日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

前言

網(wǎng)站設(shè)計(jì)制作過(guò)程拒絕使用模板建站；使用PHP+MYSQL原生開(kāi)發(fā)可交付網(wǎng)站源代碼;符合網(wǎng)站優(yōu)化排名的后臺(tái)管理系統(tǒng)；成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)收費(fèi)合理；免費(fèi)進(jìn)行網(wǎng)站備案等企業(yè)網(wǎng)站建設(shè)一條龍服務(wù).我們是一家持續(xù)穩(wěn)定運(yùn)營(yíng)了十年的創(chuàng)新互聯(lián)建站網(wǎng)站建設(shè)公司。

數(shù)據(jù)庫(kù)是所有信息系統(tǒng)的核心，數(shù)據(jù)庫(kù)的安全通常是指其中所存數(shù)據(jù)的安全，是網(wǎng)絡(luò)安全、信息安全的重要組成部分。而對(duì)數(shù)據(jù)庫(kù)中數(shù)據(jù)的加密保護(hù)，是數(shù)據(jù)庫(kù)安全的重要內(nèi)容。但是數(shù)據(jù)庫(kù)加密具有相對(duì)較高的技術(shù)門(mén)檻，對(duì)于廣大用戶、甚至是信息安全從業(yè)人員來(lái)說(shuō)都比較神秘。本文希望通過(guò)幾個(gè)相關(guān)問(wèn)題的分析，來(lái)幫助大家揭開(kāi)數(shù)據(jù)庫(kù)加密的神秘面紗。

1. 什么是數(shù)據(jù)庫(kù)加密?

數(shù)據(jù)庫(kù)加密是指將存儲(chǔ)于數(shù)據(jù)庫(kù)中的數(shù)據(jù)，尤其是敏感數(shù)據(jù)，以加密的方式進(jìn)行存儲(chǔ)。

2. 為什么要對(duì)數(shù)據(jù)庫(kù)加密?

數(shù)據(jù)是信息系統(tǒng)中最核心的資產(chǎn)，數(shù)據(jù)的丟失、破壞或泄漏，很可能會(huì)給企業(yè)帶來(lái)難以估量的損失。對(duì)敏感數(shù)據(jù)進(jìn)行加密是數(shù)據(jù)安全防護(hù)中最核心的手段之一。數(shù)據(jù)類型分兩種，一種是非結(jié)構(gòu)化數(shù)據(jù)，比如文檔和圖片，另一種是結(jié)構(gòu)化數(shù)據(jù)，比如數(shù)據(jù)庫(kù)中的數(shù)據(jù)。這兩種形態(tài)的數(shù)據(jù)都非常重要，都需要進(jìn)行加密保護(hù)。而結(jié)構(gòu)化數(shù)據(jù)，通常所承載的是非常集中且極有價(jià)值的信息，因而對(duì)其進(jìn)行加密保護(hù)尤為重要。而且，由于國(guó)內(nèi)所使用的數(shù)據(jù)庫(kù)管理系統(tǒng)大都是國(guó)外產(chǎn)品，出于安全可控的考慮，在國(guó)產(chǎn)數(shù)據(jù)庫(kù)尚不能完全取代國(guó)外產(chǎn)品的現(xiàn)階段，尤其需要一款純國(guó)產(chǎn)的數(shù)據(jù)庫(kù)加密產(chǎn)品。面對(duì)敏感數(shù)據(jù)頻繁泄漏的嚴(yán)峻現(xiàn)實(shí)，雖然加解密過(guò)程將損害數(shù)據(jù)庫(kù)的使用效率，但對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密仍是不得不為的必要防護(hù)措施。數(shù)據(jù)庫(kù)加密能夠顯著提升數(shù)據(jù)庫(kù)的安全性。加密后，數(shù)據(jù)以密文的方式存儲(chǔ)，防止了數(shù)據(jù)直接暴露，同時(shí)增強(qiáng)對(duì)加密數(shù)據(jù)的訪問(wèn)控制，大大降低了數(shù)據(jù)被泄漏和惡意破壞的風(fēng)險(xiǎn)。

3. 國(guó)內(nèi)數(shù)據(jù)庫(kù)加密產(chǎn)品經(jīng)歷了哪些階段?

