一、數(shù)據(jù)庫加密是什么�?
數(shù)據(jù)庫加密技術(shù)屬于主動(dòng)防御機(jī)制��,可以防止明文存儲(chǔ)引起的數(shù)據(jù)泄密��、突破邊界防護(hù)的外部黑客攻擊以及來自于內(nèi)部高權(quán)限用戶的數(shù)據(jù)竊取��,從根本上解決數(shù)據(jù)庫敏感數(shù)據(jù)泄漏問題�。數(shù)據(jù)庫加密技術(shù)是數(shù)據(jù)庫安全措施中最頂級(jí)的防護(hù)手段���,也是對(duì)技術(shù)性要求最高的���,產(chǎn)品的穩(wěn)定性至關(guān)重要。
二�����、數(shù)據(jù)庫加密的方式有哪些�����?
目前���,不同場景下仍在使用的數(shù)據(jù)庫加密技術(shù)主要有:前置代理加密�、應(yīng)用系統(tǒng)加密�、文件系統(tǒng)加密����、后置代理加密���、表空間加密和磁盤加密等�,下文將對(duì)前四種數(shù)據(jù)加密技術(shù)原理進(jìn)行簡要說明�����。
1��、前置代理加密技術(shù)
該技術(shù)的思路是在數(shù)據(jù)庫之前增加一道安全代理服務(wù)��,所有訪問數(shù)據(jù)庫的行為都必須經(jīng)過該安全代理服務(wù)�,在此服務(wù)中實(shí)現(xiàn)如數(shù)據(jù)加解密�、存取控制等安全策略,安全代理服務(wù)通過數(shù)據(jù)庫的訪問接口實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)����。安全代理服務(wù)存在于客戶端應(yīng)用與數(shù)據(jù)庫存儲(chǔ)引擎之間,負(fù)責(zé)完成數(shù)據(jù)的加解密工作���,加密數(shù)據(jù)存儲(chǔ)在安全代理服務(wù)中�。
2、應(yīng)用加密技術(shù)
該技術(shù)是應(yīng)用系統(tǒng)通過加密API(JDBC,ODBC,CAPI等)對(duì)敏感數(shù)據(jù)進(jìn)行加密����,將加密數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫的底層文件中;在進(jìn)行數(shù)據(jù)檢索時(shí)���,將密文數(shù)據(jù)取回到客戶端��,再進(jìn)行解密���,應(yīng)用系統(tǒng)自行管理密鑰體系。
3�����、文件系統(tǒng)加解密技術(shù)
該技術(shù)不與數(shù)據(jù)庫自身原理融合����,只是對(duì)數(shù)據(jù)存儲(chǔ)的載體從操作系統(tǒng)或文件系統(tǒng)層面進(jìn)行加解密。這種技術(shù)通過在操作系統(tǒng)中植入具有一定入侵性的“鉤子”進(jìn)程�����,在數(shù)據(jù)存儲(chǔ)文件被打開的時(shí)候進(jìn)行解密動(dòng)作�,在數(shù)據(jù)落地的時(shí)候執(zhí)行加密動(dòng)作����,具備基礎(chǔ)加解密能力的同時(shí)�����,能夠根據(jù)操作系統(tǒng)用戶或者訪問文件的進(jìn)程ID進(jìn)行基本的訪問權(quán)限控制��。
4�、后置代理技術(shù)
該技術(shù)是使用“視圖”+“觸發(fā)器”+“擴(kuò)展索引”+“外部調(diào)用”的方式實(shí)現(xiàn)數(shù)據(jù)加密,同時(shí)保證應(yīng)用完全透明��。核心思想是充分利用數(shù)據(jù)庫自身提供的應(yīng)用定制擴(kuò)展能力����,分別使用其觸發(fā)器擴(kuò)展能力、索引擴(kuò)展能力���、自定義函數(shù)擴(kuò)展能力以及視圖等技術(shù)來滿足數(shù)據(jù)存儲(chǔ)加密,加密后數(shù)據(jù)檢索��,對(duì)應(yīng)用無縫透明等核心需求��。
