數(shù)據(jù)是信息系統(tǒng)的核心資產(chǎn)���,政府機關(guān)���、企事業(yè)單位80%的核心信息是以結(jié)構(gòu)化形式存儲在數(shù)據(jù)庫中的。數(shù)據(jù)庫作為核心資產(chǎn)的載體����,一旦發(fā)生數(shù)據(jù)泄露將造成嚴(yán)重危害和損失。作為信息安全防護(hù)的“最后一公里”�����,數(shù)據(jù)庫安全的重要性已被越來越多的政府部門和企業(yè)所關(guān)注和重視�����。雖然數(shù)據(jù)庫外圍的安全防護(hù)措施能夠在很大程度上防止針對數(shù)據(jù)庫系統(tǒng)的攻擊�,但“核心數(shù)據(jù)安全”容不得半點差錯。正因如此��,數(shù)據(jù)庫加密技術(shù)成為了數(shù)據(jù)庫安全防護(hù)的最后防線����,以確保數(shù)據(jù)庫系統(tǒng)即便被攻陷�,存儲在數(shù)據(jù)庫中的核心數(shù)據(jù)仍將得到保護(hù)�。
數(shù)據(jù)庫加密技術(shù)主要解決兩個方面的問題:
一是在被拖庫后,避免因明文存儲導(dǎo)致的數(shù)據(jù)泄露����;
二是對高權(quán)用戶,防范內(nèi)部竊取數(shù)據(jù)造成數(shù)據(jù)泄露����。
1、避免因明文存儲導(dǎo)致數(shù)據(jù)泄露
通常情況下����,數(shù)據(jù)庫中的數(shù)據(jù)是以明文形式進(jìn)行存儲和使用的,一旦數(shù)據(jù)文件或備份磁帶丟失�,可能引發(fā)嚴(yán)重的數(shù)據(jù)泄露問題;而在拖庫攻擊中����,明文存儲的數(shù)據(jù)對于攻擊者同樣沒有任何秘密可言——如Aul、MyDul等很多成熟的數(shù)據(jù)庫文件解析軟件��,均可對明文存儲的數(shù)據(jù)文件進(jìn)行直接分析�����,并輸出清晰的、結(jié)構(gòu)化的數(shù)據(jù)�,從而導(dǎo)致泄密���。
數(shù)據(jù)庫加密技術(shù)可對數(shù)據(jù)庫中存儲的數(shù)據(jù)在存儲層進(jìn)行加密�,即使有人想對此類數(shù)據(jù)文件進(jìn)行反向解析�����,所得到的也不過是沒有任何可讀性的“亂碼”�����,有效避免了因數(shù)據(jù)文件被拖庫而造成數(shù)據(jù)泄露的問題�,從根本上保證數(shù)據(jù)的安全。
2���、防范內(nèi)部高權(quán)限用戶竊取數(shù)據(jù)
主流商業(yè)數(shù)據(jù)庫系統(tǒng)考慮到初始化和管理的需要��,會設(shè)置以sys��、sa或root為代表的數(shù)據(jù)庫超級用戶���。這些超級用戶天然具備數(shù)據(jù)訪問�����、授權(quán)和審計的權(quán)限����,對存儲在數(shù)據(jù)庫中的所有數(shù)據(jù)都可以進(jìn)行無限制的訪問和處理�����;而在一些大型企業(yè)和政府機構(gòu)中����,除系統(tǒng)管理員,以數(shù)據(jù)分析員�、程序員、服務(wù)外包人員為代表的其他數(shù)據(jù)庫用戶�,也存在以某種形式、在非業(yè)務(wù)需要時訪問敏感數(shù)據(jù)的可能����。
數(shù)據(jù)庫加密技術(shù)通常可以提供獨立于數(shù)據(jù)庫系統(tǒng)自身權(quán)限控制體系之外的增強權(quán)控能力���,由專用的加密系統(tǒng)為數(shù)據(jù)庫中的敏感數(shù)據(jù)設(shè)置訪問權(quán)限�,有效限制數(shù)據(jù)庫超級用戶或其他高權(quán)限用戶對敏感數(shù)據(jù)的訪問行為,保障數(shù)據(jù)安全�����。
數(shù)據(jù)庫加密技術(shù)的演進(jìn)
數(shù)據(jù)庫加密技術(shù)從誕生至今�,已經(jīng)歷多個階段�,采用過多種實現(xiàn)方式,并一直處于持續(xù)發(fā)展之中��。對于數(shù)據(jù)庫加密技術(shù)��,我們可以從應(yīng)用層�、數(shù)據(jù)庫中間件、數(shù)據(jù)庫系統(tǒng)自身��、數(shù)據(jù)庫系統(tǒng)所依賴的文件系統(tǒng)以及存儲硬件等方面考慮其具體實現(xiàn)�����。
(數(shù)據(jù)庫加密層次)
