日志的操作优先于对数据库的操作，以确保对数据库的更改有记录。当系统突然失效，导致事务中断，可重新装入数据库的副本，把数据库恢复到上一次备份时的状态，然后系统自动正向扫描日志文件，将故障发生前所有提交的事务放到重做队列，将未提交的事务放到撤销队列去执行。这样就可把数据库恢复到故障前某一时刻的数据一致性状态。

（3）基于镜像数据库的恢复

数据库镜像就是在另一个磁盘上作数据库的实时副本。当主数据库更新时，DBMS自动把更新后的数据复制到镜像数据，始终使镜像数据和主数据保持一致性。当主库出现故障时，可由镜像磁盘继续提供使用，同时DBMS自动利用镜像磁盘数据进行数据库的恢复。镜像策略可以使数据库的可靠性大为提高。但由于数据镜像是通过复制数据实现的，频繁的复制会降低系统运行效率，因此一般在对效率要求满足的情况下可以使用。为兼顾可靠性和可用性，可有选择性地对关键数据作镜像。

数据库的备份和恢复是一个完善的数据库系统必不可少的一部分。目前，数据库备份与恢复技术已经广泛应用于数据库产品中，如 Oracle 数据库就提供对联机备份、脱机备份、逻辑备份、完全数据恢复及不完全数据恢复的全面支持。据预测，以―数据‖为核心的计算（Data Centric Computing）将逐渐取代以―应用‖为核心的计算。在一些大型的分布式数据库应用中，多备份恢复、基于数据中心的异地容灾备份恢复等技术正在得到越来越多的应用。

5.7 推理控制与隐私保护

数据库安全中的推理是指，用户根据低密级的数据和模式的完整性约束推导出高密级的数据，造成未经授权的信息泄漏。这种推理的路径称为推理通道（Inference Channel）。近年来随着外包数据库模式及数据挖掘技术的发展，对数据库推理控制（Inference Control）、隐私保护（Privacy Protection）的要求也越来越高。

5.7.1 推理通道

常见的推理通道有以下四种：

（1）执行多次查询，利用查询结果之间的逻辑联系进行推理。用户一般先向数据库发出多个查询请求，这些查询大多包含一些聚集类型的函数（如合计、平均值等），然后利用返回的查询结果，在综合分析的基础上，推断出高级数据信息。

（2）利用不同级别数据之间的函数依赖进行推理分析。数据表的属性之间常见的一种关系是―函数依赖‖和―多值依赖‖。这些依赖关系有可能产生推理通道，如：同一病房的病人患的是同一种病、由参加会议的人员可以推得参与会议的公司等。

（3）利用数据完整性约束进行推理。例如，关系数据库的实体完整性要求每一个元组必须有一个唯一的键。当一个低安全级的用户想要在一个关系里插入一个元组，如果这个关系中已经存在一个具有相同键值的高安全级元组，那么为了维护实体的完整性，DBMS 会采取相应的限制措施，低级用户由此可以推出高级数据的存在，这就产生了一条推理通道。

（4）利用分级约束进行推理。一个分级约束是一个规则，它描述了对数据进行分级的标准。如果这些分级标准被用户获知的话，用户有可能从这些约束自身推导出敏感数据。

5.7.2 推理控制

迄今为止，推理通道问题仍处于理论探索阶段，没有一个一劳永逸的解决方法。这是由推理通道问题本身的多样性与不确定性所决定的。目前常用的推理控制方法可以分为两类：

第一类是在数据库设计时找出推理通道，主要包括利用语义数据模型的方法和形式化的方法。这类方法都是分析数据库的模式，然后修改数据库设计或者提高一些数据项的安全级别来消除推理通道。第二类方法是在数据库运行时找出推理通道，主要包括多实例方法和查询修改方法。

IBM Almaden 研究中心的 Kristen LeFevre 等基于推理控制方法实现了一个隐私保护数据库原型系统。该模型应用于 Hippocratic 数据库，取得了较好的隐私保护效果，是目前所知的最为典型和最为成功的隐私保护数据库系统。系统建立了信息泄漏的表语义与查询语义模型，通过修改 SQL 语言查询条件的方法来进行查询预处理，实现了数据元素粒度的推理控制，其体系结构如图 2 所示。

这个模型主要通过对 SQL 查询语句的扩展，用 Case 语句和 Join 语句替换查询来实现推理控制。经过对隐私策略规则的定义和执行，用户可以自己决定涉及自身的隐私数据的访问策略；数据库可以控制未经授权用户对敏感数据的访问，有效地实现了隐私保护。

以上探讨了数据库的多种安全机制。有必要说明的是，这些安全技术不是相互独立的，而是彼此依赖、相互支持的。存取控制的正确性依赖于安全的用户标识和鉴别机制，用户标识和鉴别机制也是入侵检测和审计的基础。存取控制是数据库安全最基本也是最核心的措施。

数据库加密在带来更高安全性的同时，必然带来运行效率和可用性的降低。折衷的结果是部分敏感信息加密，这就需要推理控制和隐私保护手段的有效配合。所谓未雨绸缪，有备无患，备份是几乎所有数据库必须的日常维护工作，是数据库恢复的前提。恢复则是数据库安全的最后一道屏障，亡羊补牢，为时未晚。

6、数据库安全市场分析

6.1 访问控制

6.1.1 eKVM主机数据库安全防护系统

——北京华科广通信息技术有限公司

目前，我国电子政务和企业信息化建设步伐日益加快，信息化系统已经在整个国民经济中占有了举足轻重的地位。政府和企业信息网络系统相当复杂，大量使用了众多主机服务器和数据库系统，应用系统也日益复杂庞大。政府和企业对信息系统的依赖度越来越强，在金融、电力、电信等行业甚至达到了没有信息系统，企业几乎就无法运营的程度。与此同时，计算机技术和应用的发展也给管理带来了许多新问题，主机操作系统和数据库的管理也存在很多安全隐患和问题：

? 传统口令方式，明文传输，容易被窃听仿冒 ? 口令记忆困难、管理繁琐

? 没有口令自动定期修改功能，口令管理策略难以落实 ? 对权限的控制相对简单、粗放

? 对多个管理员使用一个帐号不能区分责任 ? 审计信息容易被非法修改或删除

eKVM主机数据库安全防护系统结合PKI的应用，充分应用最新技术成果，对主机、数据库管理存在的操作风险进行实时控制和管理。eKVM从技术角度配合信息内控管理体制，提供风险监控的技术手段，能够对内部和第三方在主机数据库操作中的风险进行实时预警监测、审计，通过与业务流程配合，对重要部门、重要业务、关键人员的特征进行授权管理，达到有效的内控管理。

eKVM主机数据库安全防护系统部署

eKVM主机数据库安全防护系统部署方便快捷，可实现即插即用功能。维护简便易行，将KVM功能与强大的安全管理功能实现捆绑，覆盖主机操作系统、数据库、路由器、交换机和防火墙等各类设备。

