我國的數據庫安全怎么樣？事件發生后，有電腦愛好者在互聯網上測試了一下，其結果令人吃驚：在常用網址后添加一條普通命令，許多知名網絡服務商的數據庫內容“手到擒來”，初步測試的成功率竟然超過三分之一！在未動用黑客手段的情況下就能做到這一步，讓人不得不為這些數據庫的安全捏把冷汗。 

    按理說數據庫安全理應引起有關各方（特別是金融、電信和網絡服務部門）的高度關注，遺憾的是，業內的通行做法僅僅是“畫地為牢”，重視周邊安全而忽略關鍵信息的專門保護，如果拿銀行做比喻，那就像大門加鎖卻沒有配保險柜一樣。當前安全技術的發展方向也存在類似傾向，重視網絡安全，強調可用性和穩定性，輕視數據安全，沒有把數據和信息保護放在安全基礎框架的核心位置，以為在出口裝了防火墻、采用加密通訊或強化的操作系統就能萬事大吉。 

    數據庫是有價值信息的集合，一般認為，90%以上的敏感信息是以數據庫方式存在的，但從安全的角度看，雞蛋放在一個籃子里就有被人一鍋端的危險,信用卡巨頭們的遭遇在某種程度上就說明了這一點。計算機安全協會（CSI）的年度調查（2002）顯示，一半以上的數據庫曾遭遇安全問題，每起事件的平均損失接近4百萬美元，數據庫的整體安全狀況由此可見一般。 

    要了解一個單位或部門數據庫的安全狀況，做起來其實并不復雜——進行一次內部的安全審計即可。某跨國銀行在審計中發現，12名數據庫管理員可任意瀏覽核心信息，上百名員工擁有數據庫操作系統的管理員權限，此外，每日一次的數據庫異地備份程序存在嚴重的安全隱患，一旦泄密，其后果肯定是災難性的。該銀行為此出臺了補救措施：對接入數據庫進行嚴格的加密控制，高層管理人員根據工作需要獲得相應權限,收回數據庫管理員掌握的密鑰,同時剝奪無關人員的接入權。 

    這也許算不上一個好的數據庫安全解決方案，數據庫的價值在于使用而不是拿來當擺設，但兩害相權取其輕，對決策者來說，安全與便利之間一直是個兩難的問題。從發展趨勢看，國外在保護客戶隱私和企業敏感信息方面正采取越來越嚴格的措施，控制接入、信息加密儲存以及獨立的第三方審計逐漸成為流行做法，數據安全不再是可有可無的選擇，而是法律規定和行業準則。例如，美國的《GBL法案》明確規定財務機構及其合作方有保護個人信息的義務，違背相關條款或處置不當，企業首腦個人要承擔法律責任。加利弗尼亞州日前頒布法律，州內政府部門和企業必須向公眾披露隱私和秘密信息遭到侵害的計算機安全事件，2003年7月1日之后，違反這一規定的任何團體都可能遭到指控。對習慣于“內部消化”的企業來說，在這個問題上繼續保持沉默要承擔額外的風險。 

    據Gartner咨詢公司估計，未經授權獲取網上信息的行為約有70%是自己人所為，在數據庫不設防的情況下，有權接入的人盡可以一覽無余，不管其內容是否與他的工作有關。而CSI的調查表明，包含信用卡信息的數據庫是“網上大盜”的最愛，在可預見的將來，萬事達和維薩們還將被類似的黑客事件所困擾。面對這種情況，安全工作者的當務之急是，改變重周邊輕核心的傳統做法，強化數據庫的安全和審計程序。