来自NetworkWorld，2011年10月25日发表。文章说，根据ESG的研究报告，15%的企业将数据库安全认作是最重要的信息安全挑战，此外还有57%的企业认为数据库安全是他们前五位信息安全挑战之一。可见数据库安全之重要。

作者指出了一种受到了误导的倾向，就是很多人将数据库安全等同于DAM（数据库行为监测，Database Activity Monitoring）。DAM在国内经常为称作“数据库审计”产品，近几年来也是十分热门，Baidu一下可以看到很多广告排在前面，可见一斑。事实上，正如文章作者指出的那样，数据库安全远远不是DAM可以搞定的，DAM只是数据库安全的一个很小的方面，之所以有时候对等起来，一方面是市场/厂商的宣传导致的误导嫌疑，另一方面我认为的确是这个部分的问题比较容易产品化/工具化，技术实现相对比较成熟。其实，在中，以及中，早已说得明白。Forrester将数据库安全细分为：new licenses and support, database auditing, real-time protection, data masking, vulnerability assessment, and database encryption across all database management system (DBMS) platforms。而SANS则将数据库安全划分为：访问控制、加密、审计、安全配置和管理（职责分离）。而Forrester有专门对，不等同于数据库安全。

还有一点也要澄清的是，数据库安全不等于数据安全！别晕。

回到本文，作者提出了他认为数据库安全应该包括的方面：

1）数据库资产管理；

2）数据库配置加固；

3）职责分离；

4）特权用户控制；

5）数据库弱点扫描和补丁管理；

6）数据库加密；

7）DAM；

总的来说，与Forrester和SANS的差不多，包括NIST也有这方面的指引，也是差不多的。

题外话，对于做产品的人来说，卖DAM是不等同于卖数据库安全解决方案的，以后不要误导用户。而从上述几个方面来看，除了DAM的产品化程度较高外，其他的都有待进一步实现产品化。目前，比较有希望的是数据库弱点扫描和补丁管理、其次是配置加固、数据库加密。不过这些产品/准产品还有更长（相对于DAM）的路要走。