三�����、數(shù)據(jù)庫加密的價(jià)值
1、在被拖庫后���,避免因明文存儲(chǔ)導(dǎo)致的數(shù)據(jù)泄露
通常情況下���,數(shù)據(jù)庫中的數(shù)據(jù)是以明文形式進(jìn)行存儲(chǔ)和使用的,一旦數(shù)據(jù)文件或備份磁帶丟失��,可能引發(fā)嚴(yán)重的數(shù)據(jù)泄露問題���;而在拖庫攻擊中�,明文存儲(chǔ)的數(shù)據(jù)對(duì)于攻擊者同樣沒有任何秘密可言——如Aul�����、MyDul等很多成熟的數(shù)據(jù)庫文件解析軟件�,均可對(duì)明文存儲(chǔ)的數(shù)據(jù)文件進(jìn)行直接分析,并輸出清晰的����、結(jié)構(gòu)化的數(shù)據(jù),從而導(dǎo)致泄密�����。
數(shù)據(jù)庫加密技術(shù)可對(duì)數(shù)據(jù)庫中存儲(chǔ)的數(shù)據(jù)在存儲(chǔ)層進(jìn)行加密�����,即使有人想對(duì)此類數(shù)據(jù)文件進(jìn)行反向解析�����,所得到的也不過是沒有任何可讀性的“亂碼”���,有效避免了因數(shù)據(jù)文件被拖庫而造成數(shù)據(jù)泄露的問題�����,從根本上保證數(shù)據(jù)的安全����。
2、對(duì)高權(quán)用戶���,防范內(nèi)部竊取數(shù)據(jù)造成數(shù)據(jù)泄露
主流商業(yè)數(shù)據(jù)庫系統(tǒng)考慮到初始化和管理的需要���,會(huì)設(shè)置以sys�����、sa或root為代表的數(shù)據(jù)庫超級(jí)用戶��。這些超級(jí)用戶天然具備數(shù)據(jù)訪問��、授權(quán)和審計(jì)的權(quán)限����,對(duì)存儲(chǔ)在數(shù)據(jù)庫中的所有數(shù)據(jù)都可以進(jìn)行無限制的訪問和處理���;而在一些大型企業(yè)和政府機(jī)構(gòu)中��,除系統(tǒng)管理員��,以數(shù)據(jù)分析員��、程序員�����、服務(wù)外包人員為代表的其他數(shù)據(jù)庫用戶���,也存在以某種形式�����、在非業(yè)務(wù)需要時(shí)訪問敏感數(shù)據(jù)的可能��。
數(shù)據(jù)庫加密技術(shù)通常可以提供獨(dú)立于數(shù)據(jù)庫系統(tǒng)自身權(quán)限控制體系之外的增強(qiáng)權(quán)控能力���,由專用的加密系統(tǒng)為數(shù)據(jù)庫中的敏感數(shù)據(jù)設(shè)置訪問權(quán)限,有效限制數(shù)據(jù)庫超級(jí)用戶或其他高權(quán)限用戶對(duì)敏感數(shù)據(jù)的訪問行為�,保障數(shù)據(jù)安全��。
四����、相關(guān)鏈接
1���、數(shù)據(jù)庫加密相關(guān)技術(shù)
? 數(shù)據(jù)庫加密的TDE技術(shù)分析
? 達(dá)夢數(shù)據(jù)庫加密體系初探
? 縱觀加密算法的技術(shù)發(fā)展路線
? 加密技術(shù)的演進(jìn)、分類與應(yīng)用
? 常見數(shù)據(jù)庫加密技術(shù)對(duì)比
2���、數(shù)據(jù)庫加密系統(tǒng)怎么選
? 四種常見數(shù)據(jù)庫加密技術(shù)分析
? 數(shù)據(jù)庫加密與文檔加密的區(qū)別和價(jià)值
? 數(shù)據(jù)庫加密市場競爭分析研究報(bào)告
? 揭秘國內(nèi)成熟的數(shù)據(jù)庫加密產(chǎn)品
? 數(shù)據(jù)庫加密產(chǎn)品的典型應(yīng)用場景
? 一分鐘教你數(shù)據(jù)庫加密產(chǎn)品怎么挑�?
產(chǎn)品咨詢:4000 258 365 
