數(shù)據(jù)是信息系統(tǒng)的核心資產(chǎn)����,政府機(jī)關(guān)���、企事業(yè)單位80%的核心信息是以結(jié)構(gòu)化形式存儲(chǔ)在數(shù)據(jù)庫(kù)中的。數(shù)據(jù)庫(kù)作為核心資產(chǎn)的載體�����,一旦發(fā)生數(shù)據(jù)泄露將造成嚴(yán)重危害和損失��。作為信息安全防護(hù)的“最后一公里”�����,數(shù)據(jù)庫(kù)安全的重要性已被越來(lái)越多的政府部門(mén)和企業(yè)所關(guān)注和重視��。雖然數(shù)據(jù)庫(kù)外圍的安全防護(hù)措施能夠在很大程度上防止針對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的攻擊���,但“核心數(shù)據(jù)安全”容不得半點(diǎn)差錯(cuò)���。正因如此,數(shù)據(jù)庫(kù)加密技術(shù)成為了數(shù)據(jù)庫(kù)安全防護(hù)的最后防線�����,以確保數(shù)據(jù)庫(kù)系統(tǒng)即便被攻陷��,存儲(chǔ)在數(shù)據(jù)庫(kù)中的核心數(shù)據(jù)仍將得到保護(hù)。
數(shù)據(jù)庫(kù)加密技術(shù)主要解決兩個(gè)方面的問(wèn)題:
一是在被拖庫(kù)后����,避免因明文存儲(chǔ)導(dǎo)致的數(shù)據(jù)泄露;
二是對(duì)高權(quán)用戶���,防范內(nèi)部竊取數(shù)據(jù)造成數(shù)據(jù)泄露����。
1���、避免因明文存儲(chǔ)導(dǎo)致數(shù)據(jù)泄露
通常情況下,數(shù)據(jù)庫(kù)中的數(shù)據(jù)是以明文形式進(jìn)行存儲(chǔ)和使用的�����,一旦數(shù)據(jù)文件或備份磁帶丟失�,可能引發(fā)嚴(yán)重的數(shù)據(jù)泄露問(wèn)題;而在拖庫(kù)攻擊中�,明文存儲(chǔ)的數(shù)據(jù)對(duì)于攻擊者同樣沒(méi)有任何秘密可言——如Aul、MyDul等很多成熟的數(shù)據(jù)庫(kù)文件解析軟件��,均可對(duì)明文存儲(chǔ)的數(shù)據(jù)文件進(jìn)行直接分析����,并輸出清晰的��、結(jié)構(gòu)化的數(shù)據(jù)��,從而導(dǎo)致泄密���。
數(shù)據(jù)庫(kù)加密技術(shù)可對(duì)數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)在存儲(chǔ)層進(jìn)行加密,即使有人想對(duì)此類數(shù)據(jù)文件進(jìn)行反向解析����,所得到的也不過(guò)是沒(méi)有任何可讀性的“亂碼”,有效避免了因數(shù)據(jù)文件被拖庫(kù)而造成數(shù)據(jù)泄露的問(wèn)題�,從根本上保證數(shù)據(jù)的安全。
2��、防范內(nèi)部高權(quán)限用戶竊取數(shù)據(jù)
主流商業(yè)數(shù)據(jù)庫(kù)系統(tǒng)考慮到初始化和管理的需要����,會(huì)設(shè)置以sys、sa或root為代表的數(shù)據(jù)庫(kù)超級(jí)用戶����。這些超級(jí)用戶天然具備數(shù)據(jù)訪問(wèn)、授權(quán)和審計(jì)的權(quán)限�����,對(duì)存儲(chǔ)在數(shù)據(jù)庫(kù)中的所有數(shù)據(jù)都可以進(jìn)行無(wú)限制的訪問(wèn)和處理;而在一些大型企業(yè)和政府機(jī)構(gòu)中�����,除系統(tǒng)管理員��,以數(shù)據(jù)分析員��、程序員����、服務(wù)外包人員為代表的其他數(shù)據(jù)庫(kù)用戶����,也存在以某種形式、在非業(yè)務(wù)需要時(shí)訪問(wèn)敏感數(shù)據(jù)的可能�。
