### 《数据安全警示录》序言 在数据库领域十几年，我发现在国内技术人员往往一直在充当救火员的角色，企业常常也认为只有能够力挽狂澜、起死回生的技术人员，才是好的技术人员。而实际上，能够不犯错误、少犯错误，提前预防、规避灾难的技术人员才是企业技术环境的最有力保障,能够未雨绸缪，防患于未然才是更好的技术实践。 我们每年都帮助很多企业挽救数据、拯救危机，触发这本书写作的契机正是来自2011年12月30日和31日，连续的两个整天，从凌晨再到凌晨，连续挽救了几个用户的数据库灾难，这些灾难发生的那么简单，那么不可思议，在迈入2012这个神秘年份的一刻，深深的触动了我，我想，如果将这些案例描述出来，就可能帮助一些用户警醒借鉴，避免再陷入这样的困境。而从别人的挫折中学习、借鉴，进而在自我的环境中未雨绸缪，防患于未然，是每个数据库管理人员和企业数据环境管理者应该具备的素质。 写作这本书还和2011年底众多席卷而来的密码泄露事件有关，当我注视着最常用的几个密码都在互联网上被公开时，除了手忙脚乱的在各大网站修改密码，剩下的就是深深的遗憾。几乎所有从事IT行业的人，都深知安全的重要性，可是放在实际执行中，大家又往往习惯性失明，忽视了自己周围本应能够达到的力所能及之安全，很多专业人士就以这样或者那样的侥幸心理放任了风险的存在，并一步一步走向了安全危机。 对于数据库安全来说，通常我们认为缺乏的并非技术手段，更多的是缺乏规范和安全认知，如果用户都能够严格的遵循安全守则并应用现有的安全技术手段，数据库的安全性就能够大幅增强，我们的安全事故率也会大大降低。 所以我决定动笔，写下自己多年来所遭遇到的安全案例以及对于数据安全的思考，如果本书中的内容能够帮助一些企业规避错误，保全数据，挽救一些技术人员的时间，那么我将感到无比欣喜，于我们的生命中，最为宝贵的就是时间，寸金难买寸光阴。 [信息安全] 在传统的信息安全领域，存在三个基本的安全要素，这三个要素分别是： 保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)，缩写为CIA。 这三个要素的基本定义如下： 保密性（Confidentiality）：指信息在存储、使用和传输过程中的保密性，要确保信息在这些环节中不会泄漏给非授权方； 完整性（Integrity）：指信息在存储、使用和传输过程中不会被非授权用户篡改、变更，同时需要防止授权用户对系统及信息进行非授权篡改，保持信息在整个过程中内外的一致性； 可用性（Availability）：信息系统因其服务使命，必须在用户需要时，可以被正常访问，授权用户或实体对信息系统的正常使用不应被异常拒绝或中断，应当允许其可靠、及时地访问和获取信息及资源。高可用系统要求所有时间可用，要确保系统不因电源故障、硬件故障和系统升级等因素影响服务的可用性。 信息安全的三要素是对安全的概括和提炼，不同机构和组织，因为需求不同，对CIA的侧重也会有所不同，随着信息安全的发展，CIA经过细化和补充，增加了许多新的内容，包括可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等；与CIA 三元组相反的一个概念是DAD三元组，即泄漏（Disclosure）、篡改（Alteration） 和破坏（Destruction），实际上DAD就是信息安全面临的最普遍的三类风险，是信息安全实践活动最终应该解决的问题。 CIA的核心三要素涉及软件（Software）、硬件（Hardware）和通信（Communications）三个方面，下图清晰的描述了信息安全三要素及相关领域范畴： * * * * * http://www.eygle.com/archives/2012/07/db_securit_book_preface.html 作为编程人员/运维人员的任职资格需要这方面的教育