主要功能

? 通过数字证书，实现对主机、数据库系统帐户口令的统一接管和统一认证 ? 管理面广，可有效管理Aix, Solaris, HP-UX, Linux, Windows操作系统和

Oracle, Sybase, Informix, SQL数据库以及路由器、防火墙等设备 ? 对主机、数据库系统和网络设备中的账号口令实现统一管理，杜绝账号共享 ? 帐号口令定期自动更新，符合SOX法规要求

? 授权策略灵活，可根据操作时间、操作地址、操作角色、关键命令（敏感性命

令）等特征属性进行配置

? 提供可选择的管理权限分配，保证管理员不能获得root完全权限，降低拥有

root权限用户的偶然事件或恶意活动给系统带来的安全风险

? 能够对第三方施工和维护人员进行操作时间和操作地址管理，能够有效限制第

三方施工和维护人员在临时工作结束的系统访问权限

? 支持集群及负载均衡，访问控制系统实行全冗余配置，确保系统可靠稳定运行 ? 支持系统帐号的收集，对口令策略实现的统一管理 ? 可对指定协议进行拦截封堵和过滤 ? 日志记录数字签名，保证数据不可更改

? 可按照时间、人员、访问目标进行系统配置操作回放

? 对系统帐号增删改的重要操作进行提示预警，对非法访问能够即时告警

? 具有丰富的实时行为审计功能，可以向监管部门提供完整的风险考核、评估及

定量分析结果和有效的稽查数据

? 可以定义自动生成PDF和Excel管理报表，按照邮件和短信方式传送给指定的

管理人员

? 能有效防止口令监听，在访问控制服务器与被保护主机设备之间，使用了SSH

进行加密传输，确保了敏感信息在内网传输的安全 客户利益

eKVM主机数据库安全防护系统操作方便，通过智能KVM功能，实现单点登录，给系统管理员工作带来极大便利。

eKVM主机数据库安全防护系统强化主机和数据库系统口令管理，使帐号口令安全策略管理能够通过技术手段得以落实，符合SOX法案要求。

eKVM主机数据库安全防护系统提供有效的访问控制。通过制定合理的管理策略，可有效消除非授权用户的管理威胁。

eKVM主机数据库安全防护系统易于部署。安装时不对现有网络做拓扑改动，不在现有服务器安装软件，不影响业务系统的正常运行。

eKVM主机数据库安全防护系统最小化管理操作事故，每一个管理会话都可以被保存作为事故证据，管理人员可以快速的发现管理操作中存在的问题。

eKVM主机数据库安全防护系统的核心遵循X.509 PKI/PMI标准，可以构成信息安全基础设施的有机组成部分。

6.2 安全数据库

6.2.1神舟OSCAR数据库

——北京神舟航天软件技术有限公司

神舟OSCAR数据库是―十五‖863重大软件专项―大型通用数据库管制系统及其实际运用‖的研制成果，是一个的在功能、性能、实战性、稳定性、安全性以及可扩展性等方面能够满足电子政务、电子进出口交易、企业消息化以及国防工业等敏感部门消息化建设需求的大型通用数据库产业商品。

神舟OSCAR数据库，是拥有完全自主学识产权的企业级大型、通用对象联系型数据库管制系统。它是北京神舟航天软件性能企业个人公司集多年的数据库研发亲身历程，在全国科技部和中国China航天科技集团的大力支持下研制胜利的，是―十五‖863重大软件专项―大型通用数据库管制系统及其实际运用‖的研制成果，是一个的在功能、性能、实战性、稳定性、安全性以及可扩展性等方面能够满足电子政务、电子进出口交易、企业消息化以及国防工业等敏感部门消息化建设需求的大型通用数据库产业商品。神舟OSCAR数据库系统性能稳定、功能完善，可广泛实际运用于各类企事业任务的地方、政府部门机关，尤其是国防、军工等事关全国政治、军事、经济安全的各要害任务的地方的消息化建设。 主要功能

神舟OSCAR数据库管制系统基于Client/服务器架构出现，服务器端除涵盖通常数据库管制系统的一般功能外，还具备支持工程数据的特别功能；客户端在帮助各种通用实际运用DEV接口的基础上，还具有丰富的连接、操作和配置服务器端的胜任。

服务器端的主要功能包括：

(1) 支持所有的日常学识数据类别，并可灵活地渐增新类别及其对应的操作参数；

(2) 系统帮助大对象支持，对于大对象的操作更为高效，并可支持大小达4G的大对象；

(3) SQL数据库92菜鸟级达标符合度达到100%，并部份支持SQL数据库 99达标；

(4) 支持TB级的大量数据管制； (5) 支持大规模并发处理的进程框架； (6) 高效的查询处理窍门和查询优化策略；

(7) 高性能的事务并发处理机制，支持多种事务隔离级别和多粒度的锁机制； (8) 完备的数据恢复机制； (9) 多层次的数据库安全机制。 在客户端，系统帮助以下主要功能：

(1) 嵌入式SQL数据库支持； (2) ODBC支持； (3) JDBC支持；

(4) 可英语存储过程和触发器支持；

(5) 帮助系统安装和卸载、DBA道具、交互式SQL数据库、性能监测与调整以及功课自动调度等丰富的管制道具；

(6) 帮助与Oracle、SQL数据库 服务器、DB 2等主要大型商用数据库管制系统以及Execl、TXT、ODBC数据源等达标格式之间的数据迁移道具。 主要特点

神舟OSCAR数据库管制系统在设计中采用了一部份先进的性能，并吸收了一部份当前时髦数据库的日常性能，具备以下特点：

? 通用的数据库管制系统

支持win界面、Linux以及Solaris等多种主流操作系统平台，实际运用JAvA编程性能定制各种数据库管制道具，具有很好的跨平台支持胜任；

采用成熟的联系数据模型作为核心的数据模型，支持通用数据查询语言SQL数据库，因此没成绩在各业界中广泛实际运用。

? 支持多种计算模式

支持包括集中式框架、客户/服务器框架、Web浏览器/Web实际运用服务器/数据库服务器多层框架等多种实际运用体系框架，能满足Internet/Intranet环境下的各种实际运用要求。

? 符合全球达标的数据查询语言

系统帮助的数据查询语言SQL数据库，完全符合SQL数据库92菜鸟级达标，并部份支持对SQL数据库 99中定义的抽象数据类别的扩展。在系统核心的查询处理过程中，直接运行对复杂工程数据对象和联系数据的融合处理。