數(shù)據(jù)庫(kù)加密技術(shù)通常可以提供獨(dú)立于數(shù)據(jù)庫(kù)系統(tǒng)自身權(quán)限控制體系之外的增強(qiáng)權(quán)控能力�����,由專用的加密系統(tǒng)為數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)設(shè)置訪問(wèn)權(quán)限�����,有效限制數(shù)據(jù)庫(kù)超級(jí)用戶或其他高權(quán)限用戶對(duì)敏感數(shù)據(jù)的訪問(wèn)行為,保障數(shù)據(jù)安全�。
數(shù)據(jù)庫(kù)加密技術(shù)的演進(jìn)
數(shù)據(jù)庫(kù)加密技術(shù)從誕生至今,已經(jīng)歷多個(gè)階段�����,采用過(guò)多種實(shí)現(xiàn)方式�,并一直處于持續(xù)發(fā)展之中。對(duì)于數(shù)據(jù)庫(kù)加密技術(shù)��,我們可以從應(yīng)用層����、數(shù)據(jù)庫(kù)中間件、數(shù)據(jù)庫(kù)系統(tǒng)自身��、數(shù)據(jù)庫(kù)系統(tǒng)所依賴的文件系統(tǒng)以及存儲(chǔ)硬件等方面考慮其具體實(shí)現(xiàn)����。
(數(shù)據(jù)庫(kù)加密層次)
目前,不同場(chǎng)景下仍在使用的數(shù)據(jù)庫(kù)加密技術(shù)主要有:應(yīng)用系統(tǒng)加密��、前置代理加密、后置代理加密����、表空間加密、文件系統(tǒng)加密和磁盤(pán)加密��。下文將從“演進(jìn)”的角度�,對(duì)這六種數(shù)據(jù)庫(kù)加密技術(shù)的原理和適用場(chǎng)景逐一進(jìn)行介紹:
1、應(yīng)用系統(tǒng)加密
應(yīng)用系統(tǒng)加密技術(shù)被認(rèn)為是最早的數(shù)據(jù)庫(kù)加密形式�����。但嚴(yán)格來(lái)講�����,應(yīng)用系統(tǒng)加密實(shí)際上是針對(duì)數(shù)據(jù)而非數(shù)據(jù)庫(kù)進(jìn)行的加密�����。
· 技術(shù)原理
在應(yīng)用系統(tǒng)層的源代碼中對(duì)敏感數(shù)據(jù)進(jìn)行加密���,加密后將密文存儲(chǔ)到數(shù)據(jù)庫(kù)中??梢灾苯釉趹?yīng)用系統(tǒng)的源代碼中以獨(dú)立的函數(shù)或模塊形式完成加密;也可以通過(guò)源代碼的方式封裝出應(yīng)用系統(tǒng)相關(guān)業(yè)務(wù)專用的加密組件或定制的加密API來(lái)完成加密����。
(應(yīng)用系統(tǒng)加密技術(shù)原理)
· 適用場(chǎng)景
通常情況下����,當(dāng)業(yè)務(wù)系統(tǒng)僅對(duì)有限的敏感數(shù)據(jù)存在加密需求時(shí)�,可以考慮使用應(yīng)用系統(tǒng)加密技術(shù)。這里的“有限”包含兩方面含義:一方面�����,是需要加密處理的敏感數(shù)據(jù)對(duì)應(yīng)的表或字段相對(duì)較少�;另一方面,是需要加密處理的敏感數(shù)據(jù)在整個(gè)業(yè)務(wù)系統(tǒng)中的使用相對(duì)不多���。
比如��,僅對(duì)業(yè)務(wù)系統(tǒng)中與員工薪資相關(guān)的敏感數(shù)據(jù)進(jìn)行加密保護(hù)��。在實(shí)際業(yè)務(wù)中�,薪資信息作為員工信息的一個(gè)子部分�����,在數(shù)據(jù)庫(kù)中通常以獨(dú)立表的形式存在,與員工基礎(chǔ)信息����、教育信息、履歷信息等共同構(gòu)成員工信息子系統(tǒng)��;同時(shí)��,薪資信息通常只在員工薪酬模塊或子系統(tǒng)中使用���,與其它業(yè)務(wù)模塊相關(guān)性不高���,一般也不會(huì)在其它業(yè)務(wù)模塊中被引用。
2�、前置代理加密
前置代理加密技術(shù)是在應(yīng)用系統(tǒng)加密技術(shù)基礎(chǔ)上發(fā)展起來(lái)的��,其表現(xiàn)形式通常是由專業(yè)的數(shù)據(jù)安全廠商推出的數(shù)據(jù)庫(kù)加密產(chǎn)品�����。
· 技術(shù)原理