國(guó)內(nèi)數(shù)據(jù)庫(kù)加密產(chǎn)品的發(fā)展可以分為三個(gè)階段：

第一個(gè)階段是摸索階段。在2003年之前，國(guó)內(nèi)的數(shù)據(jù)庫(kù)加密手段是通過(guò)反編譯國(guó)外安全數(shù)據(jù)庫(kù)系統(tǒng)完成的。國(guó)外安全版本的數(shù)據(jù)庫(kù)系統(tǒng)具有加密功能，有國(guó)內(nèi)技術(shù)人員對(duì)其進(jìn)行逆向工程，加入國(guó)產(chǎn)加密算法，即完成了“國(guó)產(chǎn)化”。該加密手段在國(guó)內(nèi)某些敏感部門(mén)曾進(jìn)行了小范圍的應(yīng)用，達(dá)到了一定的效果。但隨著數(shù)據(jù)庫(kù)安全技術(shù)的進(jìn)一步發(fā)展，目前已退出市場(chǎng)。

第二階段是國(guó)外產(chǎn)品導(dǎo)入國(guó)內(nèi)市場(chǎng)以及國(guó)產(chǎn)數(shù)據(jù)庫(kù)加密產(chǎn)品萌芽階段。從2003年開(kāi)始，幾家國(guó)外的數(shù)據(jù)庫(kù)加密產(chǎn)品廠商，為了進(jìn)入中國(guó)市場(chǎng)，將產(chǎn)品界面進(jìn)行“中國(guó)化”，經(jīng)由香港進(jìn)入國(guó)內(nèi)市場(chǎng)。但由于國(guó)家保密政策的限制，這些被偽裝成國(guó)產(chǎn)的數(shù)據(jù)庫(kù)加密產(chǎn)品并沒(méi)有在國(guó)內(nèi)數(shù)據(jù)庫(kù)安全市場(chǎng)大行其道,反而逐漸銷聲匿跡。據(jù)作者所知，國(guó)內(nèi)大概還有一兩家“國(guó)產(chǎn)化”的外國(guó)數(shù)據(jù)庫(kù)加密產(chǎn)品在市場(chǎng)銷售，但也是局限在很小的一個(gè)范圍內(nèi)，無(wú)法被國(guó)內(nèi)用戶廣泛接受。但在這一階段，逐漸有國(guó)內(nèi)科研人員開(kāi)始進(jìn)行數(shù)據(jù)庫(kù)加密技術(shù)的研究。2009年已有數(shù)據(jù)庫(kù)加密技術(shù)的專利發(fā)明出現(xiàn)。其中北京理工大學(xué)戴林副教授的“一種支持密文索引的數(shù)據(jù)庫(kù)透明加密方法”被學(xué)術(shù)界認(rèn)為是國(guó)內(nèi)數(shù)據(jù)庫(kù)加密技術(shù)研究中最早最重要的一個(gè)專利發(fā)明。隨后，國(guó)內(nèi)陸續(xù)有研發(fā)團(tuán)隊(duì)開(kāi)始進(jìn)行數(shù)據(jù)庫(kù)加密產(chǎn)品的開(kāi)發(fā)，雖說(shuō)與國(guó)外頂級(jí)技術(shù)有不小差距，但畢竟是邁出了非常重要的第一步。

第三個(gè)階段是國(guó)產(chǎn)數(shù)據(jù)庫(kù)加密技術(shù)逐步產(chǎn)品化并走向市場(chǎng)的階段。從2010年開(kāi)始，隨著科研成果的產(chǎn)業(yè)化，國(guó)內(nèi)市場(chǎng)開(kāi)始出現(xiàn)純國(guó)產(chǎn)的數(shù)據(jù)庫(kù)加密產(chǎn)品。經(jīng)過(guò)市場(chǎng)的磨練，產(chǎn)品越來(lái)越成熟，越來(lái)越為數(shù)據(jù)庫(kù)安全運(yùn)維人員所接受。不難預(yù)見(jiàn)，假以時(shí)日，數(shù)據(jù)庫(kù)加密產(chǎn)品將成為數(shù)據(jù)庫(kù)安全市場(chǎng)的重要力量，甚至能取代數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品和數(shù)據(jù)庫(kù)防火墻產(chǎn)品的市場(chǎng)地位，成為數(shù)據(jù)庫(kù)安全市場(chǎng)的寵兒。

4. 何為數(shù)據(jù)庫(kù)透明加密?