? 大量数据管制胜任

神舟OSCAR出现了可扩展的逻辑和物理双层存储框架管制，因而具有管制大量数据存储的胜任。神舟OSCAR支持的数据库最大容量、单表最大容量均达到TB级别，

支持的单个大对象的最大容量达到4GB，并出现了对数据库内表数目的无控制和表中记录数目的无控制支持。

? 7x24不间断的稳定运行胜任

经过完善的备份恢复机制以及对系统资源的自适应和自管制，神舟OSCAR没成绩长久稳定、高效的运行，并经过各种管制道具呈目前线的数据修复胜任，以保证数据的一致性和正确性。

? 高效的数据处理胜任

神舟OSCAR出现完整的查询优化策略，支持高效的查询运行方案，具备稳定高效的数据处理胜任。同时支持大对象数据管制；支持图形、图像、声音、文本、视频等多CCTV数据管制；出现复杂对象数据和联系数据的统一管制；并支持用户自定义数据类别的扩展。

? 多层次的数据库安全机制

神舟OSCAR出现了可靠的用户身份认证，支持自主存取控制和安全的互联网连接，并帮助对DBA、普通用户、数据对象和特定数据操作的各种安全审计。神舟OSCAR还对数据的存放和传输帮助了多种加密机制以满足不相同实际运用的要求。

? 完备的数据备份恢复机制

神舟OSCAR帮助完备的日志和故障恢复机制，支持容错机制，经过出现数据库及日志数据的完整备份、增量备份和联机备份，确保系统在出现系统崩溃、服务器掉电、存储介质错误等各种软Hardware not故障的时间出现数据恢复。

? 完整的实际运用DEV接口

神舟OSCAR支持最新的ODBC、JDBC等达标实际运用DEV接口，并针对主要实际运用DEV道具帮助高性能的直接数据接口；支持嵌入式SQL数据库、可英语存储过程和触发器。

? 丰富的数据库管制道具

神舟OSCAR帮助各种基于GUI的交互式智能管制道具，包括系统安装和卸载、DBA道具、交互式SQL数据库、性能监测与调整以及功课自动调度等，并帮助与Oracle、SQL数据库 服务器等主要大型商用数据库管制系统以及Execl、TXT、ODBC数据源等达标格式之间的数据迁移道具。

6.2.2达梦数据库管理系统

——武汉达梦数据库有限公司 产品特性

? 完全自主知识产权

达梦数据库是具有完全自主知识产权的国产大型数据库管理系统，达梦公司拥有产品的全部源代码和完全的自主版权。在杜绝继承开源系统导致版权纠纷的同时，也从根本上保证了系统的安全性，有利于与其它应用系统集成，并可以根据具体需求定制和提供及时有效的服务

? B1级的安全性

DM采用基于角色与权限的管理方法来实现基本安全功能，并根据三权分立的安全机制，将审计和数据库管理分别处理，同时增加了强制访问控制的功能，另外，还实现了包括通讯加密、存储加密以及资源限制等辅助安全功能，使得达梦数据库安全级别达到B1级。

? 64位运算支持

64位处理器和操作系统的推出扩大了对64位数据库产品的需求，达梦数据库能够支持目前市场上各种流行的64位操作系统和处理器，能够充分支持64位内存寻址能力和TB级的海量数据管理，可以为企业提供高性能的数据管理解决方案。

? SMP支持

使用一种被称为―对称服务器构架‖的单进程、多线程的结构，在有效地利用了系统资源的同时，又提供了较高的可伸缩性能。服务器在运行时由各种内存数据结构和一系列的线程组成，线程分为多种类型，不同类型的线程完成不同的任务

? 高效的并发控制机制

DM采用封锁机制来解决并发问题，系统提供了多种锁：表锁、行锁和键范围锁，在缺省情况下为行级锁。封锁的实施有自动和手动两种，即隐式上锁和显式上锁。隐式封锁根据事务的隔离级有所不同，由DM自动执行。提供给用户多种手动上锁语句。

? 查询优化

DM在原有的以基于规则为主的查询优化方案上，一方面进一步完善了基于规则的优化手段，选择索引时将更为准确；另一方面成功地融入了基于成本的优化手段，系统在计算最优的查询计划时充分利用数据库内的统计信息，从而令查询处理的效率得以更进一步的提高。

? 备份与恢复

同时管理多个数据库，物理备份与还原都是以数据库为单位，即备份时需要指定数据库，还原时也只能根据备份的信息还原对应的数据库。支持完全备份/恢复、增量备份/恢复，同时提供了在线和离线进行备份和恢复的功能。

? 支持各种主流HA服务器环境

能自动检测服务器节点和服务器进程错误或者失效，并且在发生这种情况时，自动适当地重新配置系统，使得其他节点能够自动承担这些服务，以实现服务不中断。支持采用这些HA软件进行主从热备、双机互备以及多点互备等。

? 符合各种接口标准

DM系统符合国际标准，提供所有数据库标准/通用接口，支持各种流行的数据库应用开发工具，能够方便地将基于标准接口的其他数据库应用移植到达梦数据库上。

? 数据迁移

DM提供了专门的数据迁移工具，支持将Oracle、DB2、Sql Server、Sybase、Mysql、PostgreSQL、文本文件、Excel文件、XML文件等数据源中的数据迁移到达梦数据库中。

? 跨平台

达梦数据库采用一套源代码实现了对不同软、硬件平台的支持，各种平台上的数据存储结构完全一致。与此同时，各平台的消息通信结构也完全保持一致，使得达梦数据库的各种组件均可以跨不同的软、硬件平台与数据库服务器进行交互。

? 全文检索

DM提供多文本数据检索服务，包括全文索引和全文检索。为在字符串数据中进行复杂的词搜索提供了有效支持。全文索引存储关于词和词在特定列中的位置信息，全文检索利用这些信息，可快速搜索包含具体某个词或某一组词的记录。

? 多字符集支持

为了实现对多种语言的存储和访问，采用两种编码方式来存储数据。一种是根据操作系统所提供的系统默认编码来进行存储，一种是利用Unicode编码来进行存储。目前，能够有效支持中、英、俄、韩、日文等在内的多种字符集。

? 物理数据页大小可选

物理数据页是系统内部数据组织的基本单位。系统的高速磁盘缓冲、 I/O等都以数据页为单位进行。DM系统允许用户在建立系统时，可在4K、8K、16K或32K中任选一个值作为页的大小，以达到最优的应用系统性能。

? 代理服务与作业调度

在DM系统中，代理服务是运行在服务器端，调度并执行作业、监视警报的服务。通过它用户可以自动执行部分管理任务，如定期备份、出错通知等，减轻工作负担。必须启动代理服务后，作业与调度才能正常工作。代理服务加载系统定义的所有作业，并根据其调度信息安排其执行时间。当特定的时刻到来时，启动作业，并依次执行作业包含的每个步骤。代理服务不仅监控时间事件，同时也监控服务器内部的警报事件，当服务器在运行中产生某个特定事件时（如执行操作失败），代理服务会检测到这个事件的发生，并触发相应的警报。