目前��,不同場景下仍在使用的數(shù)據(jù)庫加密技術(shù)主要有:應(yīng)用系統(tǒng)加密�、前置代理加密、后置代理加密、表空間加密����、文件系統(tǒng)加密和磁盤加密。下文將從“演進(jìn)”的角度�����,對這六種數(shù)據(jù)庫加密技術(shù)的原理和適用場景逐一進(jìn)行介紹:
1�����、應(yīng)用系統(tǒng)加密
應(yīng)用系統(tǒng)加密技術(shù)被認(rèn)為是最早的數(shù)據(jù)庫加密形式���。但嚴(yán)格來講�����,應(yīng)用系統(tǒng)加密實際上是針對數(shù)據(jù)而非數(shù)據(jù)庫進(jìn)行的加密��。
· 技術(shù)原理
在應(yīng)用系統(tǒng)層的源代碼中對敏感數(shù)據(jù)進(jìn)行加密��,加密后將密文存儲到數(shù)據(jù)庫中�?��?梢灾苯釉趹?yīng)用系統(tǒng)的源代碼中以獨立的函數(shù)或模塊形式完成加密�����;也可以通過源代碼的方式封裝出應(yīng)用系統(tǒng)相關(guān)業(yè)務(wù)專用的加密組件或定制的加密API來完成加密�����。
(應(yīng)用系統(tǒng)加密技術(shù)原理)
· 適用場景
通常情況下��,當(dāng)業(yè)務(wù)系統(tǒng)僅對有限的敏感數(shù)據(jù)存在加密需求時���,可以考慮使用應(yīng)用系統(tǒng)加密技術(shù)。這里的“有限”包含兩方面含義:一方面����,是需要加密處理的敏感數(shù)據(jù)對應(yīng)的表或字段相對較少;另一方面�����,是需要加密處理的敏感數(shù)據(jù)在整個業(yè)務(wù)系統(tǒng)中的使用相對不多�����。
比如,僅對業(yè)務(wù)系統(tǒng)中與員工薪資相關(guān)的敏感數(shù)據(jù)進(jìn)行加密保護(hù)�����。在實際業(yè)務(wù)中�,薪資信息作為員工信息的一個子部分,在數(shù)據(jù)庫中通常以獨立表的形式存在�,與員工基礎(chǔ)信息、教育信息�、履歷信息等共同構(gòu)成員工信息子系統(tǒng);同時�,薪資信息通常只在員工薪酬模塊或子系統(tǒng)中使用,與其它業(yè)務(wù)模塊相關(guān)性不高���,一般也不會在其它業(yè)務(wù)模塊中被引用��。
2��、前置代理加密
前置代理加密技術(shù)是在應(yīng)用系統(tǒng)加密技術(shù)基礎(chǔ)上發(fā)展起來的�,其表現(xiàn)形式通常是由專業(yè)的數(shù)據(jù)安全廠商推出的數(shù)據(jù)庫加密產(chǎn)品�。
· 技術(shù)原理
類似于應(yīng)用系統(tǒng)加密技術(shù),前置代理加密技術(shù)也是在數(shù)據(jù)保存到數(shù)據(jù)庫之前對敏感數(shù)據(jù)進(jìn)行加密��,并將密文存儲到數(shù)據(jù)庫中�����;而不同于前者的是,前置代理加密技術(shù)通常是以“前置代理加密網(wǎng)關(guān)”這種獨立組件產(chǎn)品的形式實現(xiàn)的�����。
(前置代理加密技術(shù)原理)
· 適用場景
通常情況下���,當(dāng)業(yè)務(wù)系統(tǒng)僅對有限的敏感數(shù)據(jù)存在加密需求����,且用戶自身無能力或不愿意進(jìn)行加解密的相關(guān)研發(fā)工作時��,可以考慮使用前置代理加密技術(shù)���,即采用第三方廠商的前置代理加密網(wǎng)關(guān)系統(tǒng)對敏感數(shù)據(jù)進(jìn)行加密保護(hù)。
3����、后置代理加密
為了避免數(shù)據(jù)加密給數(shù)據(jù)訪問和處理帶來性能上的嚴(yán)重?fù)p失,部分?jǐn)?shù)據(jù)庫廠商在數(shù)據(jù)庫引擎層提供了一些擴展接口和擴展機制�。通過這些擴展的接口和機制,數(shù)據(jù)庫系統(tǒng)用戶可以通過外部接口調(diào)用的方式實現(xiàn)對數(shù)據(jù)的加解密處理��,同時也能夠在一定程度上降低對數(shù)據(jù)庫系統(tǒng)性能的影響。
· 技術(shù)原理