數(shù)據(jù)庫(kù)透明加密是指對(duì)庫(kù)內(nèi)數(shù)據(jù)的加密和解密，對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)程序是完全無(wú)感知的。特別是應(yīng)用系統(tǒng)，不需要做任何修改和編譯，就能夠直接應(yīng)用到加密庫(kù)上。

與透明加密相對(duì)應(yīng)的，是在應(yīng)用系統(tǒng)中對(duì)數(shù)據(jù)進(jìn)行加密，然后再存儲(chǔ)到數(shù)據(jù)庫(kù)中。需要真實(shí)數(shù)據(jù)的時(shí)候，從數(shù)據(jù)庫(kù)中讀取密文，再解密出明文。嚴(yán)格的說(shuō)，這種方式并不是數(shù)據(jù)庫(kù)加密，而是數(shù)據(jù)加密。

本文所指的數(shù)據(jù)庫(kù)加密都是指透明加密。

5. 數(shù)據(jù)庫(kù)加密實(shí)現(xiàn)方式有哪些，特性如何?

全盤(pán)加密：采用全盤(pán)加密系統(tǒng)或者存儲(chǔ)加密網(wǎng)關(guān)系統(tǒng)，將數(shù)據(jù)庫(kù)文件所在的磁盤(pán)扇區(qū)進(jìn)行加密。當(dāng)數(shù)據(jù)庫(kù)訪問(wèn)磁盤(pán)扇區(qū)的時(shí)候，對(duì)加密扇區(qū)再進(jìn)行解密。這種方式對(duì)于數(shù)據(jù)庫(kù)自身來(lái)說(shuō)是透明的，數(shù)據(jù)庫(kù)管理系統(tǒng)也感覺(jué)不到加密解密過(guò)程的存在。這種加密方式工作在存儲(chǔ)層，僅能防止磁盤(pán)丟失時(shí)敏感數(shù)據(jù)遭受泄漏。所有對(duì)磁盤(pán)具有訪問(wèn)權(quán)限的用戶都可以訪問(wèn)到真實(shí)的數(shù)據(jù)庫(kù)文件。因而，對(duì)于控制了操作系統(tǒng)的攻擊者來(lái)說(shuō)，并沒(méi)有防護(hù)能力。

文件加密：在操作系統(tǒng)文件驅(qū)動(dòng)層將數(shù)據(jù)庫(kù)的存儲(chǔ)文件經(jīng)過(guò)加密后存儲(chǔ)到磁盤(pán)上。當(dāng)數(shù)據(jù)庫(kù)訪問(wèn)存儲(chǔ)文件的時(shí)候，再進(jìn)行解密。這種方式對(duì)于數(shù)據(jù)庫(kù)自身來(lái)說(shuō)也是透明的，數(shù)據(jù)庫(kù)管理系統(tǒng)也感覺(jué)不到加密解密過(guò)程的存在。這種加密方式能防止磁盤(pán)丟失和文件被復(fù)制導(dǎo)致的敏感數(shù)據(jù)泄漏。但是，對(duì)于控制了數(shù)據(jù)庫(kù)系統(tǒng)的攻擊者來(lái)說(shuō)，文件還是開(kāi)放的，因而也沒(méi)有真正的防護(hù)能力。

數(shù)據(jù)庫(kù)自帶加密：某些數(shù)據(jù)庫(kù)自身提供了加密機(jī)制，在數(shù)據(jù)庫(kù)內(nèi)核實(shí)現(xiàn)了存儲(chǔ)的加密。這種加密方式能防止磁盤(pán)丟失和文件被復(fù)制導(dǎo)致的敏感數(shù)據(jù)泄漏。但是，對(duì)于控制了數(shù)據(jù)庫(kù)系統(tǒng)的攻擊者來(lái)說(shuō)卻是開(kāi)放的，并沒(méi)有防護(hù)能力。而且其密鑰管理通常不會(huì)對(duì)數(shù)據(jù)庫(kù)用戶開(kāi)放，安全性得不到保證，也得不到國(guó)內(nèi)相關(guān)評(píng)測(cè)機(jī)構(gòu)的認(rèn)可。