類似于應(yīng)用系統(tǒng)加密技術(shù)�,前置代理加密技術(shù)也是在數(shù)據(jù)保存到數(shù)據(jù)庫(kù)之前對(duì)敏感數(shù)據(jù)進(jìn)行加密�����,并將密文存儲(chǔ)到數(shù)據(jù)庫(kù)中;而不同于前者的是�,前置代理加密技術(shù)通常是以“前置代理加密網(wǎng)關(guān)”這種獨(dú)立組件產(chǎn)品的形式實(shí)現(xiàn)的。
(前置代理加密技術(shù)原理)
· 適用場(chǎng)景
通常情況下����,當(dāng)業(yè)務(wù)系統(tǒng)僅對(duì)有限的敏感數(shù)據(jù)存在加密需求,且用戶自身無(wú)能力或不愿意進(jìn)行加解密的相關(guān)研發(fā)工作時(shí)��,可以考慮使用前置代理加密技術(shù)�,即采用第三方廠商的前置代理加密網(wǎng)關(guān)系統(tǒng)對(duì)敏感數(shù)據(jù)進(jìn)行加密保護(hù)。
3�����、后置代理加密
為了避免數(shù)據(jù)加密給數(shù)據(jù)訪問(wèn)和處理帶來(lái)性能上的嚴(yán)重?fù)p失�����,部分?jǐn)?shù)據(jù)庫(kù)廠商在數(shù)據(jù)庫(kù)引擎層提供了一些擴(kuò)展接口和擴(kuò)展機(jī)制��。通過(guò)這些擴(kuò)展的接口和機(jī)制�,數(shù)據(jù)庫(kù)系統(tǒng)用戶可以通過(guò)外部接口調(diào)用的方式實(shí)現(xiàn)對(duì)數(shù)據(jù)的加解密處理��,同時(shí)也能夠在一定程度上降低對(duì)數(shù)據(jù)庫(kù)系統(tǒng)性能的影響。
· 技術(shù)原理
后置代理加密技術(shù)是基于數(shù)據(jù)庫(kù)自身能力的一種加密技術(shù)���,可充分利用數(shù)據(jù)庫(kù)自身提供的定制擴(kuò)展能力實(shí)現(xiàn)數(shù)據(jù)的存儲(chǔ)加密��、加密后數(shù)據(jù)檢索和應(yīng)用透明等目標(biāo)�����。其中,能夠完美實(shí)現(xiàn)后置代理加密的典型代表是Oracle數(shù)據(jù)庫(kù)——通過(guò)“視圖+觸發(fā)器+擴(kuò)展索引+外部方法調(diào)用”的方式實(shí)現(xiàn)數(shù)據(jù)加密�,同時(shí)保證應(yīng)用的完全透明����。
(后置代理加密技術(shù)原理)
· 適用場(chǎng)景
后置代理加密技術(shù)的價(jià)值主要體現(xiàn)在“應(yīng)用透明和獨(dú)立權(quán)控”兩大能力上�。因此�,在不希望對(duì)應(yīng)用系統(tǒng)在加密時(shí)進(jìn)行改造�����,或需要對(duì)數(shù)據(jù)庫(kù)超級(jí)用戶的數(shù)據(jù)訪問(wèn)權(quán)限進(jìn)行控制的場(chǎng)景下�����,如果查詢涉及的加密列不多且查詢結(jié)果集中包含的數(shù)據(jù)記錄也相對(duì)不多時(shí)����,可以考慮使用后置代理加密技術(shù)對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密���。
4����、透明數(shù)據(jù)加密
后置代理加密過(guò)于依賴數(shù)據(jù)庫(kù)自身所具備的擴(kuò)展機(jī)制�,且數(shù)據(jù)在數(shù)據(jù)庫(kù)共享內(nèi)存中也是密文,導(dǎo)致在部分場(chǎng)景下的數(shù)據(jù)庫(kù)性能表現(xiàn)不佳��。因此���,基于后置代理加密技術(shù)又發(fā)展出了透明數(shù)據(jù)加密技術(shù),目的是在保持后置代理加密優(yōu)勢(shì)的同時(shí)���,降低對(duì)數(shù)據(jù)庫(kù)自身擴(kuò)展機(jī)制的依賴性���,從而讓數(shù)據(jù)庫(kù)系統(tǒng)性能保持在相對(duì)合理的水平之上�。
· 技術(shù)原理
