2024国测三批名单公布,国产数据库行业格局初现?

开发技术
1

2024国测三批名单公布,16家厂商26款数据库产品入选,国产数据库行业格局初现。

原文标题:国测2024公布,国产数据库将尘埃落定?

原文作者:牧羊人的方向

冷月清谈:

2024年9月30日,国家安全可靠测评(国测)第三批名单公布,此次主要聚焦于分布式数据库产品,标志着信创领域数据库产品筛选迈出关键一步。

国测是由中国信息安全测评中心和国家保密科技测评中心推出,旨在评估软硬件产品的安全性和可持续性,为企业信创产品选择提供标准依据。

本次公布的名单中,共有16家厂商的26款数据库产品入选,涵盖了集中式和分布式数据库,其中分布式数据库又分为事务型和分析型。

从厂商来看,既有达梦、南大通用、中电金仓等老牌数据库厂商,也有PolarDB、TDSQL、华为云等云厂商。从技术生态来看,主要以MySQL和PostgreSQL生态为主。

国测结果将对国产数据库行业发展产生深远影响,有利于行业规范化和生态发展,但也对用户选型提出了更高的要求,尤其对于中小企业,需要谨慎选择技术路线。

怜星夜思:

1、国测的标准看起来很宽泛,实际评估过程中,哪些因素会成为关键的影响因素?
2、文章提到中小企业在数据库选型上面临挑战,有哪些建议可以帮助他们降低风险?
3、未来国产数据库的发展趋势会是什么?哪些技术方向值得关注?

原文内容

节前9月30号,期待许久的安全可靠测评(国测)第三批名单公布,此次评测结果集中在行业内更为关心的分布式数据库。那么国测是什么,两轮国测进入名录的数据库产品有哪些,对整个国产数据库的行业发展有什么启示,本文将简单介绍下。

图片
图片871×888 88.1 KB

1、国测是什么

在信息技术信创浪潮的趋势之下,越来越多的号称国产的硬件、系统和软件跃然于市场之中,鱼龙混杂之下给企业的选择也带来了困扰。为此,中国信息安全测评中心和国家保密科技测评中心推出了安全可靠测评(俗称国测),旨在通过对产品及其研发单位的核心技术、安全保障、持续发展等方面进行全面评估,以评定产品的安全性和可持续性。

安全可靠测评主要面向计算机终端和服务器搭载的中央处理器(CPU)、操作系统以及数据库等基础软硬件产品,通过对产品及其研发单位的核心技术、安全保障、持续发展等方面开展评估,评定产品的安全性和可持续性,实现对产品研发设计、生产制造、供应保障、售后维护等全生命周期安全可靠性的综合度量和客观评价。

也就是说国测是官方认定的信创软硬件通过标准,通过了国测评定为企业的信创产品选择提供了充分的标准依据,不在国测的通过名单中的在产品选择时需要慎重考虑。国测第一批结果在2023年12月26日发布,包括芯片、操作系统和集中式数据库产品;2024年5月10日发布第二批名单,主要是国芯和国产操作系统;众人期待的分布式数据库在2024年9月30日第三批发布,主要包括11个分布式数据库产品。

图片
图片1002×299 26.2 KB

国测的安全可靠级别有4级,其中第1级是最低的、第4级是最高的,从目前公布的结果来看,数据库中大部分都是第1级,说明信创工作还是任重道远的。

2、国产数据库国测情况
2.1 国产数据库国测评测标准
1)核心技术评估

  • 自主研发能力:评估数据库产品是否具备独立的研发能力,包括设计、开发、生产等关键环节是否在中国境内完成。

  • 知识产权:检查数据库产品是否拥有相关的发明专利、商标、著作权等知识产权或授权。

2)安全保障评估

  • 安全防护措施:评估数据库产品是否实施了必要的安全防护措施,以防范外部攻击和内部泄露。

  • 安全功能:检查数据库产品是否具备如数据库审计、强制访问控制等安全功能,以提升其安全性。

3)供应链安全评估

  • 供应链安全性:评估数据库产品的供应链是否安全,包括供应商的选择、采购过程、物流运输等环节。

  • 持续稳定性:检查数据库产品的供应链是否具备持续稳定性,以确保产品的持续供应和售后服务。

4)持续发展评估

  • 服务保障:评估数据库产品的服务保障是否安全、持续稳定,并具备可追溯性。

  • 生态开放性:检查数据库产品是否具备产品定制开发能力,能够基于自身产品构建产业生态,并保持生态的开放性和透明性。

5)法律法规及技术标准符合性评估

  • 法律法规符合性:评估数据库产品是否符合中华人民共和国网络安全相关的法律法规及技术标准。

  • 技术标准符合性:检查数据库产品是否满足技术要件对测评机构充分公开和可追溯的要求。

6)综合评估

  • 整体安全性:结合以上各项评估结果,对数据库产品的整体安全性进行综合评估。

  • 可持续性:评估数据库产品的可持续性,包括其技术路线的持续性、产品的迭代能力等。

上述的评测标准实际上是很宽泛的,简而言之既是对数据库产品的安全性、可靠性、生态和持续性的整体评估,也是对数据库厂商的供应链安全、产品和技术路线的综合评估。从技术标准上来看比如人行在2020年11月份发布的《分布式数据库技术金融应用规范》:

