Сравнительный анализ систем защиты СУБД Oracle 11g, MS SQL Server 2008, DB2

Из анализа систем защиты рассмотренных СУБД выделяем критерии для сравнения:

  • внешняя аутентификация (с помощью Windows);
  • внутренняя аутентификация;
  • прозрачное шифрование данных;
  • шифрование колонок;
  • наличие хранимых процедур;
  • наличие триггеров;
  • наличие аудита;
  • наличие политики безопасности;
  • дискреционная модель безопасности;
  • мандатная модель безопасности;
  • ролевая модель безопасности (встроенные роли);
  • наличие бесплатных версий.

Сравнительный анализ этих систем по определённым выше критериям приведён в таблице 1.

Таблица 1 — Сравнительный анализ систем защиты SQL Server 2008, Oracle 11g и DB2

Механизмы безопасности

SQL Server 2008

Oracle 11g

DB2

Внешняя аутентификация

+

+

+

Внутренняя аутентификация

+

+

-

Механизмы безопасности

SQL Server 2008

Oracle 11g

DB2

 

Прозрачное шифрование данных

+

+

-

 

Шифрование колонок

+

+

-

 

Наличие хранимых процедур

+

+

+

 

Наличие триггеров

+

+

+

 

Наличие аудита

+

+

+

 

Наличие политики безопасности

+

+

+

 

Дискреционная модель безопасности

+

+

+

 

Мандатная модель безопасности

Может быть реализована

+

Может быть реализована

 

Ролевая модель безопасности (встроенные роли)

+ + +  
Наличие бесплатных версий + - -  

 Отмечу, однако, что перечисленные механизмы безопасности и удобные средства их администрирования доступны во всех редакциях SQL Server 2008, включая бесплатную редакцию Express Edition и относительно недорогие версии Workgroup Edition и Standard Edition. В то же время аналогичные механизмы и утилиты Oracle 11g присутствуют только в наиболее дорогостоящей редакции этой СУБД или в виде дополнительных платных модулей.

Согласно SQL Server является лидером в безопасности платформ данных и более безопасен, чем DB2. С 2004 года в  SQL Server 2008 была найдена только одна уязвимость, в то время как в DB2 — 61, а в Oracle — 250. Будучи только что установленным, SQL Server 2008 более надежно защищен, чем IBM DB2. Без дополнительных затрат он обеспечивает защитную функциональность, которая в DB2 и Oracle либо недоступна, либо продается за отдельную немалую плату.

Также стоит отметить, что SQL Server 2008 бесплатно предоставляется для обучения студентов технических ВУЗов по программе Microsoft EAcademy.

Эта запись опубликована в категориях Защита баз данных и отмечена тэгами , , , , , , , , , . Постоянная ссылка.


3 комментария к Сравнительный анализ систем защиты СУБД Oracle 11g, MS SQL Server 2008, DB2

  1. Владер написал:

    Бесплатные версии доступны так же для баз данных от Oracle и IBM. О вопросе уязвимостей — автору не помешает указать источники своих данных. Могу догадаться, что автор банально выдает исправление ошибок кода за уязвимости :)

  2. Владер написал:

    Насчет количества исправлений MS SQL 2008: на дворе уже 3-й сервис пак для этого програмного продукта. Каждый сервис пак включает десятки исправлений (hotfix-ов), которые являются ошибками (в терминологии автора — уязвимостями). Поэтому утверждение «С 2004 года в SQL Server 2008 была найдена только одна уязвимость» вызывает лишь улыбку и ставит под большой вопрос компетенцию автора как специалиста.

    • tony написал:

      Ну по поводу уязвимостей, я с вами не совсем согласен. У нас в банке при составлении политики безопасности, согласно стандарту безопасности Банка России, составляется модель угроз характерных для нашей АИС и банка в целом, при этом под уязвимостью мы понимакем все потенциально возможные места через которые злоумышленник может реализовать угрозу (провести атаку на объект защиты) при этом ошибки в программном обеспечении мы также считаем уязвимостями. если посмотреть список уязвимостей — CVE более 70% это ошибки в коде ПО

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>