其他
数据库加密技术的演进与对比
数据是信息系统的核心资产,政府机关、企事业单位80%的核心信息是以结构化形式存储在数据库中的。数据库作为核心资产的载体,一旦发生数据泄露将造成严重危害和损失。作为信息安全防护的“最后一公里”,数据库安全的重要性已被越来越多的政府部门和企业所关注和重视。虽然数据库外围的安全防护措施能够在很大程度上防止针对数据库系统的攻击,但“核心数据安全”容不得半点差错。正因如此,数据库加密技术成为了数据库安全防护的最后防线,以确保数据库系统即便被攻陷,存储在数据库中的核心数据仍将得到保护。
1
避免因明文存储导致数据泄露
数据库加密技术可对数据库中存储的数据在存储层进行加密,即使有人想对此类数据文件进行反向解析,所得到的也不过是没有任何可读性的“乱码”,有效避免了因数据文件被拖库而造成数据泄露的问题,从根本上保证数据的安全。
2
防范内部高权限用户窃取数据
数据库加密技术通常可以提供独立于数据库系统自身权限控制体系之外的增强权控能力,由专用的加密系统为数据库中的敏感数据设置访问权限,有效限制数据库超级用户或其他高权限用户对敏感数据的访问行为,保障数据安全。
数据库加密技术的演进
(数据库加密层次)
1
应用系统加密
(应用系统加密技术原理)
比如,仅对业务系统中与员工薪资相关的敏感数据进行加密保护。在实际业务中,薪资信息作为员工信息的一个子部分,在数据库中通常以独立表的形式存在,与员工基础信息、教育信息、履历信息等共同构成员工信息子系统;同时,薪资信息通常只在员工薪酬模块或子系统中使用,与其它业务模块相关性不高,一般也不会在其它业务模块中被引用。
2
前置代理加密
(前置代理加密技术原理)
3
后置代理加密
· 技术原理后置代理加密技术是基于数据库自身能力的一种加密技术,可充分利用数据库自身提供的定制扩展能力实现数据的存储加密、加密后数据检索和应用透明等目标。其中,能够完美实现后置代理加密的典型代表是Oracle数据库——通过“视图+触发器+扩展索引+外部方法调用”的方式实现数据加密,同时保证应用的完全透明。
(后置代理加密技术原理)
4
透明数据加密
· 技术原理透明数据加密,全称为Transparent Data Encryption(TDE),是一种对应用系统完全透明的数据库端存储加密技术,通常由数据库厂商在数据库引擎中实现——在数据库引擎的存储管理层增加一个数据处理过程,当数据由数据库共享内存写入到数据文件时对其进行加密;当数据由数据文件读取到数据库共享内存时对其进行解密。也就是说,数据在数据库共享内存中是以明文形态存在的,而在数据文件中则以密文形态存在。同时,由于该技术的透明性,任何合法且有权限的数据库用户都可以访问和处理加密表中的数据。
(透明数据加密技术原理)
5
文件系统加密
· 技术原理文件系统加密技术是在操作系统的文件管理子系统层面上对文件进行加密,大多是通过对与文件管理子系统相关的操作系统内核驱动程序进行改造实现的。不同于文件加密只对单个文件设置访问口令,或对单个文件的内容进行加密转换,文件系统加密提供了一种加密文件系统格式(类似于ext4、xfs等文件系统格式),通过把磁盘存储卷或其上的目录设置为该文件加密系统格式,达到对存储于卷或卷上目录中文件进行加密的目的。文件系统加密技术本质上并不是数据库加密技术,但可以用于对数据库的数据文件进行存储层面的加密。
(文件系统加密技术原理)
6
磁盘加密
(硬件方式的磁盘加密技术原理)
数据库加密技术对比
安华金和数据库加密系统
DES基于底层加密存储与独立权限控制两大核心机制,可以防止明文存储引起的数据泄密,防止外部非法入侵窃取敏感数据,防止来自内部高权限用户的数据滥用,防止绕开合法应用系统直接解密读取数据,在数据安全“最后一公里”处解决敏感数据泄露问题。
DES可根据用户不同场景及不同安全需求,提供列加密、表加密、表空间加密等多种手段,结合已获专利的透明加解密及密文索引等核心技术,具有良好的适应性与实用性,实现了数据高度安全、应用完全透明、密文高效访问。
DES当前支持Windows、AIX、Linux等多个平台,支持Oracle、SQL Server、MySQL等多种国际主流数据库以及达梦等国产数据库。产品支持主、从、应急等自身高可用模式,可以满足用户的多种部署需求。DES提供符合国密标准的加解密算法,同时兼容多种国际商用算法,提供可扩展的加密设备和加密算法接口,可与多种加密卡及加密机对接。
DES产品适用于政府、教育、军工、机要、电力等各个领域,同时针对国家等级保护、分级保护、军队保密规定均具有很强的政策适应性。