? 多媒体和空间信息支持

DM采用创新的混合数据库模型，扩展的多媒体和GIS数据类型等技术，成功实现了空间数据、多媒体数据与常规数据的一体化定义、存储和管理，在空间地理信息及多媒体信息管理方面具有明显的优势。此外，DM系统还提供了地理信息的分层检索、限定检索、漫游、特写、局部放大、叠加等功能。

6.3 数据库安全审计系统

6.3.1光华DB_Audit数据库安全审计系统

——上海复旦光华信息科技股份有限公司

产品简介：

光华DB_Audit数据库安全审计系统是一套高性能和高稳定性的数据库审计产品，产品获得国内外多项荣誉项和资质证书。系统通过网络旁路的方式，无需改变被保护数据库的任何设置，并且不影响被保护数据库的任何服务性能。系统能实时地、智能地解析网络上数据库的登录、注销、插入、删除、执行存储过程等操作，能够精确到SQL操作语句，并能及时判断出违规操作行为并进行记录、报警，实现数据库的在线监控和保护，从而在网络上建立起一套数据安全预警和防范机制，为数据库系统的安全运行提供了有力保障。

主要功能：

? 保护重要的数据库，能够截取并智能地分析、还原各种数据库操作。 ? 保护重要的数据库表和视图。

? 跟踪记录存储过程的执行，发现针对数据库的异常操作。 ? 数据库系统登录角色跟踪和登录工具跟踪。 ? 支持关键字匹配规则。

? 提供多种安全响应措施，包括记录、多种方式报警等。 ? 功能强大的查询和专业化报表生成。

获得证书

公安部销售许可证书

国家保密局产品鉴定证书 国家信息安全认证产品型号证书 主要特点：

? 旁路式审查分析技术，无需改变被保护数据库和应用系统的任何配置，实

现审计的独立性。

? 采用专用的硬件平台和特定优化数据分析算法进行，支持百兆、千兆以太

网及2.5G POS的解决方案。

? 支持SQL-92标准，能够审计Oracle、MS SQL Server、Sybase、Informix、

DB2等各类主流数据库系统。

? 强大的网络接入能力，支持百兆、千兆以太网环境和2.5G POS的解决方案。 ? 层次性的体系结构和模块化的功能设计，易于扩展，满足不同用户需求。 ? 完备的―三权分立‖管理体系，系统管理员负责规则设置、开户，系统安全员

管理审计数据、用户赋权等，系统审计员则对系统日常的运行负责，权限相互制衡，适应敏感内容审计需要。 ? 完整自主版权，产品关键技术申请多项专利。 产品应用

光华DB_Audit数据库安全审计系统是公司根据多年网络安全产品研发经验并对国内外的数据库应用市场及相关产品进行深入分析后自主研发的针对各种数据库系统进行安全监控及操作审计的新一代安全审计产品，处于国内行业领先地位。光华DB_Audit适用于对数据库安全性要求较高的场合，包括大型企事业单位、政府机关、证券、金融、电信、国防等行业，产品投入市场以来已在各行业中发挥重要的作用，帮助用户提高数据库系统的安全管理水平，进一步完善信息系统的安全防范体系。

6.3.2鹰眼数据库审计系统

——成都三零盛安信息系统有限公司

随着近年来网络的迅速普及，在给大家带来了方便性的同时，也带来了许多严重的安全问题，不仅仅是来自互联网的各种攻击行为会破坏企业、政府信息系统的正常运行，与此同时，使用互联网访问非法站点，传递和发布非法信息，企业内部网络中的资源滥用，企业内部商业信息泄漏等等问题都日益凸现出来。数据库作为信息网络的数据中心，是互联网和各种信息网络的动力源，承担着巨大的责任，对它的保护也就显得特别重要。

鹰眼数据库审计系统正是针对上述问题而提出的一种数据库操作审计产品，其基本思想是通过对网络数据的实时采集，以及对各种上层数据库通讯协议数据的实时分析和还原，对被监控网络中的数据库使用情况进行监控，对各种违规行为实时报告，甚至对某些特定的违规主机进行封锁，以帮助网络管理员或政府机构对数据库资源进行有效的管理和维护。

功能特点

? 强审计能力

实时监测并智能地分析、还原各种数据库操作：解析网络上数据库的登录、注销、插入、删除、执行存储过程等操作，还原SQL操作语句；跟踪数据库访问过程中的所有细节，包括用户名、数据库操作类型、所访问的数据库表名、字段名、操作执行结果等。

支持对多种主流数据库类型的强审计，包括SQL Server、Oracle、Mysql。 可灵活配置的监控规则

系统提供细粒度的规则配置条件。用户可以根据自己的数据库系统特点，对用户名、数据库名、表名、字段名以及关键字进行设置，产生审计规则，用户也可以根据内部用户的不同性质，确定监控范围，对特定主机和特定网段进行监控，从而保证用户能够按照自己的需要实施监控。

? 强大的搜索引擎

系统提供功能强大的搜索引擎，为用户实现了时间，地址，数据库类型，用户名，操作类型，数据库名，表名，字段名等等多种丰富的查询条件，用户可以按照自己的需要查找所关心的符合监控规则的数据库操作记录。

? 丰富的审计报表

系统提供每日分析和实时分析两种报表类型，报表从数据库类型，事件类型，源和目的地址信息等多个方面进行统计排名，并通过柱图，饼图，表格等形式将统计结果直观展现给用户。

? 自身安全性保护

作为安全设备，鹰眼数据库审计系统对于自身安全进行了完善的设计和考虑，具体包括：

采用自主开发并经过国家认证的安全操作系统作为底层系统平台，系统中提供多种安全机制，并使用USB Key进行本地用户认证，确保产品底层安全。

对于通过WEB控制台进行登录的用户，通过SSL协议和数字证书进行用户认证和鉴别，确保访问合法。

系统采用多级用户体系，包括系统管理员，日志管理员，普通管理员，普通用户四种权限用户，不同级别的用户之间彼此制衡，保证系统自身安全。

提供完善的系统日志，对于用户在控制台中的各种行为进行记录，保障系统在出现问题时能够回溯跟踪。 典型应用

鹰眼数据库审计系统采用网络监听的方式采集用户数据，通过自身的分析引擎还原用户的远程数据库操作，帮助用户发现数据库操作中的越权，敏感或违规行为，记录重要的数据库操作细节，帮助用户及时发现各种威胁数据库核心数据安全的事件，提供数据库安全事件的回溯证据，减轻管理员审阅数据库系统日志的工作量，提高数据库维护效率，由此确保用户网络中的核心资源－数据库系统的安全性。

