企業(yè)應選擇和部署企業(yè)數(shù)據(jù)庫加密策略
現(xiàn)在大部分研究主要集中在數(shù)據(jù)庫基礎設施安全。
現(xiàn)在大部分研究主要集中在數(shù)據(jù)庫基礎設施安全,也就是存儲、管理和服務數(shù)據(jù)的引擎。但我們常常忘了,攻擊者的目標是數(shù)據(jù)。事實上,企業(yè)應該更多地專注于保護數(shù)據(jù),而不是擔心數(shù)據(jù)庫系統(tǒng)。
當你聽到“數(shù)據(jù)庫加密”時,你會想到什么?加密靜態(tài)數(shù)據(jù)?也許你想到加密的數(shù)據(jù)庫備份,或者對數(shù)據(jù)庫的互聯(lián)網(wǎng)連接。事實上,數(shù)據(jù)庫加密包括所有這些因素。從安全性、成本和性能方面來看,數(shù)據(jù)庫加密有一些不同的類型。
應用層加密
正如它的名字所暗示的,應用層加密是由使用數(shù)據(jù)庫來存儲信息的應用程序來執(zhí)行。應用程序開發(fā)人員通常在發(fā)送數(shù)據(jù)到數(shù)據(jù)庫之前,會利用第三方加密庫來加密數(shù)據(jù),當從數(shù)據(jù)庫中讀取數(shù)據(jù)時再進行解密。
這種加密方法有幾個有點,數(shù)據(jù)和加密密鑰不是存儲在數(shù)據(jù)庫,這樣,平臺或者數(shù)據(jù)庫管理員都不能訪問它們。此外,應用程序開發(fā)人員來決定加密的數(shù)據(jù),以及細粒度的水平。
不過,這種方法也存在缺點:很難將應用層的加密調整用于傳統(tǒng)應用程序;每個讀取和寫入操作(SQL查詢)的數(shù)據(jù)庫必須使用加密,這需要巨大的成本來開發(fā)和測試。此外,對于加密的數(shù)據(jù),企業(yè)不能使用一些數(shù)據(jù)庫功能,例如索引。由于加密輸出是隨機的,加密數(shù)據(jù)元素的排序也將是隨機的。
最后,加密的數(shù)據(jù)通常是二進制格式,這意味著表格必須重構為接受二進制,而不是傳統(tǒng)的文本、數(shù)據(jù)或貨幣數(shù)值。總之,應用層加密提供最高的安全性,同時需要付出最高的成本和部署時間。
本地數(shù)據(jù)庫對象加密
所有主流關系型數(shù)據(jù)庫供應商都會提供一種或者多種類型的加密,首先,我們稱之為“本地數(shù)據(jù)庫對象加密”,因為加密引擎位于數(shù)據(jù)庫內部。加密屬于數(shù)據(jù)庫代碼的一部分,你可以將其配置為保護特定的數(shù)據(jù)庫對象(例如表格和模式)。密鑰保存在數(shù)據(jù)庫內部,在系統(tǒng)表格中,這樣當重新啟動時,它們也可以訪問到數(shù)據(jù)庫。
本地對象加密的優(yōu)勢是,它是完全自足的加密方法。這種方法對于媒體加密很有效,因為在復制到存儲驅動器或磁帶備份之前,數(shù)據(jù)已經(jīng)被加密了。
當你聽到“數(shù)據(jù)庫加密”時,你會想到什么?加密靜態(tài)數(shù)據(jù)?也許你想到加密的數(shù)據(jù)庫備份,或者對數(shù)據(jù)庫的互聯(lián)網(wǎng)連接。事實上,數(shù)據(jù)庫加密包括所有這些因素。從安全性、成本和性能方面來看,數(shù)據(jù)庫加密有一些不同的類型。
應用層加密
正如它的名字所暗示的,應用層加密是由使用數(shù)據(jù)庫來存儲信息的應用程序來執(zhí)行。應用程序開發(fā)人員通常在發(fā)送數(shù)據(jù)到數(shù)據(jù)庫之前,會利用第三方加密庫來加密數(shù)據(jù),當從數(shù)據(jù)庫中讀取數(shù)據(jù)時再進行解密。
這種加密方法有幾個有點,數(shù)據(jù)和加密密鑰不是存儲在數(shù)據(jù)庫,這樣,平臺或者數(shù)據(jù)庫管理員都不能訪問它們。此外,應用程序開發(fā)人員來決定加密的數(shù)據(jù),以及細粒度的水平。
不過,這種方法也存在缺點:很難將應用層的加密調整用于傳統(tǒng)應用程序;每個讀取和寫入操作(SQL查詢)的數(shù)據(jù)庫必須使用加密,這需要巨大的成本來開發(fā)和測試。此外,對于加密的數(shù)據(jù),企業(yè)不能使用一些數(shù)據(jù)庫功能,例如索引。由于加密輸出是隨機的,加密數(shù)據(jù)元素的排序也將是隨機的。
最后,加密的數(shù)據(jù)通常是二進制格式,這意味著表格必須重構為接受二進制,而不是傳統(tǒng)的文本、數(shù)據(jù)或貨幣數(shù)值。總之,應用層加密提供最高的安全性,同時需要付出最高的成本和部署時間。
本地數(shù)據(jù)庫對象加密
所有主流關系型數(shù)據(jù)庫供應商都會提供一種或者多種類型的加密,首先,我們稱之為“本地數(shù)據(jù)庫對象加密”,因為加密引擎位于數(shù)據(jù)庫內部。加密屬于數(shù)據(jù)庫代碼的一部分,你可以將其配置為保護特定的數(shù)據(jù)庫對象(例如表格和模式)。密鑰保存在數(shù)據(jù)庫內部,在系統(tǒng)表格中,這樣當重新啟動時,它們也可以訪問到數(shù)據(jù)庫。
本地對象加密的優(yōu)勢是,它是完全自足的加密方法。這種方法對于媒體加密很有效,因為在復制到存儲驅動器或磁帶備份之前,數(shù)據(jù)已經(jīng)被加密了。
責任編輯:和碩涵
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創(chuàng)性以及文中陳述文字和內容未經(jīng)本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
發(fā)電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡何以可能
2017-02-24網(wǎng)絡