后置代理加密技術(shù)是基于數(shù)據(jù)庫自身能力的一種加密技術(shù)�����,可充分利用數(shù)據(jù)庫自身提供的定制擴展能力實現(xiàn)數(shù)據(jù)的存儲加密�、加密后數(shù)據(jù)檢索和應(yīng)用透明等目標(biāo)。其中��,能夠完美實現(xiàn)后置代理加密的典型代表是Oracle數(shù)據(jù)庫——通過“視圖+觸發(fā)器+擴展索引+外部方法調(diào)用”的方式實現(xiàn)數(shù)據(jù)加密��,同時保證應(yīng)用的完全透明�。
(后置代理加密技術(shù)原理)
· 適用場景
后置代理加密技術(shù)的價值主要體現(xiàn)在“應(yīng)用透明和獨立權(quán)控”兩大能力上。因此���,在不希望對應(yīng)用系統(tǒng)在加密時進(jìn)行改造�����,或需要對數(shù)據(jù)庫超級用戶的數(shù)據(jù)訪問權(quán)限進(jìn)行控制的場景下�����,如果查詢涉及的加密列不多且查詢結(jié)果集中包含的數(shù)據(jù)記錄也相對不多時����,可以考慮使用后置代理加密技術(shù)對數(shù)據(jù)庫進(jìn)行加密。
4����、透明數(shù)據(jù)加密
后置代理加密過于依賴數(shù)據(jù)庫自身所具備的擴展機制,且數(shù)據(jù)在數(shù)據(jù)庫共享內(nèi)存中也是密文����,導(dǎo)致在部分場景下的數(shù)據(jù)庫性能表現(xiàn)不佳。因此��,基于后置代理加密技術(shù)又發(fā)展出了透明數(shù)據(jù)加密技術(shù)�,目的是在保持后置代理加密優(yōu)勢的同時,降低對數(shù)據(jù)庫自身擴展機制的依賴性��,從而讓數(shù)據(jù)庫系統(tǒng)性能保持在相對合理的水平之上���。
· 技術(shù)原理
透明數(shù)據(jù)加密�����,全稱為Transparent Data Encryption(TDE),是一種對應(yīng)用系統(tǒng)完全透明的數(shù)據(jù)庫端存儲加密技術(shù)���,通常由數(shù)據(jù)庫廠商在數(shù)據(jù)庫引擎中實現(xiàn)——在數(shù)據(jù)庫引擎的存儲管理層增加一個數(shù)據(jù)處理過程�,當(dāng)數(shù)據(jù)由數(shù)據(jù)庫共享內(nèi)存寫入到數(shù)據(jù)文件時對其進(jìn)行加密;當(dāng)數(shù)據(jù)由數(shù)據(jù)文件讀取到數(shù)據(jù)庫共享內(nèi)存時對其進(jìn)行解密����。也就是說,數(shù)據(jù)在數(shù)據(jù)庫共享內(nèi)存中是以明文形態(tài)存在的����,而在數(shù)據(jù)文件中則以密文形態(tài)存在。同時��,由于該技術(shù)的透明性���,任何合法且有權(quán)限的數(shù)據(jù)庫用戶都可以訪問和處理加密表中的數(shù)據(jù)��。
(透明數(shù)據(jù)加密技術(shù)原理)
· 適用場景
透明數(shù)據(jù)加密技術(shù)由于其自身的優(yōu)勢特性��,使其適用于幾乎全部有數(shù)據(jù)庫加密需求的應(yīng)用場景���,尤其是在對數(shù)據(jù)加密透明化有要求,或需要對數(shù)據(jù)庫超級用戶進(jìn)行數(shù)據(jù)訪問權(quán)限控制��,以及對數(shù)據(jù)加密后數(shù)據(jù)庫性能有較高要求的場景中����。
5��、文件系統(tǒng)加密
在數(shù)據(jù)庫加密技術(shù)中�,除了從前端應(yīng)用及數(shù)據(jù)庫自身角度實現(xiàn)數(shù)據(jù)庫加密外�����,基于數(shù)據(jù)庫底層依賴的文件系統(tǒng)或存儲硬件�,也可以實現(xiàn)數(shù)據(jù)庫加密。
· 技術(shù)原理
文件系統(tǒng)加密技術(shù)是在操作系統(tǒng)的文件管理子系統(tǒng)層面上對文件進(jìn)行加密��,大多是通過對與文件管理子系統(tǒng)相關(guān)的操作系統(tǒng)內(nèi)核驅(qū)動程序進(jìn)行改造實現(xiàn)的�����。不同于文件加密只對單個文件設(shè)置訪問口令�,或?qū)蝹€文件的內(nèi)容進(jìn)行加密轉(zhuǎn)換,文件系統(tǒng)加密提供了一種加密文件系統(tǒng)格式(類似于ext4����、xfs等文件系統(tǒng)格式),通過把磁盤存儲卷或其上的目錄設(shè)置為該文件加密系統(tǒng)格式�����,達(dá)到對存儲于卷或卷上目錄中文件進(jìn)行加密的目的��。文件系統(tǒng)加密技術(shù)本質(zhì)上并不是數(shù)據(jù)庫加密技術(shù)����,但可以用于對數(shù)據(jù)庫的數(shù)據(jù)文件進(jìn)行存儲層面的加密。
