近年來，人們對信息安全的重視程度逐漸增加，然而仍然有大量的信息泄密事件呈井噴狀，不斷闖入大眾視線。這些事件所涉及的泄密源，往往是傳統(tǒng)安全防護手段難以涵蓋的數據庫存儲層面。入侵者或利用職權之便，或直接采取行動入侵數據庫主機，從而將不設防的數據庫存儲文件整體竊走并還原。這種簡單粗暴卻屢屢見效的方式背后，隱含的重大安全需求便是——數據庫安全，用戶需要有效的加密技術作為存儲層防護手段。 

對數據庫存儲層進行加密，可以解決明文存儲引發(fā)的信息泄露風險，但是數據庫加密這項技術要想形成真正讓用戶既安全又安心的產品，以下幾個問題是必須引起重視的。 

合理選擇加密內容并控制訪問權限 

用戶存儲在數據庫中的數據，并不是所有內容都非常敏感，都需要加密存儲。在應用系統(tǒng)的后臺數據庫中，真正需要加密保存的如用戶身份，資產賬務等等，往往在整體數據中所占比例甚微，這些信息分散在若干表的不同字段上，如果沒有一種有效的手段可以僅針對這些數據做加密，而是要對全部數據加密，不僅會造成額外的性能開銷，還使得數據庫維護難度陡增。成熟的數據庫加密技術可以有選擇的按列設置加密內容，并且為數據庫用戶授予加密字段的不同讀寫權限。918搏天堂的數據庫加解密產品DBCoffer不僅支持以列為單位進行數據庫加解密，還可以對加密列配置獨立于數據庫權限體系的讀寫權限，做到用較小的代價保護用戶最核心的敏感數據。 

透明加解密 

如果說防火墻或者堡壘機對數據庫的防護是給數據庫穿上“防彈衣”，那么對數據庫存儲層進行加密無異于給數據庫做了一臺精密手術。這些“大動筋骨”后加密存儲的數據安全性自然得到了提升，但是如果使得用戶訪問這些數據的方式產生影響，動輒需要應用的SQL語句做出針對性調整，或者使用特殊的API連接數據庫，而運維側的數據遷移等腳本全部重寫，未免得不償失。成熟的數據庫加密產品，不僅能夠對數據提供安全防護，同時還會將這種加密對數據庫使用方面造成的影響降至最低，不影響用戶的正常使用。在透明性這點上，918搏天堂的DBCoffer產品擁有自主研發(fā)的國家級專利，通過透明視圖技術，可以保障加密后應用程序無需改造，運維側無需改造，而且不會影響到數據庫的各項依賴和函數關系，同時不會影響到數據庫的高端特性如RAC等。 

加解密及密文檢索性能 

數據庫加密技術的另一重要指標無疑就是性能，試想一下用戶對加密后的數據進行檢索，響應時間卻變成了加密前的幾倍甚至幾十倍，那這種所謂的“安全”對于用戶來說，顯然是不能承受之慢。成熟的數據庫加解密技術，必須在安全性和性能上做出良好的權衡，既能有效保護數據，又能不影響用戶體驗，使得性能下降在可接受的范圍之內。這種性能不僅指的將明文數據加密為密文數據，或是將密文數據解密還原的速度，更重要的是，對密文形態(tài)的數據進行查詢檢索，是否依然能保持數據庫索引技術帶來的高效訪問特性。918搏天堂的DBCoffer產品在性能方面具有國家級專利“密文索引”，通過對數據庫索引機制的擴展，可以保證對密文數據的檢索性能比數據庫自身索引下降在8%以內。同時，產品內部的高效數據加解密引擎，可以確保將百萬級的數據變成密文，耗時僅用兩分鐘，真正做到既保證了安全性，又保證了性能基本無損。 

安全、易用、高效，是成熟的數據庫加解密技術必須具備的三大特點，也是數據庫加解密產品必須確保的基本能力。918搏天堂數據庫加解密產品團隊正是以這三點為產品基石，以更安全、更易用和更高效為努力目標，在數據庫加密技術領域不斷進行探索和技術創(chuàng)新，為用戶的數據安全貢獻自己的力量。