6.3.3 SecureSphere 数据库应用监控防护系统

——南京普天信息技术有限公司

产品介绍:

? 基于用户的关联性审计

数据库安全的一个重要组成部分就是准确的提供用户的行为的信息，包括用户与数据库之间发生的每个交互活动（事务）的信息。单个用户 最终对数据库是不可见的，因此也不可能在数据库审计的报告中出现。SecureSphere 的全局用户跟踪技术使得基于单个用户的跟踪成为可能——即使他们是通过应用系统或 Web 应用来访问数据的。SecureSphere 提供了专用的监控功能来监视应用系统用户的活动，并且将其与数据库的每个交互活动（transaction）对应起来。

? 数据库应用程序保

SecureSphere 不断将用户实时交互活动与动态数据库业务模型加以比较。如果用户行为与业务模型有显著偏差，则会生成警报，并且可根据策略阻止恶意行为。

? 识别复杂攻击

SecureSphere 合并了两种安全模型：动态正向（白名单）和动态反向（黑名单）模型。―即时攻击验证 (IAV)‖根据这两种模型立即验证并阻止明显的违规行为。对于不明显的复杂攻击行为，Imperva 使用独特的相关性攻击验证 (CAV) 技术将多个违规行为关联在一起，验证活动是攻击，还是合法用户活动中的正常变化。

? 对数据库的性能、稳定性，或管理无影响

SecureSphere 可提供全面的安全保障,而不会在任何方面影响数据库的性能和稳定性.作为独立的网络设备,SecureSphere 并不占用数据库服务器的处理资源、内存资源和磁盘资源。SecureSphere 的―透明检测‖处理体系结构支持亚毫秒级延迟的千兆位级事务吞吐量。而且，SecureSphere 部署与数据库管理完全分离。

? 不更改现有体系结构

SecureSphere 可作为透明在线网桥、在线路由器或非在线网络监视器等灵活地部署到网络中。作为独立的网络设备，SecureSphere 不需要管理权限，也

不需要对数据库软件进行更改，其部署不会对周围的网络、服务器或应用程序体系结构产生任何影响。 ? 自动化的安全策略

SecureSphere 提供全面的数据库安全保障，而不需要其他方法所必需的复杂的手动调整过程。所有动态建模都是自动形成的，数据库使用需求随时间不断变化，适应性的学习算法可自动调整业务模型。但是，管理员享有查看和修改业务模型信息的全部权限，此外还可以根据需要创建自定义策略规则。其最终结果是在安全方面的投资既能最大限度地降低业务风险，又能降低总使用成本。

? 监视地数据库访问

对于数据库操作在服务器本地执行的情况，SecureSphere 通过 SecureSphere DBA 安全监视安全代理对这些本地数据库活动进行监视。 ? 将前台Web 应用程序与后台数据库保护相结合

使用 SecureSphere Web 应用监控网关可以将前台 Web 应用系统和后台数据库系统的监控及保护结合起来。一方面极大的提高了潜在攻击事件的发现能力，另一方面可以为审计提供攻击来源的精确定位。MX 管理服务器统一对将 Web 和数据库应用监控防护系统混合部署的管理。 ? 对现有系统零影响

Imperva的特殊透明技术在完全满足用户要求的审计保护功能的同时，对现有系统的功能和效率实现了真正的零影响

目前，其它各种数据库安全产品或多或少会对已有的系统产生功能或性能方面的影响，还有的需要在部署时对现有系统进行改造（如：对地址进行重新规划，或对数据库版本或补丁有特殊的要求）。对此，用户对在现有系统中使用这些产品不可避免的产生疑虑。

Imperva的方案不要求在数据库和应用系统中安装软件，不会造成任何性能的影响，也不会有任何功能的损失。同时也不要求数据库和应用做任何相应的调整，完全实现透明部署，打消了用户顾虑。

Imperva提供多种高可靠性的冗余部署形式，可以进行快速无缝切换。而且，

Imperva独特的―故障释放‖技术术使得在只有单台Imperva设备时，即使设备发生故障（甚至包括机房供电故障时）也不会造成所服务的业务系统的中断。这也是许多大型企业的关键数据库应用系统选用Imperva的重要原因。 SecureSphere的技术亮点

? 自动建模，自动调整，自动实时保护

? 全方位的专业保护，包含：– 数据库防护、前台应用的保护，基本的网络层防

火墙、IPS功能，以及各种功能的关联 ? 基于Web和数据库互动的整体解决方案 ? 第零日攻击保护 - 对新出现的攻击自动保护 ? 零配置、零维护 ? 不影响现有网络和应用

? 硬件加速方式,高性能G比特吞吐量 ? 高可靠性

? 专业的报告功能– 针对主要的安全标准（如：SOX）生成专业的针对性的报告

产品功能概述:

1.基于用户的关联性审计 2.数据库应用程序保护 3.识别复杂攻击

4.对数据库的性能、稳定性，或管理无影响

5.不更改现有体系结构 6.自动化的安全策略 7.监视地数据库访问

8.将前台Web 应用程序与后台数据库保护相结合 9.对现有系统零影响 10.SecureSphere的技术亮点

6.3.4 蓝盾数据库及业务应用安全监控审计系统

——蓝盾信息安全技术股份有限公司 产品概述

蓝盾数据库及业务应用安全监控审计系统（简称：数据库审计系统）是蓝盾公司结合多年数据库安全的理论和实践经验积累的基础上，结合各类法令法规（如SOX、PCI、企业内控管理、等级保护等）对数据库审计系统的要求，自主研发完成的业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库审计系统产品。

数据库审计系统以独立硬件审计的工作模式，灵活的审计策略配置，解决企业核心数据库面临的“越权使用、权限滥用、权限盗用”等安全威胁，满足各类法令法规（详细内容见附录）对数据库审计系统的要求，广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业”等所有使用数据库的各个行业。数据库审计系统支持Oracle、MS-SQL Server、DB2、Sybase、Informix等业界主流数据库，可以帮助用户提升数据库运行监控的透明度，降低人工审计成本，真正实现数据库运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。 产品功能

