数据库服务器接受安全检测

　　甲骨文公司似乎指望用一个新的试验计划来取代国际通用准则下的TCSEC评估。微软集团的SQL Server 2000也同样通过了C2级测试。
　　【IT专家网独家】你会不会常常因为担心数据库服务器还存在没有被发现的安全漏洞而半夜惊醒?相信有很多人跟你同病相怜。很多数据库专家都不愿意盲目听信供应商对他们许下的产品安全保证宣言。

　　如果你运行的是Oracle7或者Microsoft SQL Server 2000 8.0，现在你就可以稍微睡个安稳觉了。美国国家安全局(NSA)最近运用“可信计算机系统评估标准”(Trusted Computer System Evaluation Criteria，TCSEC)对这些产品进行评测，并认为它们的内在安全性足够高，可以应用于政府的分级计算机系统。美国于1985年发布了TCSEC标准，现在已经成为美国国家计算机安全专家们用来评估信息系统的准绳了。该标准将信息系统的安全可信度从高到低严格划分为A1、B3、B2、B1、C2、C1和D七个等级。其中A1代表“验证设计”，能通过A1级测试的产品凤毛麟角;而D则代表“最低保护”，所有不符合政府最低安全标准的系统都可以归到D组里。

　　想知道你心仪品牌的测试结果吗?在Oracle7的测试报告中，美国国家安全局将其评为C2级，表明具有“受控的存取保护”功能。从一篇来自甲骨文官方网站的安全回顾文章看来，甲骨文公司似乎不打算再让Oralcle 8卷入到这个既费时又费钱的TCSEC评估程序了。

　　甲骨文公司似乎指望用一个新的试验计划来取代国际通用准则下的TCSEC评估。对于某些天生多疑的用户，甲骨文公司还在Trusted Oracle 7(通过了代表“标记安全保护”的B1高级测试)中提供了一个更安全的平台。这种程度的保护主要用来满足政府部门严格的产品采购方针和要求。

　　基于一个打上了Service Pack 6a升级补丁的 Windows NT Server 4.0系统，微软集团的SQL Server 2000也同样通过了C2级测试。美国国家安全局引证了SQL Server的全行级锁(row-level lock)、集中管理以及与Window NT的身份识别和认证设备的严密整合等优点。SQL Server 2005很可能也会得到类似的安全认证，就让我们拭目以待吧。

　　我们在规划我们自己的数据库环境时，不能完全把这些评估结果当作圣经宝典。很重要的一点是必须认识到美国国家安全局只是对运行在特定的硬件和软件设置下的产品的特定版本进行了验证测试。因此，请务必认真阅读美国国家安全局评估产品列表(NSA’s Evaluated Products List)对测试产品的报告中使用的确切参数。一定要记住，美国国家安全局只是对数据库服务器本身进行了安全认证，即便是最安全的平台也很容易被不良的安全管理习惯所破坏。所以，一定要制定一个适合自己系统环境的数据库安全策略，并且要持之以恒。