透明數(shù)據(jù)加密���,全稱為T(mén)ransparent Data Encryption(TDE)�,是一種對(duì)應(yīng)用系統(tǒng)完全透明的數(shù)據(jù)庫(kù)端存儲(chǔ)加密技術(shù)�,通常由數(shù)據(jù)庫(kù)廠商在數(shù)據(jù)庫(kù)引擎中實(shí)現(xiàn)——在數(shù)據(jù)庫(kù)引擎的存儲(chǔ)管理層增加一個(gè)數(shù)據(jù)處理過(guò)程,當(dāng)數(shù)據(jù)由數(shù)據(jù)庫(kù)共享內(nèi)存寫(xiě)入到數(shù)據(jù)文件時(shí)對(duì)其進(jìn)行加密����;當(dāng)數(shù)據(jù)由數(shù)據(jù)文件讀取到數(shù)據(jù)庫(kù)共享內(nèi)存時(shí)對(duì)其進(jìn)行解密。也就是說(shuō)��,數(shù)據(jù)在數(shù)據(jù)庫(kù)共享內(nèi)存中是以明文形態(tài)存在的�,而在數(shù)據(jù)文件中則以密文形態(tài)存在。同時(shí)�����,由于該技術(shù)的透明性��,任何合法且有權(quán)限的數(shù)據(jù)庫(kù)用戶都可以訪問(wèn)和處理加密表中的數(shù)據(jù)�。
(透明數(shù)據(jù)加密技術(shù)原理)
· 適用場(chǎng)景
透明數(shù)據(jù)加密技術(shù)由于其自身的優(yōu)勢(shì)特性,使其適用于幾乎全部有數(shù)據(jù)庫(kù)加密需求的應(yīng)用場(chǎng)景��,尤其是在對(duì)數(shù)據(jù)加密透明化有要求�����,或需要對(duì)數(shù)據(jù)庫(kù)超級(jí)用戶進(jìn)行數(shù)據(jù)訪問(wèn)權(quán)限控制,以及對(duì)數(shù)據(jù)加密后數(shù)據(jù)庫(kù)性能有較高要求的場(chǎng)景中�����。
5��、文件系統(tǒng)加密
在數(shù)據(jù)庫(kù)加密技術(shù)中�,除了從前端應(yīng)用及數(shù)據(jù)庫(kù)自身角度實(shí)現(xiàn)數(shù)據(jù)庫(kù)加密外�����,基于數(shù)據(jù)庫(kù)底層依賴的文件系統(tǒng)或存儲(chǔ)硬件��,也可以實(shí)現(xiàn)數(shù)據(jù)庫(kù)加密���。
· 技術(shù)原理
文件系統(tǒng)加密技術(shù)是在操作系統(tǒng)的文件管理子系統(tǒng)層面上對(duì)文件進(jìn)行加密�����,大多是通過(guò)對(duì)與文件管理子系統(tǒng)相關(guān)的操作系統(tǒng)內(nèi)核驅(qū)動(dòng)程序進(jìn)行改造實(shí)現(xiàn)的��。不同于文件加密只對(duì)單個(gè)文件設(shè)置訪問(wèn)口令�,或?qū)蝹€(gè)文件的內(nèi)容進(jìn)行加密轉(zhuǎn)換,文件系統(tǒng)加密提供了一種加密文件系統(tǒng)格式(類似于ext4����、xfs等文件系統(tǒng)格式),通過(guò)把磁盤(pán)存儲(chǔ)卷或其上的目錄設(shè)置為該文件加密系統(tǒng)格式�,達(dá)到對(duì)存儲(chǔ)于卷或卷上目錄中文件進(jìn)行加密的目的。文件系統(tǒng)加密技術(shù)本質(zhì)上并不是數(shù)據(jù)庫(kù)加密技術(shù)�,但可以用于對(duì)數(shù)據(jù)庫(kù)的數(shù)據(jù)文件進(jìn)行存儲(chǔ)層面的加密。
(文件系統(tǒng)加密技術(shù)原理)
· 適用場(chǎng)景
文件系統(tǒng)加密技術(shù)幾乎可以適用于任何基于文件系統(tǒng)的數(shù)據(jù)庫(kù)存儲(chǔ)加密需求�����,尤其是原生不支持透明數(shù)據(jù)加密的數(shù)據(jù)庫(kù)系統(tǒng)和大數(shù)據(jù)數(shù)據(jù)庫(kù)系統(tǒng)�����。但是����,由于文件系統(tǒng)加密技術(shù)無(wú)法提供針對(duì)數(shù)據(jù)庫(kù)用戶的增強(qiáng)權(quán)限控制,對(duì)于需要防范內(nèi)部數(shù)據(jù)庫(kù)超級(jí)用戶的場(chǎng)景并不適用�����。
