数据库安全问题及对策

徐朝晖

摘 要随着计算机及各种通讯技术在生产生活及国家安全等方面的广泛应用，在带来了各种方便的同时也相应的产生了各种威胁。数据库系统是当今大多数信息系统中数据存储和处理的核心，其安全问题随之面临着各种挑战，本文从数据库安全的不同发展阶段出发，分析数据库系统安全问题的现状，并对我国数据库安全发展提出相应对策。

【关键词】数据库安全 发展阶段 策略

数据库安全问题已成为各国信息科技领域研究的重点，当前既是数据库技术领域的大发展时期，也是我国数据库安全领域研究的重要机遇期。本文首先总结数据库安全的不同发展阶段出发，分析我国数据库安全的现状，并对未来发展提出可行性策略。

1 数据库安全问题发展的三个阶段

1.1 计算机时代的数据库安全

时间追溯到上世纪七十年代，在国际研究领的数据库技术与计算机安全問题的各种研究最初发起的时候，数据库的安全问题研究已经引起该领域广大学者们的广泛关注，很多研究项目也已经同时开始了。那时学者们将该项目的研究重点聚焦在如何设计安全的数据库管理系统，即多级安全数据库管理系统。早期研究中关于数据库安全研究问题主要是通过设计可以满足某种特定安全策略模型的安全数据库管理系统，通过这个系统来严格实施访问控制措施、控制数据库内容的访问与操作，从而实现整个数据库系统的安全运行。这期间共经历了萌芽与初始时期、标准化时期和多样化发展时期。

1.2 互联网时代的数据库安全

互联网作为上个世纪中人类最伟大的发明之一，给全世界人们的生产生活以及国家战略安全带来了重大变化并且影响力持续增加。在互联网时代，提供软件服务逐渐成为信息技术界一种非常普遍的服务模式，为了实现降本增效、提高服务质量的目的，越来越多的相关领域厂商集中更多的资源与精力投入到核心业务中，将自己的非核心业务外包。在这种模式下随即产生了数据库安全问题。因为在这种外包服务模式下，是由提供数据库服务的供应商承担数据库相关查询服务和系统软件维护，但是供应商作为外部合作单位也并非完全可靠。所以由外包给供应商的数据库面临着各种安全风险，DBMS软件及其运行的环境也不在自己的控制范围内，也就无法保证数据安全，进而带来了一系列的安全问题和需求，如数据库所有者查询结果正确性验证需求、数据库内容机密性保护需求和来自所有者的数据库内容访问控制需求。

1.3 云计算时代的数据库安全

在互联网技术以迅雷不及掩耳之势的发展之后，互联网上的各类型用户已经由单纯的信息消费者变成了信息生产者，通过互联网相互连接而产生的信息量呈原子弹爆炸式的速度疯狂增长，人类社会从此进入了一个崭新的时代——信息爆炸时代。在此历史条件下，能够支持海量数据高效存储与处理的云计算技术应运而生并在世界范围内迅猛发展，被誉为“信息技术领域的工业化革命”。此时的数据库特点必须具备百万级流量的及时处理能力、高扩展性、易于大规模部署与管理、快速读写快速响应、支撑PB级数据存储与运行、成本低等特点。随之产生了相应的挑战与需求，如海量信息安全检索、存储验证、隐私保护等等。

2 数据库安全问题研究的现状

在国际研究领域，因为涉及到国家利益和商业利益，关于数据库系统的安全性研究很早就开始了。一些西方发达国家的官方和大型企业投入了很多人力物力，不断的开展数据库安全方面的各种讨论和试验，并取得了一些研究成果。

美国是在上世纪七十年代就已经进行这项研究的国家，也是起步最早的国家，当时美国国防部即已开始部署关于数据库系统多级安全机制的项目研究，这项研究的主要内容包括数据库系统安全性需求、建立安全模型、数据仓库的保密、数据库系统的推理控制等等。1985年12月，还专门针对军队对计算机系统的安全需求，制定了评估标准。

在我国，随着信息科技的广泛应用，实际产生的各种问题也让大家认识到了数据库系统安全的重要性，国内科研机构也陆续开展了有关数据库系统安全项目的科学研究。现在国内的数据库生产商都在软件产品中特别增加了保证数据库安全的措施，如安全控制措施、数据库备份与恢复、审计等。我国从2001年开始执行《计算机信息安全保护等级划分准则》，把数据库系统的安全级别划分为5个等级。目前国内在数据库安全问题研究领域取得了一些进展和成绩，掌握了数据库安全的关键技术，建立了国标数据库系统，但因为此项研究相对来讲开始时间晚，理论研究与实践水平相对低些，数据库安全研究的理论成果和实践中开发的软件与研究时间较早的国家和地区存在一定差距。

3 我国数据库安全研究策略

虽然目前我国已掌握了数据库和数据库安全的关键技术，建立了国标数据库系统，在数据库安全领域的研究已经有了一定的理论和实践基础，但是与国际先进研究领域相比还存在着差距，在数据库基础理论研究、相关专业人才培养、理论成果变为实际应用等方面还有些困难，本文在此提出对策如下：

3.1 重视高校中教学中相关领域的建设

数据库安全理论研究是融合信息安全与数据库应用技术两个内容的交叉学科，必须将二者结合起来，充分掌握数据库方面的基础理论与专业技术，是开发有效的数据库安全产品的前提条件。高校应从学科建设角度出发，设立数据库安全专业，配套专业教材，为培养数据库研究领域专业人才奠定基础。

3.2 推动国产数据库安全产品产业化，提升信息安全等级

国内目前从各种安全角度考虑，已明确建立信息安全等级保护制度，并由官方制定出台了配套的标准和措施。还需要官方开始高度重视此项工作，自上而下推动我国数据库安全产品的自主化和产业化，通过各种支持和措施提升自主研发和生产的数据库安全产品和服务的水平。

3.3 加强项目投入提升研究水平

目前国外数据库安全产品占据市场的主要份额，给国产数据库安全产品科研和生产厂家带来了很大的冲击，相关技术发展缺乏产业化市场化方面的动力。在当前云计算技术被誉为继互联网之后IT产业第四次革新浪潮之时，从国家安全战略角度出发，应鼓励国内具有自主知识产权的云数据安全管理技术快速成长，为实现我国云计算产业技术高速发展提供重要支持。

参考文献

[1]高延玲.网络数据库安全研究与应用[D].西安：西安电子科技大学，2004.

[2]薛玉芳，李洁琼，李亚军.数据库安全与防护性的技术研究[J].中国新技术新产品，2011（03）.

作者单位

中国电子科技集团公司第五十四研究所 河北省石家庄市 050081