编号 功能 功能描述 对于B/S架构的应用系统而言，用户通过WEB服务器实现对数据库的访问，传统的数据库审计系统只能审计到WEB 服务器的相关信息，无法识别是哪个原始访问者发出的请求。蓝盾数据库审计系统通过关联应用层的访问和数据库层的访问操作请求，可以追溯到应用层的原始访问者及请求信息（如：操作发生的URL、客户端的IP等信息），通过三层审计更精确地1 独有的三层审计 定位事件发生前后所有层面的访问及操作请求。 2 细粒度审计 有别于传统的简单SQL语句还原，通过对不同数据库的SQL语义分析，提取出SQL中相关的要素（用户、SQL操作、表、字段?） 实时监控来自各个层面的所有数据库活动。如：来自应用程序发起的数据库操作请求、来自数据库客户端工具的操作请求等；通过远程命令行执行的SQL命令也能够被审计与分析 系统不仅对数据库操作请求进行实时审计，而且还可对数据库系统返回结果进行完整的还原和审计 一旦发生安全事件，提供基于数据库对象（用户、表、字段及记录内容）的完全自定义审计查询及审计数据展现，彻底摆脱数据库的黑盒状态（快速掌握：安全事件发生前后谁对数据库做了操作？做了什么操作？什么时候做的操作？通过什么方式做的操作？） 灵活的策略定制：根据登录用户、源IP地址、数据库对象（分为数据库用户、表、字段）、操作时间、SQL操作命令、返回的记录数或受影响的行数、关联表数量、SQL执行结果、SQL执行时长、报文内容的灵活组合来定义客户所关心的重要事件和风险事件 多形式的实时告警：当检测到可疑操作或违反审计规则的操作时，系统可以通过监控中心告警、短信告警、邮件告警、Syslog告警等方式通知数据库管理员 多协议层的远程访问监控：不仅对客户端工具及应用层JDBC、ODBC的访问监控，还支持对数据库服务器的远程访问（如：ftp、telnet）实时监控及回放功能，有助于安全事件的定位查询、成因分析及责任认定 SOX法案或者专业职责标准(如PCI)中明确提出对工作人员进行职责分离，系统设置了权限角色分离，如系统管理员负责设备的运行设置；规则配置员负责相关数据库操作规则的设定；审计员负责查看相关审计记录及规则违反情况；日志员负责查看整体设备的操作日志及规则的修改情况等。 对于客户关心的操作可以回放整个相关过程，让客户可以看到真实输入及屏幕显示内容 除了提供实时的动态审计功能，还提供了可选的扫描审计模块对数据库的不安全配置、弱口令等进行检测和审计 3 全方位的实时审计 4 完善的双向审计 5 精准化行为回溯 6 全方位风险控制 7 职责分离 8 9

友好真实的操作过程回放 业界首创的审计模式 6.3.5 SecFox 数据库审计系统

——网御神州科技（北京）有限公司 产品介绍

SecFox-NBA（业务审计型）——全面保障核心业务和关键数据

网御神州SecFox-NBA（Network Behavior Analysis for Business Audit）网络行为审计系统（业务审计型）采用旁路侦听的方式对通过网络连接到重要业务系统（服务器、数据库、业务中间件、数据文件等）的数据流进行采集、分析和识别，实时监视用户访问业务系统的状态，记录各种访问行为，发现并及时制止用户的误操作、违规访问或者可疑行为。产品部署简便，不需要修改任何网络结构和应用配置，不会影响用户的业务运行。

SecFox-NBA（业务审计型）独有面向业务的安全审计技术，通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性，审计人员可以根据业务网络的变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。

SecFox-NBA网络行为审计系统（业务审计型）能够对业务环境下的网络操作行为进行细粒度审计。系统通过制定符合业务网的审计策略，对符合策略的网络操作行为进行解析、分析、记录、汇报，以帮助用户事前规划预防，事中实时监控、违规行为响应，事后合规报告、事故追踪回放，帮助用户加强内外部网络行为监管、避免核心资产（数据库、网络服务器等）损失、保障业务系统的正常运营。

SecFox-NBA（业务审计型）能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应，并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动，实现安全审计的管理闭环。

SecFox-NBA（业务审计型）为客户提供了丰富的报表，使得管理人员能够从各个角度对业务系统的安全状况进行审计，并自动、定期地产生报表。 产品亮点

? 全方位的业务审计

SecFox-NBA（业务审计型）能够针对客户业务网络中的各种数据库、Windows和Unix主机、WEB应用系统进行全方位的安全审计。SecFox-NBA网络行为审计系统（业务审计型）是一个集成了数据库审计、主机审计、应用审计和网络流量审计的综合业务审计系统。SecFox-NBA（业务审计型）产品的核心目标就是保障客户业务网络中数据安全和操作合规，具体包括：

1)数据访问审计：记录所有对保护数据的访问信息，包括主机访问，文件操作，数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为，防止外部黑客入侵访问和内部人员非法获取敏感信息。

2)数据变更审计：审计和查询所有被保护数据的变更记录，包括核心业务数据库表结构、关键数据文件的修改操作，等等，防止外部和内部人员非法篡改重要的业务数据。

3)用户操作审计：统计和查询所有用户的登录成功记录和登录失败尝试记录，记录所有用户的访问操作和用户配置信息及其权限变更情况，可以用于事故和故障的追踪和诊断。

4)违规访问行为审计：记录和发现用户违规访问。系统可以设定用户黑白名单，以及定义复杂的合规规则（例如定义合法的访问时间段、合法的源IP地址库、合法的用户账号库），可以设置合理的审计策略进行告警和阻断。

5)恶意攻击审计：记录和发现利用主机，数据库的漏洞对资源的攻击行为，例如主机扫描、DoS/DDoS攻击、ARP欺骗和攻击等，并可以对攻击行为进行告警和阻断。

? 基于旁路侦听的工作原理和灵活便捷的部署方式

SecFox-NBA（业务审计型）采用旁路侦听的方式进行工作，对业务网络中的数据包进行应用层协议分析和审计，就像真实世界的摄像机。利用网御神州先进的业务协议检测技术（Business Protocol Inspect Technology），SecFox-NBA（业务审计型）能够识别各类数据库的访问协议、FTP协议、TELNET协议、VNC协议、文件共享协议，以及其它20多种应用层协议，经过审计引擎的智能分析，发现网络入侵和操作违规行为。

例如，对于数据库系统，不论其运行在何种操作系统之上，能够审计的协议内容如下表所示：

操作类型 用户行为 数据定义语言（DDL）操作 内容和描述 数据库用户的登录、注销 CREATE，ALTER，DROP等创建、修改或者删除数据库对象（表、索引、视图、存储过程、触发器、域，等等）的SQL指令 数据操作语言（DML）操作 数据控制语言（DCL）操作 其它操作 SELECT，DELETE，UPDATE，INSERT等用于检索或者修改数据的SQL指令 GRANT，REVOKE等定义数据库用户的权限的SQL指令 包括EXECUTE、COMMIT、ROLLBACK等事务操作指令 SecFox-NBA（业务审计型）部署十分方便，即插即用，不必对业务网络配置做任何更改，对业务网络没有任何影响。SecFox-NBA（业务审计型）可以同时审计多个不同的网段；多个系统可以级联，实现分布式部署，实现对大规模业务网络的审计。

