企業資料庫軟體都很安全嗎？

資料庫是企業資訊系統不可或缺的資料管理工具，舉凡當紅的線上遊戲的會員資料或歷史活動軌跡，或電子商務訂單、客戶名單等資料，隨時間演進數量不斷地增加，資料庫提供的儲存、存取和管理功能就顯得非常重要，不容許絲毫的當機或安全漏洞，可以說是企業數位營運的心臟。勤修補漏洞可防蟲，內賊難防

近幾年駭客的攻擊頻率間隔縮短，攻勢日趨猛烈，引起全球對網路安全的注意，今年年初網路蠕蟲SQL Slammer攻擊微軟資料庫軟體Windows SQL Server 2000的漏洞，正式向資料庫軟體廠商宣戰。全球性的網路蠕蟲造成的影響，重則資料或檔案被銷毀，輕則網路塞車，並非以竊取機密資料為主要目的。

企業可以透過網路安全廠商提供的解決方案，防止這些不正常的攻擊行為，不過，內賊難防，資料庫管理權限如果被不當利用，再怎麼樣滴水不漏的安全產品都沒用，仍可以通過層層關卡竊取機密資料。銀行業者表示，除非是電腦程式高手，否則要從外部通過企業資料系統重重關卡偷資料，無非是緣木求魚。

然而，軟體漏洞的攻擊帶來的影響力大且廣。微軟產品經理林章鈞說，去年7月已經發現這個漏洞，而且已經有修補程式，駭客還是利用UDP port 1434漏洞阻斷資料庫運作，有下載修補程式的企業多可以倖免於難。「下一個資料庫版本代號Yukon將在可信賴的安全運算結構下執行，軟體安全問題會獲得解決。」

林章鈞說，這是SQL Server第一次遭受駭客大規模攻擊，加上先前的駭客攻擊記錄，企業對於微軟的產品可信度多少會有影響。「也是會影響銷售，不過這樣的疑慮會被企業的資訊需求取代，採購前的遲疑很快就會消失。」真的無懈可擊？早發現早預防

1977年以資料庫技術起家的甲骨文得到的技術支援較多，目前資料庫軟體Oracle 9i Database的版本為9.0.1.2，精誠產品經理林建志說，從8.0版到9i升級後就少有大變動，技術漸趨成熟，並強調Unbreakable（無懈可擊）和穩定。「企業多半將最重要的資料放在甲骨文的資料庫中，SQL Server入門速度快，但之後的維護相當麻煩。」

林建志說，目前和甲骨文合作的ISV有數十家，企業導入應用軟體底層都需要資料庫，「雖然IBM的DB2全球佔有率高，在臺灣的客戶不見得多，甲骨文的合作夥伴多，不需擔心IBM迎頭趕上的問題。」他說，DB2和其他資料庫軟體規格有差異，「有些資料很難轉換，需要重新設計開發過。」

9i Database真的無懈可擊嗎？發現SQL Server軟體漏洞的英國安全公司，最近在甲骨文資料庫軟體中找出6種安全漏洞，並提醒用戶注意。倍力資訊技術服務協理羅慶祖說，每個資料庫都會有漏洞，及早發現及早修補，並通知客戶下載程式避免受攻擊。

由於甲骨文資料庫動輒百萬，似乎只有大型企業用得起。林建志說：「我們和ISV或SI有針對中小企業的特別方案，成本不一定比微軟的SQL Server高很多，而且已經支援Linux作業系統，可以省下一大筆授權費。」

DB2今年將積極教育市場 從全球資料庫市場佔有率的圖表看出，Informix併入IBM DB2事業後，佔有率有小幅成長。北祥業務部協理李奕章說，Informix客戶中只有少數轉成DB2，若有新的需求，才會建議採用DB2。DB2目前在資料庫市場具有價格優勢，不過真正懂的人卻沒有甲骨文或微軟的SQL Server多，增加維護的難度。

「過去IBM的產品大多用在金融證券業，現在要走到企業端則需要花力氣。」李奕章承認，企業在採用DB2產品前，會考慮資訊人員是否懂DB2的問題。「今年我們會加強這項產品的行銷和訓練活動，尤其是針對中小企業的推廣。」DB2屬於中小型資料庫，同型產品為微軟的SQL Server。

在資料庫市場失勢的賽貝斯（Sybase）轉向無線服務領域，另外也積極推動軟體開發工具PowerBuilder。倍力資訊技術服務協理羅慶祖強調，賽貝斯在資料庫領域20多年，多數客戶選擇在Unix作業平臺上運作，安全性問題較小，也比較穩定。「一些老客戶如南山人壽，為處理大量資訊，以20顆處理器的機器來跑20～30個伺服器軟體，兼顧穩定和安全。」

「資料庫標準幾乎已經統一，市場也不會像幾年前廝殺得如此慘烈。」羅慶祖表示。甲骨文主攻中大型企業，微軟如合作夥伴如螞蟻雄兵進軍中小企業，DB2在企業市場算是新生，將大舉進攻中小企業市場，賽貝斯在夾縫中求生存。中小型資料庫走紅

除了IBM併購Informix使佔有率增加，其他大型資料庫起家的廠如甲骨文、賽貝斯等，在2001年的市佔率有些微降低，後起之秀微軟的中小型資料庫代之而起，顯示大型資料庫在網際網路時代已經不吃香，講究開放任何時間和地點能擷取資訊的需求，過去只能儲存文字的資料庫轉成能支援多媒體格式的形式，因應市場需求變化。

過去金融保險業是IBM解決方案的天下，製造業則是甲骨文的地盤，政府軍方和證券業是賽貝斯賴以維生的領域，SQL Server則隨Windows作業平臺和應用軟體深入中小企業，每一個產品的版圖每年都有變動，開放原始碼社群的MySQL也是潛力的競爭者。

「雖然MySQL不用錢，但是沒有任何專業顧問和維修服務，所有的知識都要資訊人員自己學習，有問題只能到社群尋求解答，除非是高手，否則只會造成更多的困擾。整體成本並不會降低多少。」林建志認為，資料庫最講究安全，開放原始碼少了這一項因素，是資訊人員採用MySQL前需慎重考慮的條件。