庫(kù)內(nèi)擴(kuò)展加密：通過(guò)使用視圖、觸發(fā)器、擴(kuò)展索引等機(jī)制，實(shí)現(xiàn)透明加密。由于引入了獨(dú)立于數(shù)據(jù)庫(kù)的第三方程序，通過(guò)控制加密解密的權(quán)限，增加了額外的訪問(wèn)控制。對(duì)于數(shù)據(jù)庫(kù)內(nèi)不同的用戶，也可以控制其對(duì)加密數(shù)據(jù)的訪問(wèn)。但是這種加密方式不能越過(guò)應(yīng)用系統(tǒng)，實(shí)現(xiàn)應(yīng)用系統(tǒng)用戶對(duì)敏感數(shù)據(jù)的訪問(wèn)控制。而且這種加密方式依賴于數(shù)據(jù)庫(kù)系統(tǒng)的擴(kuò)展索引機(jī)制，并不能在所有數(shù)據(jù)庫(kù)上實(shí)現(xiàn)。

數(shù)據(jù)庫(kù)加密網(wǎng)關(guān)或加密驅(qū)動(dòng)：通過(guò)對(duì)數(shù)據(jù)庫(kù)前端部署數(shù)據(jù)庫(kù)加密網(wǎng)關(guān)，或者通過(guò)擴(kuò)展數(shù)據(jù)庫(kù)訪問(wèn)驅(qū)動(dòng)(如JDBC驅(qū)動(dòng))實(shí)現(xiàn)數(shù)據(jù)庫(kù)加密。這種方式理論上能夠支持所有的數(shù)據(jù)庫(kù)，是一種通用的解決方案，且安全性更高。但是對(duì)于所有訪問(wèn)語(yǔ)句和訪問(wèn)機(jī)制卻難以全部支持，例如對(duì)于網(wǎng)關(guān)之后的存儲(chǔ)過(guò)程和觸發(fā)器都無(wú)法支持。

應(yīng)用加密網(wǎng)關(guān)：在應(yīng)用系統(tǒng)之前放置加密網(wǎng)關(guān)，進(jìn)一步將數(shù)據(jù)加密的位置提前，在數(shù)據(jù)進(jìn)入應(yīng)用系統(tǒng)之前進(jìn)行加密。這種加密方式可以控制應(yīng)用系統(tǒng)的用戶對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限，并且真實(shí)數(shù)據(jù)對(duì)所有數(shù)據(jù)庫(kù)用戶都是不可見(jiàn)的，是最安全的一種加密方式。事實(shí)上，這種加密方式與具體的數(shù)據(jù)庫(kù)無(wú)關(guān)，是對(duì)立與數(shù)據(jù)庫(kù)的。但是由于應(yīng)用系統(tǒng)的復(fù)雜性，實(shí)現(xiàn)的難度也較大。

總之，數(shù)據(jù)被加密的位置離用戶越近，安全性越高，同時(shí)實(shí)現(xiàn)的難度也越大。以上所述的幾種加密方式，數(shù)據(jù)加密的位置離用戶是逐步靠近的，防護(hù)能力也是逐步提升的。

目前國(guó)內(nèi)數(shù)據(jù)庫(kù)安全市場(chǎng)主流的數(shù)據(jù)庫(kù)加密方式是庫(kù)內(nèi)擴(kuò)展加密，本文中，如果沒(méi)有特別指出，都特指這種加密方式。

6. 數(shù)據(jù)庫(kù)加密能解決哪些具體問(wèn)題?

