Из анализа систем защиты рассмотренных СУБД выделяем критерии для сравнения:
- внешняя аутентификация (с помощью Windows);
- внутренняя аутентификация;
- прозрачное шифрование данных;
- шифрование колонок;
- наличие хранимых процедур;
- наличие триггеров;
- наличие аудита;
- наличие политики безопасности;
- дискреционная модель безопасности;
- мандатная модель безопасности;
- ролевая модель безопасности (встроенные роли);
- наличие бесплатных версий.
Сравнительный анализ этих систем по определённым выше критериям приведён в таблице 1.
Таблица 1 — Сравнительный анализ систем защиты SQL Server 2008, Oracle 11g и DB2
|
Механизмы безопасности |
SQL Server 2008 |
Oracle 11g |
DB2 |
||
|
Внешняя аутентификация |
+ |
+ |
+ |
||
|
Внутренняя аутентификация |
+ |
+ |
- |
||
|
Механизмы безопасности |
SQL Server 2008 |
Oracle 11g |
DB2 |
||
|
Прозрачное шифрование данных |
+ |
+ |
- |
||
|
Шифрование колонок |
+ |
+ |
- |
||
|
Наличие хранимых процедур |
+ |
+ |
+ |
||
|
Наличие триггеров |
+ |
+ |
+ |
||
|
Наличие аудита |
+ |
+ |
+ |
||
|
Наличие политики безопасности |
+ |
+ |
+ |
||
|
Дискреционная модель безопасности |
+ |
+ |
+ |
||
|
Мандатная модель безопасности |
Может быть реализована |
+ |
Может быть реализована |
||
|
Ролевая модель безопасности (встроенные роли) |
+ | + | + | ||
| Наличие бесплатных версий | + | - | - | ||
Отмечу, однако, что перечисленные механизмы безопасности и удобные средства их администрирования доступны во всех редакциях SQL Server 2008, включая бесплатную редакцию Express Edition и относительно недорогие версии Workgroup Edition и Standard Edition. В то же время аналогичные механизмы и утилиты Oracle 11g присутствуют только в наиболее дорогостоящей редакции этой СУБД или в виде дополнительных платных модулей.
Согласно SQL Server является лидером в безопасности платформ данных и более безопасен, чем DB2. С 2004 года в SQL Server 2008 была найдена только одна уязвимость, в то время как в DB2 — 61, а в Oracle — 250. Будучи только что установленным, SQL Server 2008 более надежно защищен, чем IBM DB2. Без дополнительных затрат он обеспечивает защитную функциональность, которая в DB2 и Oracle либо недоступна, либо продается за отдельную немалую плату.
Также стоит отметить, что SQL Server 2008 бесплатно предоставляется для обучения студентов технических ВУЗов по программе Microsoft EAcademy.
Бесплатные версии доступны так же для баз данных от Oracle и IBM. О вопросе уязвимостей — автору не помешает указать источники своих данных. Могу догадаться, что автор банально выдает исправление ошибок кода за уязвимости
Насчет количества исправлений MS SQL 2008: на дворе уже 3-й сервис пак для этого програмного продукта. Каждый сервис пак включает десятки исправлений (hotfix-ов), которые являются ошибками (в терминологии автора — уязвимостями). Поэтому утверждение «С 2004 года в SQL Server 2008 была найдена только одна уязвимость» вызывает лишь улыбку и ставит под большой вопрос компетенцию автора как специалиста.
Ну по поводу уязвимостей, я с вами не совсем согласен. У нас в банке при составлении политики безопасности, согласно стандарту безопасности Банка России, составляется модель угроз характерных для нашей АИС и банка в целом, при этом под уязвимостью мы понимакем все потенциально возможные места через которые злоумышленник может реализовать угрозу (провести атаку на объект защиты) при этом ошибки в программном обеспечении мы также считаем уязвимостями. если посмотреть список уязвимостей — CVE более 70% это ошибки в коде ПО