6、磁盤(pán)加密
· 技術(shù)原理
磁盤(pán)加密技術(shù)通過(guò)對(duì)磁盤(pán)進(jìn)行加密以保障其內(nèi)部數(shù)據(jù)的安全性�����,從實(shí)現(xiàn)上有軟硬兩種方式:軟件方式的磁盤(pán)加密技術(shù)�����,大多是通過(guò)專用的磁盤(pán)加密軟件對(duì)磁盤(pán)內(nèi)容進(jìn)行加密���,典型代表如Windows操作系統(tǒng)自帶的BitLocker,同類型的商業(yè)軟件在國(guó)內(nèi)也有很多�,但這類軟件由于加密原理和使用方式等因素,基本上無(wú)法滿足數(shù)據(jù)庫(kù)系統(tǒng)的數(shù)據(jù)加密需求�;而硬件方式的磁盤(pán)加密技術(shù),在實(shí)現(xiàn)上則有兩個(gè)思路:一種是針對(duì)單塊硬盤(pán)的磁盤(pán)加密�����,一種是針對(duì)磁盤(pán)陣列或SAN存儲(chǔ)設(shè)備的磁盤(pán)加密���。
(硬件方式的磁盤(pán)加密技術(shù)原理)
· 適用場(chǎng)景
磁盤(pán)加密技術(shù)可以滿足幾乎所有的存儲(chǔ)加密需求����,但由于不能提供針對(duì)數(shù)據(jù)庫(kù)用戶的增強(qiáng)權(quán)限控制,無(wú)法滿足對(duì)內(nèi)部數(shù)據(jù)庫(kù)超級(jí)用戶泄露敏感數(shù)據(jù)的風(fēng)險(xiǎn)防范需求��。
數(shù)據(jù)庫(kù)加密技術(shù)對(duì)比
安華金和數(shù)據(jù)庫(kù)加密系統(tǒng)
安華金和數(shù)據(jù)庫(kù)加密系統(tǒng)(簡(jiǎn)稱DES)�,是一款基于透明加密技術(shù)的數(shù)據(jù)庫(kù)安全產(chǎn)品,該產(chǎn)品能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)庫(kù)中敏感數(shù)據(jù)的加密存儲(chǔ)��、訪問(wèn)控制增強(qiáng)�����、應(yīng)用訪問(wèn)安全及三權(quán)分立等功能�����。
DES基于底層加密存儲(chǔ)與獨(dú)立權(quán)限控制兩大核心機(jī)制��,可以防止明文存儲(chǔ)引起的數(shù)據(jù)泄密�,防止外部非法入侵竊取敏感數(shù)據(jù),防止來(lái)自內(nèi)部高權(quán)限用戶的數(shù)據(jù)濫用�,防止繞開(kāi)合法應(yīng)用系統(tǒng)直接解密讀取數(shù)據(jù),在數(shù)據(jù)安全“最后一公里”處解決敏感數(shù)據(jù)泄露問(wèn)題�。
DES可根據(jù)用戶不同場(chǎng)景及不同安全需求,提供列加密���、表加密����、表空間加密等多種手段,結(jié)合已獲專利的透明加解密及密文索引等核心技術(shù)��,具有良好的適應(yīng)性與實(shí)用性�����,實(shí)現(xiàn)了數(shù)據(jù)高度安全�、應(yīng)用完全透明、密文高效訪問(wèn)���。
DES當(dāng)前支持Windows��、AIX、Linux等多個(gè)平臺(tái)����,支持Oracle、SQL Server��、MySQL等多種國(guó)際主流數(shù)據(jù)庫(kù)以及達(dá)夢(mèng)等國(guó)產(chǎn)數(shù)據(jù)庫(kù)�。產(chǎn)品支持主、從��、應(yīng)急等自身高可用模式,可以滿足用戶的多種部署需求���。DES提供符合國(guó)密標(biāo)準(zhǔn)的加解密算法�����,同時(shí)兼容多種國(guó)際商用算法��,提供可擴(kuò)展的加密設(shè)備和加密算法接口����,可與多種加密卡及加密機(jī)對(duì)接�。
DES產(chǎn)品適用于政府、教育��、軍工�、機(jī)要、電力等各個(gè)領(lǐng)域��,同時(shí)針對(duì)國(guó)家等級(jí)保護(hù)����、分級(jí)保護(hù)、軍隊(duì)保密規(guī)定均具有很強(qiáng)的政策適應(yīng)性����。
產(chǎn)品咨詢:4000 258 365 
