数据库安全：保护信息资产的重要措施

[本章教学重点]

●了解数据库安全的基本概念。

●掌握数据库的自主、强制访问控制机制。

●掌握多级安全数据库管理系统的体系结构。

●掌握多级安全数据库管理系统的核心处理环节。

●了解已有的多级安全数据库管理系统和产品。

[本章关键词]

访问控制（Access Control）；多级安全数据库管理系统（MLS/DBMS）；可信计算基础（TCB）；多级关系（Multi-level Relation）；多实例（Multiple Instances）；并发事务处理（Concurrent Transaction Processing）；隐蔽通道（Covert Channel）；SeaView。(www.xing528.com)

数据库是当今信息社会数据存储和处理的核心，其安全性对于整个信息安全极为重要。

首先，数据库安全对于保护组织的信息资产非常重要。组织中绝大部分信息资产保存在数据库中，其中包括商业数据（交易数据、财务信息）、保密信息（私有技术和工程数据、商业机密）等。拥有这些信息资产的组织必须保证这些信息不被外部访问以及内部非授权访问。

其次，保护数据库系统所在网络系统和操作系统非常重要，但仅仅如此远不足以保证数据库系统的安全。很多有经验的安全专业人士有一种常见的误解——一旦评估和消除了服务器上的网络服务和操作系统的脆弱性，该服务器上所有应用就是安全的了。实际上，现代的数据库系统有很多特征可以被误用或利用来破坏系统中的数据安全。

此外，数据库安全的不足不仅会损害数据库本身，而且还会影响到操作系统和整个网络基础设施的安全。例如，很多现代数据库都有内置的扩展存储过程，如果不加控制，攻击者就可以利用它来访问系统中的资源。

最后，数据库是电子商务、电子政务、ERP等关键应用系统的基础，它的安全也是这些应用系统的基础。

随着计算机技术和网络技术的进步，数据库的运行环境也在不断变化。在新的环境中数据库系统需要面对更多的安全威胁，针对数据库系统的新攻击方法也层出不穷。数据库安全主要为数据库系统建立和采取的技术与管理方面的安全保护，以保护数据库系统软件和其中的数据不因偶然和恶意的原因而遭到破坏、更改和泄露。