图片
图片1079×188 9.69 KB

实际应用中金融行业在高可用性和数据一致性上对数据库有着更为严格的要求,推广到2+8+N全行业结合实际的需求建立标准。

2.2 国产数据库评测情况汇总

截止到目前,国测中国产数据库分为两批发布大名单,第一批次是2023年12月份集中在集中式数据库、第二批是2024年09月30号集中在分布式数据库,两个批次总共包括16个厂商的26款数据库产品,如下表所示:

  • 多个厂商评测了集中式和分布式产品,包括达梦、PolarDB、TDSQL、瀚高、虚谷、南大通用、中电金仓、华为云等,其中PolarDB、TDSQL和华为属于云厂商,云数据库产品的种类更为丰富。

  • 老牌数据库厂商达梦、南大通用、中电金仓、神舟通用都在列,说明老牌厂商的研发实力还是相当雄厚的,尤其是在政企、军工行业积累了丰富的经验;

  • 分布式数据库分为事务型和分析型的,像达梦、PolarDB-X、TDSQL、GaussDB、TiDB、GoldenDB和OceanBase属于典型的分布式事务型数据库,也是业内主流的分布式数据库产品;南大通用、神舟通用属于MPP分析型的分布式数据库。

  • 华为GaussDB集中式是唯一一个安全可靠等级为II级的数据库,也说明华为的研发实力雄厚;

  • 从产品生态上来看,除了老牌数据库厂商如达梦等之外,主要是MySQL生态和PostgreSQL生态,以华为GaussDB为代表的openGauss/PostgreSQL生态在数量上占据了一定的优势。

国测的有效期是3年,后续数据库产品迭代比如大版本更新了,不在上述目录中还是需要重新测评的。虽然国测前面3轮的数据库目录收敛到16家厂商,相信后面评测会陆陆续续新增新的厂商和数据库产品。即使是这16家厂商26款产品,功能上或者性能上、使用场景上差异化不大,竞争依旧是相当激烈,群雄涿鹿尚未见分晓。

  • 对于国产数据库行业发展而言,从200多款数据库产品聚焦到这20几款产品,更有利于行业的规范化和生态的发展,发挥资源的集聚优势。

  • 对于用户而言在产品选型的过程中还是有一定的难度,需要综合考虑数据库厂商的产品能力、支持力度以及应用的案例。尤其是对一些中小企业而言,试错的成本很高,选定一个技术产品路线坚定不移走下去。

在金融行业有几千家大小金融机构,虽然头部的大中型金融同业在数据库选型上已经尘埃落定,但大部分的小城商行、农信社等还在摸索阶段,如何在这信创变更的浪潮中激流勇进,尚需要行业的标准或者最佳实践指明航行的灯塔,道阻且长。

以上仅代表个人观点,不当之处请指正!

参考资料:

  1. http://www.itsec.gov.cn/aqkkcp/cpgg/

  2. https://cfstc.pbc.gov.cn/bzgk/

2

个人比较看好 Serverless 数据库的发展,它可以让开发者更加专注于业务逻辑的开发,不用操心数据库的运维管理,进一步提升开发效率。

3

我觉得除了文中提到的那些,数据库的实际性能表现应该也是一个很重要的因素,毕竟理论标准再好,实际用起来卡顿或者不稳定也不行啊,你们觉得呢?

4

其实我觉得找个靠谱的数据库服务商也很重要,他们可以提供专业的咨询和技术支持,帮助企业选择合适的数据库产品和解决方案,省心又省力。

5

小企业可以考虑先从开源数据库入手,像MySQL、PostgreSQL之类的,社区资源丰富,成本也比较低。等业务发展到一定规模之后,再考虑迁移到商业数据库也不迟。

6

我赌五毛钱,云原生数据库肯定是未来的大趋势!现在越来越多的企业上云,云原生数据库可以更好地与云平台集成,提供更高的弹性和 scalability。

7

从技术角度来看,我认为数据库产品的架构设计、代码质量、以及安全漏洞的修复能力都至关重要。一个好的架构设计能保证数据库的稳定性和扩展性,高质量的代码能减少bug和安全风险,而及时的漏洞修复能力则能保障数据库的安全性。

8

个人感觉厂商的背景和实力也是一个不容忽视的因素。毕竟数据库这种基础软件,需要长期稳定的支持和维护,一个有实力的厂商才能提供更好的服务保障。

9

对于中小企业来说,选择成熟的商业数据库或者云数据库服务 might be a better choice,毕竟自建数据库的成本和风险都比较高。当然,也要根据自身业务需求和预算来做决定。

10

分布式数据库和NewSQL也是值得关注的方向,它们可以解决传统关系型数据库的 scalability 瓶颈,满足日益增长的数据存储和处理需求。