數(shù)據(jù)庫(kù)加密能夠通過(guò)有效的解決如下問(wèn)題，來(lái)提升數(shù)據(jù)庫(kù)的安全性：

1) 防止數(shù)據(jù)庫(kù)文件被下載或者復(fù)制、以及直接分析數(shù)據(jù)文件導(dǎo)致的數(shù)據(jù)泄漏和破壞。由于敏感數(shù)據(jù)被加密，任何直接對(duì)數(shù)據(jù)庫(kù)文件進(jìn)行分析的攻擊方式，都只能看到密文。

2) 防止DBA或高權(quán)限帳號(hào)密碼泄露導(dǎo)致的數(shù)據(jù)泄漏和破壞。DBA或者高權(quán)限賬號(hào)被攻擊者獲取后，雖然攻擊者能夠得到數(shù)據(jù)庫(kù)中的全部數(shù)據(jù)，但是由于敏感數(shù)據(jù)是被加密的，所以仍然不能獲得明文?；蛘吖粽咴噲D修改授權(quán)用戶的訪問(wèn)密碼進(jìn)行身份偽造攻擊，但是加密系統(tǒng)額外的身份認(rèn)證機(jī)制能夠?qū)@種偽造身份進(jìn)行識(shí)別，致使攻擊者仍然無(wú)法獲取真實(shí)數(shù)據(jù)。

3) 部分的防止SQL注入方式拖庫(kù)泄漏全庫(kù)數(shù)據(jù)和數(shù)據(jù)破壞。SQL注入攻擊者通過(guò)拖庫(kù)獲取全部數(shù)據(jù)庫(kù)內(nèi)容，但是只能獲取到攻擊時(shí)所使用的用戶所對(duì)應(yīng)的明文權(quán)限，對(duì)于該用戶不具有權(quán)限的敏感數(shù)據(jù)，攻擊者仍然不能訪問(wèn)。

4) 實(shí)現(xiàn)多因子身份認(rèn)證和授權(quán)，彌補(bǔ)僅由口令驗(yàn)證方式安全性不足的缺陷?？梢栽黾訉?duì)應(yīng)用系統(tǒng)、時(shí)間、IP地址、用戶名等多種因子的身份認(rèn)證和授權(quán)管理。

7. 數(shù)據(jù)庫(kù)加密不能解決什么問(wèn)題?

雖然數(shù)據(jù)庫(kù)透明加密能夠顯著的提升數(shù)據(jù)庫(kù)的安全性，但是并不能解決所有的數(shù)據(jù)庫(kù)安全問(wèn)題：

1) 不能完全阻止SQL注入攻擊。SQL注入攻擊者如果使用應(yīng)用系統(tǒng)訪問(wèn)數(shù)據(jù)庫(kù)的授權(quán)用戶對(duì)數(shù)據(jù)庫(kù)發(fā)起攻擊，則能夠獲得加密系統(tǒng)對(duì)該用戶的相應(yīng)授權(quán)，能夠訪問(wèn)到該授權(quán)項(xiàng)下的敏感數(shù)據(jù)。

2) 不能完全阻止攻擊者偽造身份對(duì)數(shù)據(jù)庫(kù)的攻擊。當(dāng)攻擊者通過(guò)社交工程，完全竊取并偽造了具有對(duì)敏感數(shù)據(jù)合法訪問(wèn)權(quán)限的用戶的帳號(hào)、密碼、以及應(yīng)用系統(tǒng)、IP信息時(shí)，數(shù)據(jù)庫(kù)加密將不能對(duì)其訪問(wèn)進(jìn)行限制。

3) 不能完全阻止授權(quán)應(yīng)用系統(tǒng)后門(mén)程序?qū)?shù)據(jù)庫(kù)的違規(guī)訪問(wèn)。當(dāng)應(yīng)用系統(tǒng)被授權(quán)訪問(wèn)敏感數(shù)據(jù)，但是被開(kāi)發(fā)者留有后門(mén)時(shí)，數(shù)據(jù)庫(kù)加密系統(tǒng)并不能識(shí)別這種后門(mén)并加以阻止。

其他相關(guān)問(wèn)題，例如“如何彌補(bǔ)數(shù)據(jù)庫(kù)加密系統(tǒng)對(duì)數(shù)據(jù)庫(kù)保護(hù)的不足?”“數(shù)據(jù)庫(kù)加密的關(guān)鍵技術(shù)有哪些?”“數(shù)據(jù)庫(kù)加密系統(tǒng)的關(guān)鍵指標(biāo)有哪些?”等等，我們將在后續(xù)文章中繼續(xù)闡述。敬請(qǐng)關(guān)注。

分享標(biāo)題：關(guān)于數(shù)據(jù)庫(kù)加密，你不能不知道的秘密(一)
網(wǎng)址分享：http://m.5511xx.com/article/cddphci.html