一�����、數(shù)據(jù)庫(kù)加密是什么����?
數(shù)據(jù)庫(kù)加密技術(shù)屬于主動(dòng)防御機(jī)制,可以防止明文存儲(chǔ)引起的數(shù)據(jù)泄密�����、突破邊界防護(hù)的外部黑客攻擊以及來(lái)自于內(nèi)部高權(quán)限用戶的數(shù)據(jù)竊取��,從根本上解決數(shù)據(jù)庫(kù)敏感數(shù)據(jù)泄漏問(wèn)題��。數(shù)據(jù)庫(kù)加密技術(shù)是數(shù)據(jù)庫(kù)安全措施中最頂級(jí)的防護(hù)手段�����,也是對(duì)技術(shù)性要求最高的,產(chǎn)品的穩(wěn)定性至關(guān)重要���。
二���、數(shù)據(jù)庫(kù)加密的方式有哪些?
目前���,不同場(chǎng)景下仍在使用的數(shù)據(jù)庫(kù)加密技術(shù)主要有:前置代理加密��、應(yīng)用系統(tǒng)加密���、文件系統(tǒng)加密、后置代理加密���、表空間加密和磁盤加密等�,下文將對(duì)前四種數(shù)據(jù)加密技術(shù)原理進(jìn)行簡(jiǎn)要說(shuō)明��。
1��、前置代理加密技術(shù)
該技術(shù)的思路是在數(shù)據(jù)庫(kù)之前增加一道安全代理服務(wù),所有訪問(wèn)數(shù)據(jù)庫(kù)的行為都必須經(jīng)過(guò)該安全代理服務(wù)�,在此服務(wù)中實(shí)現(xiàn)如數(shù)據(jù)加解密、存取控制等安全策略�,安全代理服務(wù)通過(guò)數(shù)據(jù)庫(kù)的訪問(wèn)接口實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)。安全代理服務(wù)存在于客戶端應(yīng)用與數(shù)據(jù)庫(kù)存儲(chǔ)引擎之間�,負(fù)責(zé)完成數(shù)據(jù)的加解密工作,加密數(shù)據(jù)存儲(chǔ)在安全代理服務(wù)中���。
2、應(yīng)用加密技術(shù)
該技術(shù)是應(yīng)用系統(tǒng)通過(guò)加密API(JDBC,ODBC,CAPI等)對(duì)敏感數(shù)據(jù)進(jìn)行加密��,將加密數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)的底層文件中��;在進(jìn)行數(shù)據(jù)檢索時(shí)�����,將密文數(shù)據(jù)取回到客戶端��,再進(jìn)行解密����,應(yīng)用系統(tǒng)自行管理密鑰體系。
3����、文件系統(tǒng)加解密技術(shù)
該技術(shù)不與數(shù)據(jù)庫(kù)自身原理融合��,只是對(duì)數(shù)據(jù)存儲(chǔ)的載體從操作系統(tǒng)或文件系統(tǒng)層面進(jìn)行加解密�。這種技術(shù)通過(guò)在操作系統(tǒng)中植入具有一定入侵性的“鉤子”進(jìn)程�,在數(shù)據(jù)存儲(chǔ)文件被打開(kāi)的時(shí)候進(jìn)行解密動(dòng)作,在數(shù)據(jù)落地的時(shí)候執(zhí)行加密動(dòng)作�,具備基礎(chǔ)加解密能力的同時(shí),能夠根據(jù)操作系統(tǒng)用戶或者訪問(wèn)文件的進(jìn)程ID進(jìn)行基本的訪問(wèn)權(quán)限控制����。
4、后置代理技術(shù)
該技術(shù)是使用“視圖”+“觸發(fā)器”+“擴(kuò)展索引”+“外部調(diào)用”的方式實(shí)現(xiàn)數(shù)據(jù)加密����,同時(shí)保證應(yīng)用完全透明。核心思想是充分利用數(shù)據(jù)庫(kù)自身提供的應(yīng)用定制擴(kuò)展能力�,分別使用其觸發(fā)器擴(kuò)展能力、索引擴(kuò)展能力����、自定義函數(shù)擴(kuò)展能力以及視圖等技術(shù)來(lái)滿足數(shù)據(jù)存儲(chǔ)加密,加密后數(shù)據(jù)檢索���,對(duì)應(yīng)用無(wú)縫透明等核心需求����。
三、數(shù)據(jù)庫(kù)加密的價(jià)值