? 业务操作实时监控、过程回放

SecFox-NBA（业务审计型）对访问数据库、FTP、网络主机的各种操作进行实时、详细的监控和审计，包括各种登录命令、数据操作指令、网络操作指令，并审计操作结果，支持过程回放，真实地展现用户的操作。

传统的数据库或者网络审计系统都采用基于指令的行为分析（Command-based Behavior Analysis）技术，可以显示出所有与数据库主机相关的操作，但是这些操作都是一条条孤立的指令，无法体现这些操作之间的关联，例如是否是同一用户的操作、以及操作的时间先后，审计员被迫从大量的操作记录中自行寻找蛛丝马迹，效率低下。借助网御神州独有的基于会话的行为分析（Session-based Behavior Analysis）技术，审计员可以对当前网络中所有访问者进行基于时间的审查，了解每个访问者任意一段时间内先后进行了什么操作，并支持访问过程回放。SecFox-NBA（业务审计型）真正实现了对“谁、什么时间段内、对什么（数据）、进行了哪些操作、结果如何”的全程审计。

? 快速响应和跨设备协同

SecFox-NBA（业务审计型）在识别出安全事故后，能够自动或者用户手工的对威胁进行响应，采取安全对策，从而形成安全审计的闭环。

在发生告警后，SecFox-NBA（业务审计型）可以通过电子邮件、SNMP Trap等方式对外发出通告；能够执行预定义命令行程序，并将事件属性作为参数传递给该命令行程序。

SecFox-NBA（业务审计型）可通过与网络设备或安全设备共同协作来关闭威胁通信，以阻止正在进行的攻击。SecFox-NBA（业务审计型）可以与众多第三方网络设备、安全设备进行联动。

? 报表报告

SecFox-NBA（业务审计型）内置大量报表报告，包括数据库报表、FTP报表、TELNET报表、主机报表、综合报表、SOX报表、网络流量报表，等等。SecFox-NBA（业务审计型）生成的报表图文并茂，报表可以按组管理，可以对报表生成进行日程规划，提供打印、导出以及邮件送达等服务，并根据计划归档报告，归档之后发送邮件通知。报告可用PDF、HTML、Excel、CSV或RTF等格式存档。

用户可以通过系统内置的报表编辑器自定义各类报表。

6.3.6 黑盾安全审计系统

——福建省海峡信息技术有限公司 产品概述

黑盾安全审计系统（HD-SAS）是福建省海峡信息技术有限公司对数据库安全应用进行深入研究后自主研发的最新产品，它通过网络审计为主，兼容数据库本地审计的方式，实现对数据库的查询、新增、删除、修改、授权等各种操作行为进行解析和智能关联，并提供多种灵活方便的查询方法、统计报表，供数据管理者查询、分析、决策。

该系统还具有高效的数据库入侵防御功能，对恶意攻击或者误操作等敏感行为进行实时报警或阻断。系统采用了优良的体系结构，支持超大容量的数据库审计条目，实现了在线解析和按需解析两种工作模式。本系统支持对ORACLE、 SQL Server、Sybase 等数据库进行审计，适用于金融、证券、保险、电力、政务、卫生、教育等大中型组织数据库审计的安全需求。 系统组成

黑盾安全审计系统包括：审计引擎(硬件)、数据审计中心、管理控制台三大组件构成。

黑盾安全审计引擎通过旁路监听的方式接入网络，通过在核心交换机上设置端口镜像模式或采用TAP 分流监听模式，使安全审计引擎能够监听到所有用户通过交换机与数据库进行通讯的所有操作，并把数据库操作进行协议还原和分析，发送到数据审计中心。黑盾安全审计系统在通过黑盾安全审计引擎实施旁路监听的同时，还支持导入被审计数据库服务器的本地数据库归档日志到数据审计中心进行统一分析和审计。

黑盾数据审计中心具有强大的数据分析和事件关联功能，通过接收来自于安全审计引擎的数据包和本地数据库的归档日志，对其进行数据库操作的关联分析，根据管理控制台发送的策略和指令进行分析处理，最终形成处理结果发送到管理控制台。

管理控制台具有简单易用的特点，支持三权分立的用户角色管理能力，提供丰富的配置、查询、报警和报表功能。 体系结构

黑盾安全审计引擎通过零拷贝技术结合高度缓存技术进行高速网络数据包捕获重组、协议分析。审计引擎内嵌入侵防御模块，实时对数据包进行模式匹配和异常检测分析，发现数据库攻击企图并实时报警或阻断。审计引擎采用了高速缓存技术，极大地提高了审计引擎的可靠性和性能。

黑盾数据审计中心采用了先进的组件设计技术，把审计数据的存储、解析、查询和统计分析功能进行独立设计，保证高性能的同时，满足了可扩展的需求，使整个审计系统能够支持大容量的审计数据存储、查询和统计能力。 产品主要功能

黑盾安全审计系统在功能设计上，进行了如下的架构设计： 其主要的一些功能如下： ? 全方位细料度审计分析

HD-SAS 基于“数据捕包分析→数据安全预处理→数据转储解析→安全事件关联→审计结果呈现”的模式提供各项安全功能，使得它的审计功能大大优于其他模式的审计产品。

HD-SAS 支持SQL 命令（如：Select、Insert、Delete、Create、Drop 等）以及存储过程的执行进行细粒度审计和分析，同时记录详细的用户行为信息，包括登录的时间、机器名、用户名、IP/MAC 地址、客户端程序名以及数据库名等信息，对数据库操作维护命令、存储过程进行审计，可对查询，新增，修改，删除，授权等行为进行监控。

HD-SAS 还可以深度解析数据库操作内容，准确解析出语句中的表名，操作方式及操作内容，并根据表名和操作方式进行归类和统计分析。

? 数据库访问的实时监控与防御

当用户与数据库进行交互时，黑盾安全审计引擎会自动根据预设置的入侵检测（防御）策略进行第一道防护。通过入侵检测（防御）策略，HD-SAS 不仅可以快速地对数据库的缓冲区溢出攻击、口令字猜解等恶意攻击做出反应，也可以实时检测如删除表结构等敏感行为操作。HD-SAS 的入侵检测（防御）策略支持自定义功能。

黑盾数据审计中心提供了第二道防护策略，它可以根据内容关键字、IP 地址、用户/用户组、时间、数据库类型、数据库操作类型、数据库表名等精细组合数据库敏感行为预设反应策略，并能够为特定的审计需求自定义审计规则。

HD-SAS 还提供多种安全响应措施，包括记录、邮件以及短信报警。 ? 独创的在线和离线两种审计模式

审计工作重在事后有据可查，但是海量的审计日志使传统的审计技术无法做到想查就查。HD-SAS 基于对安全审计需求的深刻理解，独创性地融合了在线解析和离线解析的功能，该系统不但可以满足实时审计的需求，而且采用高压缩比的文件型审计日志备份技术，使审计日志能够方便地长期保存，并且能够在事后随时按需导入进行解析查询。

