我國的數(shù)據(jù)庫安全怎么樣？事件發(fā)生后，有電腦愛好者在互聯(lián)網(wǎng)上測試了一下，其結(jié)果令人吃驚：在常用網(wǎng)址后添加一條普通命令，許多知名網(wǎng)絡(luò)服務(wù)商的數(shù)據(jù)庫內(nèi)容“手到擒來”，初步測試的成功率竟然超過三分之一！在未動用黑客手段的情況下就能做到這一步，讓人不得不為這些數(shù)據(jù)庫的安全捏把冷汗。 

    按理說數(shù)據(jù)庫安全理應(yīng)引起有關(guān)各方（特別是金融、電信和網(wǎng)絡(luò)服務(wù)部門）的高度關(guān)注，遺憾的是，業(yè)內(nèi)的通行做法僅僅是“畫地為牢”，重視周邊安全而忽略關(guān)鍵信息的專門保護(hù)，如果拿銀行做比喻，那就像大門加鎖卻沒有配保險柜一樣。當(dāng)前安全技術(shù)的發(fā)展方向也存在類似傾向，重視網(wǎng)絡(luò)安全，強(qiáng)調(diào)可用性和穩(wěn)定性，輕視數(shù)據(jù)安全，沒有把數(shù)據(jù)和信息保護(hù)放在安全基礎(chǔ)框架的核心位置，以為在出口裝了防火墻、采用加密通訊或強(qiáng)化的操作系統(tǒng)就能萬事大吉。 

    數(shù)據(jù)庫是有價值信息的集合，一般認(rèn)為，90%以上的敏感信息是以數(shù)據(jù)庫方式存在的，但從安全的角度看，雞蛋放在一個籃子里就有被人一鍋端的危險,信用卡巨頭們的遭遇在某種程度上就說明了這一點。計算機(jī)安全協(xié)會（CSI）的年度調(diào)查（2002）顯示，一半以上的數(shù)據(jù)庫曾遭遇安全問題，每起事件的平均損失接近4百萬美元，數(shù)據(jù)庫的整體安全狀況由此可見一般。 

    要了解一個單位或部門數(shù)據(jù)庫的安全狀況，做起來其實并不復(fù)雜——進(jìn)行一次內(nèi)部的安全審計即可。某跨國銀行在審計中發(fā)現(xiàn)，12名數(shù)據(jù)庫管理員可任意瀏覽核心信息，上百名員工擁有數(shù)據(jù)庫操作系統(tǒng)的管理員權(quán)限，此外，每日一次的數(shù)據(jù)庫異地備份程序存在嚴(yán)重的安全隱患，一旦泄密，其后果肯定是災(zāi)難性的。該銀行為此出臺了補(bǔ)救措施：對接入數(shù)據(jù)庫進(jìn)行嚴(yán)格的加密控制，高層管理人員根據(jù)工作需要獲得相應(yīng)權(quán)限,收回數(shù)據(jù)庫管理員掌握的密鑰,同時剝奪無關(guān)人員的接入權(quán)。 

    這也許算不上一個好的數(shù)據(jù)庫安全解決方案，數(shù)據(jù)庫的價值在于使用而不是拿來當(dāng)擺設(shè)，但兩害相權(quán)取其輕，對決策者來說，安全與便利之間一直是個兩難的問題。從發(fā)展趨勢看，國外在保護(hù)客戶隱私和企業(yè)敏感信息方面正采取越來越嚴(yán)格的措施，控制接入、信息加密儲存以及獨立的第三方審計逐漸成為流行做法，數(shù)據(jù)安全不再是可有可無的選擇，而是法律規(guī)定和行業(yè)準(zhǔn)則。例如，美國的《GBL法案》明確規(guī)定財務(wù)機(jī)構(gòu)及其合作方有保護(hù)個人信息的義務(wù)，違背相關(guān)條款或處置不當(dāng)，企業(yè)首腦個人要承擔(dān)法律責(zé)任。加利弗尼亞州日前頒布法律，州內(nèi)政府部門和企業(yè)必須向公眾披露隱私和秘密信息遭到侵害的計算機(jī)安全事件，2003年7月1日之后，違反這一規(guī)定的任何團(tuán)體都可能遭到指控。對習(xí)慣于“內(nèi)部消化”的企業(yè)來說，在這個問題上繼續(xù)保持沉默要承擔(dān)額外的風(fēng)險。 

    據(jù)Gartner咨詢公司估計，未經(jīng)授權(quán)獲取網(wǎng)上信息的行為約有70%是自己人所為，在數(shù)據(jù)庫不設(shè)防的情況下，有權(quán)接入的人盡可以一覽無余，不管其內(nèi)容是否與他的工作有關(guān)。而CSI的調(diào)查表明，包含信用卡信息的數(shù)據(jù)庫是“網(wǎng)上大盜”的最愛，在可預(yù)見的將來，萬事達(dá)和維薩們還將被類似的黑客事件所困擾。面對這種情況，安全工作者的當(dāng)務(wù)之急是，改變重周邊輕核心的傳統(tǒng)做法，強(qiáng)化數(shù)據(jù)庫的安全和審計程序。