1����、在被拖庫(kù)后,避免因明文存儲(chǔ)導(dǎo)致的數(shù)據(jù)泄露
通常情況下�����,數(shù)據(jù)庫(kù)中的數(shù)據(jù)是以明文形式進(jìn)行存儲(chǔ)和使用的��,一旦數(shù)據(jù)文件或備份磁帶丟失�����,可能引發(fā)嚴(yán)重的數(shù)據(jù)泄露問(wèn)題����;而在拖庫(kù)攻擊中�,明文存儲(chǔ)的數(shù)據(jù)對(duì)于攻擊者同樣沒(méi)有任何秘密可言——如Aul、MyDul等很多成熟的數(shù)據(jù)庫(kù)文件解析軟件��,均可對(duì)明文存儲(chǔ)的數(shù)據(jù)文件進(jìn)行直接分析�,并輸出清晰的、結(jié)構(gòu)化的數(shù)據(jù),從而導(dǎo)致泄密�。
數(shù)據(jù)庫(kù)加密技術(shù)可對(duì)數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)在存儲(chǔ)層進(jìn)行加密,即使有人想對(duì)此類數(shù)據(jù)文件進(jìn)行反向解析���,所得到的也不過(guò)是沒(méi)有任何可讀性的“亂碼”���,有效避免了因數(shù)據(jù)文件被拖庫(kù)而造成數(shù)據(jù)泄露的問(wèn)題,從根本上保證數(shù)據(jù)的安全�。
2、對(duì)高權(quán)用戶�����,防范內(nèi)部竊取數(shù)據(jù)造成數(shù)據(jù)泄露
主流商業(yè)數(shù)據(jù)庫(kù)系統(tǒng)考慮到初始化和管理的需要��,會(huì)設(shè)置以sys�����、sa或root為代表的數(shù)據(jù)庫(kù)超級(jí)用戶�����。這些超級(jí)用戶天然具備數(shù)據(jù)訪問(wèn)�����、授權(quán)和審計(jì)的權(quán)限,對(duì)存儲(chǔ)在數(shù)據(jù)庫(kù)中的所有數(shù)據(jù)都可以進(jìn)行無(wú)限制的訪問(wèn)和處理�����;而在一些大型企業(yè)和政府機(jī)構(gòu)中�,除系統(tǒng)管理員,以數(shù)據(jù)分析員��、程序員��、服務(wù)外包人員為代表的其他數(shù)據(jù)庫(kù)用戶��,也存在以某種形式��、在非業(yè)務(wù)需要時(shí)訪問(wèn)敏感數(shù)據(jù)的可能���。
數(shù)據(jù)庫(kù)加密技術(shù)通常可以提供獨(dú)立于數(shù)據(jù)庫(kù)系統(tǒng)自身權(quán)限控制體系之外的增強(qiáng)權(quán)控能力����,由專用的加密系統(tǒng)為數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)設(shè)置訪問(wèn)權(quán)限,有效限制數(shù)據(jù)庫(kù)超級(jí)用戶或其他高權(quán)限用戶對(duì)敏感數(shù)據(jù)的訪問(wèn)行為��,保障數(shù)據(jù)安全。
四���、相關(guān)鏈接
1����、數(shù)據(jù)庫(kù)加密相關(guān)技術(shù)
? 數(shù)據(jù)庫(kù)加密的TDE技術(shù)分析
? 達(dá)夢(mèng)數(shù)據(jù)庫(kù)加密體系初探
? 縱觀加密算法的技術(shù)發(fā)展路線
? 加密技術(shù)的演進(jìn)�、分類與應(yīng)用
? 常見(jiàn)數(shù)據(jù)庫(kù)加密技術(shù)對(duì)比
2�、數(shù)據(jù)庫(kù)加密系統(tǒng)怎么選
? 四種常見(jiàn)數(shù)據(jù)庫(kù)加密技術(shù)分析
? 數(shù)據(jù)庫(kù)加密與文檔加密的區(qū)別和價(jià)值
? 數(shù)據(jù)庫(kù)加密市場(chǎng)競(jìng)爭(zhēng)分析研究報(bào)告
? 揭秘國(guó)內(nèi)成熟的數(shù)據(jù)庫(kù)加密產(chǎn)品
? 數(shù)據(jù)庫(kù)加密產(chǎn)品的典型應(yīng)用場(chǎng)景
? 一分鐘教你數(shù)據(jù)庫(kù)加密產(chǎn)品怎么挑��?
產(chǎn)品咨詢:4000 258 365 
