我国的数据库安全怎么样？事件发生后，有电脑爱好者在互联网上测试了一下，其结果令人吃惊：在常用网址后添加一条普通命令，许多知名网络服务商的数据库内容“手到擒来”，初步测试的成功率竟然超过三分之一！在未动用黑客手段的情况下就能做到这一步，让人不得不为这些数据库的安全捏把冷汗。 

    按理说数据库安全理应引起有关各方（特别是金融、电信和网络服务部门）的高度关注，遗憾的是，业内的通行做法仅仅是“画地为牢”，重视周边安全而忽略关键信息的专门保护，如果拿银行做比喻，那就像大门加锁却没有配保险柜一样。当前安全技术的发展方向也存在类似倾向，重视网络安全，强调可用性和稳定性，轻视数据安全，没有把数据和信息保护放在安全基础框架的核心位置，以为在出口装了防火墙、采用加密通讯或强化的操作系统就能万事大吉。 

    数据库是有价值信息的集合，一般认为，90%以上的敏感信息是以数据库方式存在的，但从安全的角度看，鸡蛋放在一个篮子里就有被人一锅端的危险,信用卡巨头们的遭遇在某种程度上就说明了这一点。计算机安全协会（CSI）的年度调查（2002）显示，一半以上的数据库曾遭遇安全问题，每起事件的平均损失接近4百万美元，数据库的整体安全状况由此可见一般。 

    要了解一个单位或部门数据库的安全状况，做起来其实并不复杂——进行一次内部的安全审计即可。某跨国银行在审计中发现，12名数据库管理员可任意浏览核心信息，上百名员工拥有数据库操作系统的管理员权限，此外，每日一次的数据库异地备份程序存在严重的安全隐患，一旦泄密，其后果肯定是灾难性的。该银行为此出台了补救措施：对接入数据库进行严格的加密控制，高层管理人员根据工作需要获得相应权限,收回数据库管理员掌握的密钥,同时剥夺无关人员的接入权。 

    这也许算不上一个好的数据库安全解决方案，数据库的价值在于使用而不是拿来当摆设，但两害相权取其轻，对决策者来说，安全与便利之间一直是个两难的问题。从发展趋势看，国外在保护客户隐私和企业敏感信息方面正采取越来越严格的措施，控制接入、信息加密储存以及独立的第三方审计逐渐成为流行做法，数据安全不再是可有可无的选择，而是法律规定和行业准则。例如，美国的《GBL法案》明确规定财务机构及其合作方有保护个人信息的义务，违背相关条款或处置不当，企业首脑个人要承担法律责任。加利弗尼亚州日前颁布法律，州内政府部门和企业必须向公众披露隐私和秘密信息遭到侵害的计算机安全事件，2003年7月1日之后，违反这一规定的任何团体都可能遭到指控。对习惯于“内部消化”的企业来说，在这个问题上继续保持沉默要承担额外的风险。 

    据Gartner咨询公司估计，未经授权获取网上信息的行为约有70%是自己人所为，在数据库不设防的情况下，有权接入的人尽可以一览无余，不管其内容是否与他的工作有关。而CSI的调查表明，包含信用卡信息的数据库是“网上大盗”的最爱，在可预见的将来，万事达和维萨们还将被类似的黑客事件所困扰。面对这种情况，安全工作者的当务之急是，改变重周边轻核心的传统做法，强化数据库的安全和审计程序。