北京 2013-11-01－－摘要：“数据库内部安全”和“数据库外部安全”形成了数据库安全的体系结构。这个体系结构既包含数据库自身的安全机制，也包含第三方的安全机制。

当我们谈到“数据库安全”时，我们往往只会想到数据库用户（如Oracle的超级用户sys），以及这些用户拥有的系统权限（SYSDBA、SYSOPER、ALTER SYSTEM、CREATE TABLE等等）和对象权限（SELECT、INSERT、UPDATE、DELETE等）。没错，这些是数据库安全的范畴，但是仅仅依靠这些机制，能够保证数据库安全吗？答案当然是：不能！这些是数据库内部的安全，而数据库的安全同样需要来自外部的保证。也就是说，数据库的“内部安全”和“外部安全”形成了数据库的真正安全。

“数据库内部安全”和“数据库外部安全”形成了数据库安全的体系结构。这个体系结构既包含数据库自身的安全机制，也包含第三方的安全机制。该体系结构包括如下部分。

路由器：路由器用于连接内网和外网，从内网进入外网的数据要经过路由器，从外网进来的数据也要经过路由器，因此，路由器的安全十分重要。

WEB服务器：WEB服务器（应用服务器）的安全也尤为重要，因为它们直接连接数据库，一些非法用户通过攻击WEB服务器或者应用服务器获得数据库的信息。

主机：数据库所在的主机安全也很重要，一旦获得主机的控制权，黑客将轻易控制数据库。主机上也可以安装软件防火墙，此外，还可以采取其它措施（包括技术性的和非技术性的）来确保主机的安全。

监听器：客户端在访问数据库之前，要通过监听器进行连接，监听器有时候也会成为“泄密者”，因此，我们要经常研究和防范监听器的安全风险。

认证机制：在连接数据库时，需要对用户进行认证，可以使用数据库自身的认证机制，也可以使用操作系统认证和外部认证。外部认证机制有KERBEROS、RADIUS、SSL等。

加密：数据在网络的传输过程中，我们可以对数据进行加密，可以用RC4、DES、Triple-DES、AES等对网络传输的数据进行加密，这样的加密是网络层面的，并不是数据库层面。在数据库层面，我们可以对特定的表进行加密，也可以对整个表空间进行加密，此外，也可以对存储过程或者函数进行加密，Oracle提供了工具wrap来加密包括存储过程、函数、包等的PL/SQL源代码。数据字典也可以被加密。

Oracle应用：为了“掩盖”数据的真相，Oracle通过视图掩盖基表，通过虚拟私有数据库控制用户对特定数据的访问。Oracle Label Security也用来限制用户对数据的访问。谈到数据库安全时，也不能不谈到Oracle Database Vault，它存在一定的应用场景中，用于限制超级用户。

审计：审计是数据库安全最重要的一个环节之一，它对数据库的用户行为进行监控，除了Oracle自带的审计功能，我们也可以使用第三方的产品，如Guardium。Guardium除了具有审计的功能，还具有数据库防火墙的功能。

启明星辰公司数据库审计专家点评

此文对数据库安全进行了多方面的考虑，内容丰富，是非常好的科普文章。作者不仅从访问控制、认证、数据加密等角度阐述数据库自身安全，也考虑了应用服务器和外网等内容。数据库安全在国内已经有了很好的发展，相关产品除了国外的Oracle Database Vault、Guardium等产品，国内的启明星辰天玥、国都兴业慧眼等数据库安全产品也值得关注，国际知名咨询机构Frost &Sullivan对2012年中国数据库安全市场的分析报告显示，启明星辰天玥产品市场占有率排名第一。