近年來����,伴隨數(shù)據(jù)泄露事件頻發(fā),人們對于數(shù)據(jù)庫安全的重視程度與日俱增�����。在政府�����、機關(guān)部委�、金融、能源等行業(yè)的信息安全建設(shè)中��,數(shù)據(jù)庫審計���、數(shù)據(jù)庫防火墻等安全設(shè)備紛紛被定義為“必需品”�����,然而部署于網(wǎng)絡(luò)層的安全設(shè)備終究鞭長莫及����,面對來自存儲層的數(shù)據(jù)文件泄密����,依然無能為力����。
在對數(shù)據(jù)庫的縱深安全防護體系中�����,存儲層加密作為數(shù)據(jù)庫“底線防守”的最有效手段����,從存儲層對敏感數(shù)據(jù)進行有效加密保護��。這樣����,從根本上解決了諸如數(shù)據(jù)文件竊取、高權(quán)限特權(quán)用戶直接登錄數(shù)據(jù)庫主機批量檢索篡改數(shù)據(jù)等安全問題�。
目前大多數(shù)數(shù)據(jù)在內(nèi)部存儲是以明文方式存儲的,這種情況下�����,一旦數(shù)據(jù)被有意無意的帶出內(nèi)部環(huán)境����,將面臨泄密風(fēng)險�����;另一方面���,內(nèi)部高權(quán)限用戶對于數(shù)據(jù)的訪問權(quán)限過高,同樣存在數(shù)據(jù)被惡意利用的風(fēng)險����。
在數(shù)據(jù)安全治理體系中針對這種情況,建議建立數(shù)據(jù)加密機制����,將重要數(shù)據(jù)在數(shù)據(jù)庫中進行加密方式存儲,無論受到外部攻擊導(dǎo)致“拖庫”����,還是內(nèi)部人員惡意攜帶數(shù)據(jù)文件,在未得到授權(quán)的情況下 都無法對數(shù)據(jù)內(nèi)容進行提取或破解����。
數(shù)據(jù)內(nèi)部存儲安全
數(shù)據(jù)加密技術(shù)中的加密算法既要支持我國密碼管理機構(gòu)認定的加密算法,也要支持國際先進的密碼算法。需要支持對數(shù)據(jù)庫指定列或表進行加密����,保證敏感數(shù)據(jù)以密文形式存儲的同時兼顧性能不受大的影響,從而實現(xiàn)數(shù)據(jù)存儲層的安全加固�����。
數(shù)據(jù)存儲加密技術(shù)還需要支持透明加密解密�����,以保障用戶的加密成本最小化和執(zhí)行效率最大化���。透明的數(shù)據(jù)加密有兩層含義:一是對應(yīng)用系統(tǒng)透明,即用戶或開發(fā)商無需對應(yīng)用系統(tǒng)進行任何改造���;二是對有密文訪問權(quán)限的用戶顯示明文數(shù)據(jù)��,且加���、解密過程對用戶完全透明。
數(shù)據(jù)存儲加密技術(shù)還需要支持三權(quán)分立��,這在我國的等保規(guī)定中是有明確要求的。對于常規(guī)數(shù)據(jù)庫管理賬戶要求增設(shè)數(shù)據(jù)安全管理員(DSA;Data Security Administrator)���。DSA和DBA相互獨立���,共同實現(xiàn)對敏感字段的存取控制,實現(xiàn)責(zé)權(quán)一致�。DBA實現(xiàn)對普通字段一般性訪問權(quán)限控制,DSA實現(xiàn)對敏感字段的加密脫密處理和密文訪問權(quán)限控制�����。該功能需要在數(shù)據(jù)加密存儲的基礎(chǔ)上���,實現(xiàn)密文訪問權(quán)限體系�,對數(shù)據(jù)庫用戶進行強制訪問控制��,有效防止特權(quán)用戶對敏感數(shù)據(jù)的非法訪問�����。
數(shù)據(jù)庫加密技術(shù)作為數(shù)據(jù)庫安全的最后一道鐵閘��,其自身的安全性和容災(zāi)機制應(yīng)該具有充分的保障�,能夠具備與數(shù)據(jù)庫的數(shù)據(jù)集成存儲、RAC支持、雙機熱備��、應(yīng)急模式�����、多進程冗余��、透明故障切換�����、數(shù)據(jù)錯誤忽略�����、備份恢復(fù)等技術(shù)���,從而提供與數(shù)據(jù)庫相當(dāng)?shù)母呖捎弥С趾彤惓9收咸幚砟芰Γ褂脩舾械郊劝踩���,又安心��,加密后的整套?shù)據(jù)庫環(huán)境仍然可以安全高效的運行����。
產(chǎn)品咨詢:4000 258 365 
