评测指标维度- 安全性：主要评价数据库的安全性，包括身份认证、权限控制、审计、查询注入、自身安
全漏洞、数据安全；

信息安全性指标, 包括身份鉴别、访问控制、安全审计、入侵防范、数据备份恢复等。 信
息安全策略的目标是可保证数据的保密性、完整性、可用性 [23, 24]。

身份鉴别： (1) 评估是否对登录用户进行身份标识和鉴别, 核查标识唯一性、鉴别信息复杂性、更换周期性要求; (2) 评估是否对登录失败及登录超时情况进行处理; (3) 是否支持 SSL/SSH 等安全的远程连接方式以保证重要信息的加密传输; (4) 是否支持双因素身份认证。

访问控制： (1) 数据库的账户和权限分配策略; (2) 检查数据库系统是否可设置安全策略, 应支
持用户和/或用户组可以根据身份规定对库表的访问控制策略; (3) 访问控制的粒度应达到主体为用户级或进程级, 客体为文件、数据库表级。

安全审计： 安全审计评估数据库的日志记录及审计功能, 审计应覆盖到每个用户并对重要的用户行为和重要安全事件进行审计, 审计记录可备份, 审计进程受保护。

入侵防范： 入侵防范方面主要评估数据库系统是否有高风险漏洞、产品补丁更新周期与更新策略等。

数据备份恢复： 数据备份恢复主要评估数据库系统是否提供本地备份与恢复功能,包括数据全
量备份、增量备份、异地实时同步、故障可恢复能力等。

数据加密： 为了防止数据脱库后的安全，需要对数据进行加密，所以透明加密指的是存储层进行加密，而对用户是透明的。

全密态： 为了防止数据库系统或者网络传输的不安全性，需要全密态数据库，保证数据传输、数据计算、数据存储的全生命周期的安全性。

防篡改： 为了防止数据不被恶意篡改、恶意删除，需要防篡改、防抵赖计算机制，从而保证数据的完整性。

但遗憾的是，据我们所知，没有公认的可以专门分析数据库安全的评测标准。 然而，通用型软件产品的安全认证评级方法，在一定程度上可以体现数据库产品的安全性。例如，国产数 据库DM7在2014年通过中国信息安全测评中心的EAL4+级认证。

分级评估是通过对信息技术产品的安全性进行独立评估后所取得的安全保证等级，表明产品的安全性及可信度。获得的认证级别越高，安全性与可信度越高，产品可对抗更高级别的威胁，适用于较高的风险环境。

EAL的认证级别如下：

• EAL1：功能测试
• EAL2：结构测试
• EAL3：系统地测试和检查
• EAL4：系统地设计
• EAL5：半形式化设计和测试
• EAL6：半形式化验证的设计和测试
• EAL7：形式化验证的设计和测试