? 数据库系统使用性能分析

HD-SAS 提供了数据库系统实时访问分布图，掌握数据访问概貌，方便使用者合理调整系统资源。例如可以直观的查看每天在任意时间、任意用户、任意表、任意记录的变化情况，以及高峰期和低谷期信息，结合这些监控信息可以帮助管理者及时做出改进决策，如可以对访问量多的表进行适当的扩容、优化等处理，以达到系统资源合理运用的目的。

HD-SAS 使用者还可以通过分析数据库一时期内每个时段新增数据、删除数据、修改数据的操作中存在的规律，从中了解哪些表在哪些时段新增数据较多，适时扩展该表的容量，并及时清理该表历史数据，以实现对该表的访问优化。

? 高效的查询功能及人性化结果展示

HD-SAS 为用户提供了基于时间、地址、数据库类型、用户名、操作类型、数据库名、表名、字段名等等多种丰富的组合查询模式，用户可以按照自己的需要查找所关心的符合审计规则的数据库操作记录。HD-SAS 查询功能还支持二次检索功能以达到精确检索的目的。

HD-SAS 支持对提取出来的表名、IP 地址、MAC 地址等进行中文备注说明，并在查询结果中进行备注替换显示，极大的提高数据库审计内容的易读性。

? 专业化报表

HD-SAS 的分析报表类型可以从数据库类型、事件类型、源和目的地址信息等多个方面进行统计排名，并通过柱图、曲线、统计表格（含EXCEL）等形式将统计结果直观地展现给用户。

? 审计内容关联映射

HD-SAS 支持对审计数据中提取出如用户名，机器名，操作方式，表名等信息，并允许用户进行映射自定义，从而在结果中对这些进行替换显示，方便用户对审计系统的理解和管理。 产品技术特点

? 可扩展的系统架构

HD-SAS 采用数据采集引擎、数据审计（归档）日志、审计分析中心三大组件独立运行的架构设计，使得系统具有灵活的扩展性。HD-SAS 支持多引擎集中管理，审计数据集中存储，具有极大的可扩展性。针对用户数据库系统的扩容，HD-SAS 只需要简单的增加数据采集引擎便可以支持对新的数据库系统的审计工作。HD-SAS 支持离线日志审计，用户可以采用高压缩比的方式长期备份历史日志，在需要审计时只需导入历史日志就可以实现对历史纪录的审计和敏感行为的告警。

? 零风险、旁路方式部署

HD-SAS 采用旁路审计方式，部署时不需要对现有的网络体系结构（包括：路由器、防火墙、应用层负载均衡设备、应用服务器等）进行调整，工作时也不影响数据库保护对象本身的运行与性能。

? 详尽、完备的审计流程

HD-SAS 审计功能按照“数据捕包分析→数据安全预处理→数据转储解析→安全事件关联→审计结果呈现”流程进行，确保审计信息的精确、完整及标准化。

? 完善的用户权限管理体系

HD-SAS 中系统管理员负责规则设置、用户设定；系统安全员管理审计数据、用户赋权；系统审计员对系统日常的运行负责，三权分立，相互制衡，适应于敏感内容的审计需求。

? 独特的安全知识库

HD-SAS 内置了内容丰富的数据库安全规则库，配合异常模型反应机制，使得系统上线后不需要做复杂的配置就可以保护数据库对象的安全。

? 自身可靠的安全性保护

HD-SAS 作为安全产品对于自身安全进行了完善的设计，所有通讯均采用强大的加密传输机制防止通讯信息被嗅探、重放等恶意操作，引擎探测口使用无IP 地址方式避免被直接攻击，应用合理的缓冲区设计技术使得信息存储更加安全高效。HD-SAS 还具有完善的自身审计功能，包括网络断线、通讯中断、管理员各种操作都有详细记录，对于关键事件提供实时报警功能。

? 多方位的防御机制

HD-SAS 提供了实时阻断、TCP 会话重置、延迟转发、服务端告警等多种防御机制，其中服务端的告警可支持“发送邮件、发送短信、Syslog”等多种形式。

? 高可用性、100%完整数据包捕获

HD-SAS 全方位确保设备本身的高可用性，包括物理保护、掉电保护、系统故障保护、不间断的管理保护、冗余措施等，确保100%的完整数据包捕获。

? 高性灵活的查询功能

HD-SAS 对海量的数据库审计数据的查询功能进行了大量的性能优化处理，提供了按照如时间，用户名，操作类型，表名等多种方式的细粒度查询，支持对查询结

果的二次查询功能，对查询结果进行分页展示和后台查询技术，确保用户能够尽快从海量数据库挖掘出想要的结果。 产品应用

黑盾安全审计系统提供了对各种规模的数据库系统的全面操作审计功能，可以对数据库登录用户的角色和登录工具进行跟踪，支持进行关键词的规则匹配与告警，可以进行多个角度的搜索查询功能，进行数据库系统性能分析，并提供专业化报表，特别适用于对数据库安全管理要求非常严格的网络，如金融证券、电子政务、电子商务、医疗卫生等系统。

6.3.7 InforGuard数据库安全审计系统

——中创软件商用中间件股份有限公司 产品概述

InforGuard数据库安全审计系统，是InforGuard研究中心对数据库安全应用进行深入研究后推出的一款专门数据库安全防护产品。

该系统以网络审计方式为主，同时兼顾数据库本地审计，对数据库的查询、新增、删除、修改、授权等各种操作行为进行解析和智能关联，并提供多种灵活方便的查询方法、统计报表，供数据库管理者查询、分析和决策。

该系统还具有高效的数据库入侵防御功能，对恶意攻击或者误操作等敏感行为进行实时报警或阻断。系统采用了优良的体系结构，支持超大容量的数据库审计条目。本系统支持对ORACLE、MS SQLServer、Sybase等各种主流数据库进行审计，适用于各种大中型组织数据库审计的安全需求。

显著特点

? 大容量

专为支持大容量审计数据而设计，系统的采集模块与分析模块相分离，采集到信息后快速转储，确保审计信息不丢失，不受分析速度的限制。目前支持审计数据量在10亿级别。

? 细粒度

支持对数据库操作的详细审计和基于会话的审计。对审计内容细致分解单元字段，精确区分会话操作，充分满足用户深层次的审计需求。

? 免维护

免维护设计。审计系统各组成部分权责独立，运行稳定，能够不间断自主运行；审计数据自动维护，支持定制阀值，临近阀值时数据自动备份或删除。

本文来源：https://www.bwwdw.com/article/5wtp.html