数据库是电子商务、金融以及ERP系统的基础，通常都保存着重要的商业伙伴和客户信息。不管数据完整性以及关系到系统安全这些在数据库中非常重要，但是数据库通常没有象操作系统和网络这样在安全性上受到重视。数据完整性和合法存取会受到很多方面的安全威胁，包括密码策略、系统后门、数据库操作以及本身的安全方案。

　　为什么数据库安全很重要?

　　1、保护敏感信息和数据资产

　　大多数企业、组织以及政府部门的电子数据都保存在各种数据库中。他们用这些数据库保存一些个人资料，比如员工薪水、医疗记录、员工个人资料等等。数据库服务器还掌握着敏感的金融数据。包括交易记录、商业事务和帐号数据，战略上的或者专业的信息，比如专利和工程数据，甚至市场计划等等应该保护起来防止竞争者和其他非法者获取的资料。数据库服务器还保存着一些有关员工详细资料的东西比如银行帐号、信用卡号码，以及一些商业伙伴的资料。

　　2、数据库同系统紧密相关并且更难正确地配置和保护

　　数据库应用程序通常都同操作系统的最高管理员密切相关。比如Oracle,Sybase,MS SQL Server数据库系统都有下面这些特点：用户帐号和密码，认证系统，授权模块和数据对象的许可控制，内置命令(存储过程)，特定的脚本和程序语言(通常派生自SQL)，中间件，网络协议，补丁和服务包，数据库管理和开发工具。许多DBA都全日工作来管理这些复杂的系统。但是，安全漏洞和不当的配置通常会造成严重的后果，而且都难以发现。而且一些安全公司也忽略数据库安全，数据专家又不把安全作为主要职责。“网络安全适应性”哲学——把安全当作持续过程而不是一次性的检查，还没有被数据库管理员认可。

　　3、网络和操作系统的安全被认为非常重要，但是却不这样对待数据库服务器

　　安全专家认为这是的一种普遍现象，他们都认为只要把网络和操作系统的安全搞好了，那么所有的应用程序也就安全了。现在的数据库系统都有很多方面被误用或者漏洞影响到安全。而且这些关系数据库都是“端口”型的，这就表示任何人都能够用分析工具试图连接到数据库上，而绕过操作系统的安全机制。比如：Oracle7.3和Oracle8使用的端口是1521和1526。多数数据库系统也有公开的默认帐号和默认密码。这两个特性大大地危害着数据库的安全。

　　4、少数数据库安全漏洞不光威胁数据库的安全，也威胁到操作系统和其他可信任的系统。

　　这也是为什么数据库安全很重要的原因：有些数据库提供机制威胁着网络安全低层。比如，某公司的数据库里面保存着所有技术文档、手册和白皮书，不认为数据库的安全非常重要。即使运行在一个非常安全的操作系统上，入侵者可能通过数据库获得操作系统权限，只需要执行一些内置在数据库中的扩展存储过程。这些存储过程能提供一些执行操作系统命令的接口，而且能访问所有的系统资源，如果这个数据库服务器还同其他服务器建立着信任关系，那么，入侵者就能够对整个域机器的安全产生严重威　胁。

　　5、数据库是电子商务、ERP系统和其他重要的商业系统的基础。

　　许多电子交易和电子商务的焦点都放在WEB服务、JAVA和其他技术上，那么对于以关系数据库为基础的客户系统和B2B系统，数据库就显得更加重要。安全将直接关系到系统可靠性、数据事务完整性，和保密性。系统如果出现问题，将不仅仅对交易产生影响，同时也影响着公司的形象。这些系统需要对所有合作伙伴和客户信息保密性负责，但是它们又同时是对入侵者开放的。另外，ERP和想SAP R/3这样的管理系统都是建立在一些基本数据库系统上的。安全问题将直接同维护时间、系统完整性和客户信任密切相关联。

　　需要注意那些安全漏洞?

　　传统数据库安全主要集中在用户帐号、规则和操作许可(比如对表和存储过程的访问权)上。而实际上，一个完全的数据库安全分析包含的范围宽得多，包括所有可能范围内的漏洞评定。下面是一些类别：

　　1、软件风险。软件本身漏洞，错过操作系统补丁，脆弱的服务和不安全的默认配置等。

　　2、管理风险。提供的安全选项不正确操作，默认设置，不正确地给其他用户提供权限，以及没有得到许可的系统配置改变等。

　　3、用户行为风险。密码不够长，不确当的数据访问和恶意操作(偷窃数据结构)等。

　　这些风险类别也同样适用与网络服务、操作系统。当加强数据库安全的时候，所有的因素都应该考虑。