主题：【原创】由信息化想到的数据安全性问题 -- 陶陶

我一直从事于数据库技术支持方面的事情，这几年由于工作原因了解非常多有关数据库在企事业单位的应用信息。

刚才看到了中石油的信息化的贴子，

http://www.ccthere.com/thread/2284607#C2284607

由此想到数据安全性的问题。

我要谈是只是数据库安全性问题。

从事数据库管理的工作知道，数据库保存了一切信息，从目前我经历的情况来看

多数部门、企业事业只关心到数据库备份，性能等等，没有措施针对对数据库的数据安全性

特别是对DBA的约束。要知道DBA可以查询整个数据库所有数据信息。

比如移动公司的DBA可以查询用户个人资料，税务系统的DBA可以查询纳税人的资料，交通委的DBA可以查询

车主的资料，甚至于可以查询并修改交通违章记录。网上流传说交钱可以抹掉交通违章记录，我

的第一个反应就是有可能内部DBA或者是厂商人员参与这种事情，而出租车里面的电台说不可能做到。我只是笑笑而已。

我所知道的有一些国外公司开始全力加强数据安全性了，而国内是非常非常少的，几乎没有。

上到部委下到企业。

还有就是前段时间网上有人卖个人身份证资料(身份证的照片都有)

办理信用卡的问题，我怀疑这些资料是开发公安系统的厂商的人员或者维护人员外泄的资料。

因为他们要取得这些数据非常方便，只需要作一份数据导出就可以。

Oracle数据库在国内大范围应用了，非常非常多，可以说什么样的系统都有。

但安全性方面还只是在网络和主机一级，没有到数据一级。

Oracle从10g开始推出了Database Vault产品，就是用来对数据进行加密的。

我觉得这也是一商机，而且商机无限。

FBI逮捕。。。

http://www.reuters.com/article/domesticNews/idUSTRE5653U020090707

因为在国内这些信息用来出售.

请去喝茶就不好了。

国内确实没人用

现行一般的手段都是对授权做控制，还有对数据作区隔，对数据完全集中的就比较麻烦了。

不过，怕死战胜了贪财 ：）

还是打算做个好人算了。呵呵

从你拿到根CA到把钱揣口袋里也得好几步吧？

不能说全部，但起码是普遍现象。一个单位的财务主管地位通常远远高于信息主管，甚至大部分并没有设置信息主管这样的职位，相应的制度也远远落后。对于商业间谍来说，IT是个相对脆弱的突破口。

oracle数据库大家都明白， 基本不设防！不过看起来， 其他也好不了多少！

说实话，也确实没有很好的变现办法。

安全这块的投入不小，而且评估难度也很大。也就是说，给了钱也不清楚效果如何。所以即使是国外也不见得就好到哪里去。