一、數(shù)據(jù)庫加密是什么�����?
數(shù)據(jù)庫加密技術(shù)屬于主動防御機制,可以防止明文存儲引起的數(shù)據(jù)泄密���、突破邊界防護的外部黑客攻擊以及來自于內(nèi)部高權(quán)限用戶的數(shù)據(jù)竊取,從根本上解決數(shù)據(jù)庫敏感數(shù)據(jù)泄漏問題����。數(shù)據(jù)庫加密技術(shù)是數(shù)據(jù)庫安全措施中最頂級的防護手段�,也是對技術(shù)性要求最高的�,產(chǎn)品的穩(wěn)定性至關(guān)重要���。
二����、數(shù)據(jù)庫加密的方式有哪些?
目前�����,不同場景下仍在使用的數(shù)據(jù)庫加密技術(shù)主要有:前置代理加密���、應(yīng)用系統(tǒng)加密、文件系統(tǒng)加密����、后置代理加密、表空間加密和磁盤加密等�,下文將對前四種數(shù)據(jù)加密技術(shù)原理進行簡要說明。
1����、前置代理加密技術(shù)
該技術(shù)的思路是在數(shù)據(jù)庫之前增加一道安全代理服務(wù),所有訪問數(shù)據(jù)庫的行為都必須經(jīng)過該安全代理服務(wù)��,在此服務(wù)中實現(xiàn)如數(shù)據(jù)加解密��、存取控制等安全策略�,安全代理服務(wù)通過數(shù)據(jù)庫的訪問接口實現(xiàn)數(shù)據(jù)存儲����。安全代理服務(wù)存在于客戶端應(yīng)用與數(shù)據(jù)庫存儲引擎之間�,負(fù)責(zé)完成數(shù)據(jù)的加解密工作�,加密數(shù)據(jù)存儲在安全代理服務(wù)中���。
2�����、應(yīng)用加密技術(shù)
該技術(shù)是應(yīng)用系統(tǒng)通過加密API(JDBC,ODBC,CAPI等)對敏感數(shù)據(jù)進行加密,將加密數(shù)據(jù)存儲到數(shù)據(jù)庫的底層文件中�;在進行數(shù)據(jù)檢索時���,將密文數(shù)據(jù)取回到客戶端,再進行解密�����,應(yīng)用系統(tǒng)自行管理密鑰體系。
3����、文件系統(tǒng)加解密技術(shù)
該技術(shù)不與數(shù)據(jù)庫自身原理融合,只是對數(shù)據(jù)存儲的載體從操作系統(tǒng)或文件系統(tǒng)層面進行加解密���。這種技術(shù)通過在操作系統(tǒng)中植入具有一定入侵性的“鉤子”進程�,在數(shù)據(jù)存儲文件被打開的時候進行解密動作,在數(shù)據(jù)落地的時候執(zhí)行加密動作���,具備基礎(chǔ)加解密能力的同時,能夠根據(jù)操作系統(tǒng)用戶或者訪問文件的進程ID進行基本的訪問權(quán)限控制��。
4��、后置代理技術(shù)
該技術(shù)是使用“視圖”+“觸發(fā)器”+“擴展索引”+“外部調(diào)用”的方式實現(xiàn)數(shù)據(jù)加密�����,同時保證應(yīng)用完全透明。核心思想是充分利用數(shù)據(jù)庫自身提供的應(yīng)用定制擴展能力���,分別使用其觸發(fā)器擴展能力�、索引擴展能力��、自定義函數(shù)擴展能力以及視圖等技術(shù)來滿足數(shù)據(jù)存儲加密�����,加密后數(shù)據(jù)檢索,對應(yīng)用無縫透明等核心需求���。
三、數(shù)據(jù)庫加密的價值
1�、在被拖庫后����,避免因明文存儲導(dǎo)致的數(shù)據(jù)泄露
通常情況下�,數(shù)據(jù)庫中的數(shù)據(jù)是以明文形式進行存儲和使用的,一旦數(shù)據(jù)文件或備份磁帶丟失���,可能引發(fā)嚴(yán)重的數(shù)據(jù)泄露問題;而在拖庫攻擊中��,明文存儲的數(shù)據(jù)對于攻擊者同樣沒有任何秘密可言——如Aul����、MyDul等很多成熟的數(shù)據(jù)庫文件解析軟件��,均可對明文存儲的數(shù)據(jù)文件進行直接分析���,并輸出清晰的、結(jié)構(gòu)化的數(shù)據(jù)��,從而導(dǎo)致泄密��。
數(shù)據(jù)庫加密技術(shù)可對數(shù)據(jù)庫中存儲的數(shù)據(jù)在存儲層進行加密�,即使有人想對此類數(shù)據(jù)文件進行反向解析����,所得到的也不過是沒有任何可讀性的“亂碼”�����,有效避免了因數(shù)據(jù)文件被拖庫而造成數(shù)據(jù)泄露的問題,從根本上保證數(shù)據(jù)的安全�����。
2����、對高權(quán)用戶���,防范內(nèi)部竊取數(shù)據(jù)造成數(shù)據(jù)泄露
主流商業(yè)數(shù)據(jù)庫系統(tǒng)考慮到初始化和管理的需要����,會設(shè)置以sys���、sa或root為代表的數(shù)據(jù)庫超級用戶���。這些超級用戶天然具備數(shù)據(jù)訪問��、授權(quán)和審計的權(quán)限�,對存儲在數(shù)據(jù)庫中的所有數(shù)據(jù)都可以進行無限制的訪問和處理;而在一些大型企業(yè)和政府機構(gòu)中�����,除系統(tǒng)管理員�����,以數(shù)據(jù)分析員�����、程序員、服務(wù)外包人員為代表的其他數(shù)據(jù)庫用戶���,也存在以某種形式、在非業(yè)務(wù)需要時訪問敏感數(shù)據(jù)的可能�����。
數(shù)據(jù)庫加密技術(shù)通??梢蕴峁┆毩⒂跀?shù)據(jù)庫系統(tǒng)自身權(quán)限控制體系之外的增強權(quán)控能力���,由專用的加密系統(tǒng)為數(shù)據(jù)庫中的敏感數(shù)據(jù)設(shè)置訪問權(quán)限����,有效限制數(shù)據(jù)庫超級用戶或其他高權(quán)限用戶對敏感數(shù)據(jù)的訪問行為,保障數(shù)據(jù)安全�。
四�、相關(guān)鏈接
1���、數(shù)據(jù)庫加密相關(guān)技術(shù)
? 數(shù)據(jù)庫加密的TDE技術(shù)分析
? 達夢數(shù)據(jù)庫加密體系初探
? 縱觀加密算法的技術(shù)發(fā)展路線
? 加密技術(shù)的演進���、分類與應(yīng)用
? 常見數(shù)據(jù)庫加密技術(shù)對比
2、數(shù)據(jù)庫加密系統(tǒng)怎么選
? 四種常見數(shù)據(jù)庫加密技術(shù)分析
? 數(shù)據(jù)庫加密與文檔加密的區(qū)別和價值
? 數(shù)據(jù)庫加密市場競爭分析研究報告
? 揭秘國內(nèi)成熟的數(shù)據(jù)庫加密產(chǎn)品
? 數(shù)據(jù)庫加密產(chǎn)品的典型應(yīng)用場景
? 一分鐘教你數(shù)據(jù)庫加密產(chǎn)品怎么挑?
產(chǎn)品咨詢:4000 258 365 