(文件系統(tǒng)加密技術(shù)原理)
· 適用場景
文件系統(tǒng)加密技術(shù)幾乎可以適用于任何基于文件系統(tǒng)的數(shù)據(jù)庫存儲加密需求�,尤其是原生不支持透明數(shù)據(jù)加密的數(shù)據(jù)庫系統(tǒng)和大數(shù)據(jù)數(shù)據(jù)庫系統(tǒng)。但是�����,由于文件系統(tǒng)加密技術(shù)無法提供針對數(shù)據(jù)庫用戶的增強權(quán)限控制�����,對于需要防范內(nèi)部數(shù)據(jù)庫超級用戶的場景并不適用���。
6����、磁盤加密
· 技術(shù)原理
磁盤加密技術(shù)通過對磁盤進(jìn)行加密以保障其內(nèi)部數(shù)據(jù)的安全性�����,從實現(xiàn)上有軟硬兩種方式:軟件方式的磁盤加密技術(shù),大多是通過專用的磁盤加密軟件對磁盤內(nèi)容進(jìn)行加密���,典型代表如Windows操作系統(tǒng)自帶的BitLocker�,同類型的商業(yè)軟件在國內(nèi)也有很多�,但這類軟件由于加密原理和使用方式等因素,基本上無法滿足數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)加密需求���;而硬件方式的磁盤加密技術(shù)�����,在實現(xiàn)上則有兩個思路:一種是針對單塊硬盤的磁盤加密��,一種是針對磁盤陣列或SAN存儲設(shè)備的磁盤加密����。
(硬件方式的磁盤加密技術(shù)原理)
· 適用場景
磁盤加密技術(shù)可以滿足幾乎所有的存儲加密需求���,但由于不能提供針對數(shù)據(jù)庫用戶的增強權(quán)限控制�����,無法滿足對內(nèi)部數(shù)據(jù)庫超級用戶泄露敏感數(shù)據(jù)的風(fēng)險防范需求��。
數(shù)據(jù)庫加密技術(shù)對比
安華金和數(shù)據(jù)庫加密系統(tǒng)
安華金和數(shù)據(jù)庫加密系統(tǒng)(簡稱DES)�����,是一款基于透明加密技術(shù)的數(shù)據(jù)庫安全產(chǎn)品����,該產(chǎn)品能夠?qū)崿F(xiàn)對數(shù)據(jù)庫中敏感數(shù)據(jù)的加密存儲�、訪問控制增強、應(yīng)用訪問安全及三權(quán)分立等功能�����。
DES基于底層加密存儲與獨立權(quán)限控制兩大核心機制�,可以防止明文存儲引起的數(shù)據(jù)泄密,防止外部非法入侵竊取敏感數(shù)據(jù)��,防止來自內(nèi)部高權(quán)限用戶的數(shù)據(jù)濫用����,防止繞開合法應(yīng)用系統(tǒng)直接解密讀取數(shù)據(jù),在數(shù)據(jù)安全“最后一公里”處解決敏感數(shù)據(jù)泄露問題��。
DES可根據(jù)用戶不同場景及不同安全需求��,提供列加密、表加密�����、表空間加密等多種手段���,結(jié)合已獲專利的透明加解密及密文索引等核心技術(shù)�,具有良好的適應(yīng)性與實用性���,實現(xiàn)了數(shù)據(jù)高度安全���、應(yīng)用完全透明、密文高效訪問�����。
DES當(dāng)前支持Windows�、AIX、Linux等多個平臺����,支持Oracle、SQL Server�����、MySQL等多種國際主流數(shù)據(jù)庫以及達(dá)夢等國產(chǎn)數(shù)據(jù)庫。產(chǎn)品支持主��、從����、應(yīng)急等自身高可用模式�����,可以滿足用戶的多種部署需求�����。DES提供符合國密標(biāo)準(zhǔn)的加解密算法����,同時兼容多種國際商用算法,提供可擴展的加密設(shè)備和加密算法接口�����,可與多種加密卡及加密機對接����。
DES產(chǎn)品適用于政府���、教育、軍工�、機要、電力等各個領(lǐng)域����,同時針對國家等級保護(hù)、分級保護(hù)��、軍隊保密規(guī)定均具有很強的政策適應(yīng)性����。
產(chǎn)品咨詢:4000 258 365 
