数据库加密技术的要点分析
最近两年,信息安全产业随着斯诺登事件的爆发,从国家战略高度得到重视,大量的数据安全泄密事件,让企业与用户对此关注也越来越高。
安全攻击方法和策略在升级,传统的边界安全防御机制备受挑战,攻与防的较量之间,对决焦点直指泄密源——核心数据。
对于一家组织机构的核心数据往往存于传统安全防护手段难以从根本防护的数据库存储层。
入侵者或直接采取行动从外部入侵数据库主机,或利用职权之便从内部窃取数据,从而将不设防或边界网关设防的数据库存储数据整库窃走。
这种对于窃取者而言屡试不爽行为的方式背后,围绕数据库安全的行之有效的加密保护技术呼之欲出,从根本拯救数据库安全。
对数据库存储层核心数据进行加密,可以解决库内明文存储引发的信息泄露风险,也能解决数据库高权限用户不受控制的现状。
但是数据库加密这项技术要想形成真正让用户既安全又安心的产品,以下几个核心技术是用户选择该类产品的关键。
数据库列级加密策略配置
在敏感系统的后台数据库中,真正需要加密存储的内容其实占据整个数据库信息的少部分,如用户身份认证信息,账户资金等,成熟的数据库加密技术可以将加密粒度控制在列级,只选择最核心列的内容进行加密,既能保证核心数据的安全性,又能避免整库加密方式造成的严重性能损耗。
现在市场上比较成熟的数据库加密产品,如安华金和的数据库保险箱(DBCoffer)即采用以列为单位进行数据库加解密的技术,能全面应对如number、varchar、date、lob等数据类型,做到用较小的代价保护用户最核心的敏感数据。
数据库运维三权分立
有些数据库自身具有加密模块,如Oracle数据库。
但是这些模块的配置和权限掌握在DBA手中,这对于用户来说就像只锁上保险柜而不管理钥匙,从根本上无法解决内部高权限用户进行主动窃取数据或者误操作批量删除、修改数据,从而引发数据库安全问题。
安华金和数据库保险箱(DBCoffer)引入安全管理员和审计管理员,与数据库管理员DBA多个身份账户,并对数据库加密列的访问权限进行有效管控,,三个角色之间相互协作,各司其责,确保数据库核心数据的使用根本上安全合规。
数据库透明加解密
如果说应用防火墙或者堡垒机等传统安全产品对数据库的防护是药物治疗的话,那么对数据库存储层进行加密无异于给数据库做了一台精密手术。
大动筋骨”后加密存储的数据库内数据存储安全性自然得到了提升。
但是如果“术“后将会对用户的行动产生影响,即用户访问数据库内数据方式产生影响,需要应用的SQ L语句做出针对性调整,或者使用特殊的API连接数据库,甚至使运维侧的数据迁移等脚本全部重写,这说明医生的医术并不精湛,反而给患者留下后遗症。
成熟的数据库加密产品,不仅能够对数据库提供安全防护,同时还会将数据加密后对数据库使用方面的性能影响降至最低,不影响用户的正常使用。
在透明性这点上,安华金和的数据库保险箱(DBCoffer)拥有自主研发的国家级专利技术,通过数据库多级透明视图技术,保障数据加密后应用程序无需改造,运维侧无需改造,依然可以做到不影响到数据库的各项依赖和函数关系,不影响到数据库的高端特性如RAC等,让用户能够毫不费力的享受数据安全。
数据库加解密及密文检索性能
衡量数据库加密技术的另一项重要指标是性能影响,试想一下:用户对加密后的数据进行检索,响应时间却变成了加密前的几倍甚至几十倍,那么这种所谓的“安全”显然是用户不能承受之慢。
成熟的数据库加解密技术,必须在安全性和性能上做出良好的权衡,既能有效保护数据,又能不影响用户体验,将性能影响控制在用户可接受的范围之内。
这种性能不仅指将明文数据加密为密文数据,或是将密文数据解密还原的速度,更重要的是,对密文形态的数据进行查询检索,看数据库是否依然能保持高效访问。
安华金和数据库保险箱(DBCoffer)在性能方面具备密文索引”国家专利技术,通过对数据库索引机制的扩展,可以保证对密文数据的检索性能比数据库自身索引性能下降幅度在8%以内。
同时,产品内部的高效数据加解密引擎,可以确保将百万级的数据变成密文,耗时仅用一百秒,真正做到既保证了安全性,又保证了性能基本无损。
支持国产数据库加密算法
好的数据库加解密产品不仅要兼容主流算法如AES,DES等,也要能对国密办制定的国密算法进行兼容,这不仅是政策的要求,更是数据安全在国产化领域必须实现的技术方向。
安华金和数据库保险箱(DBCoffer)已经能够支持多家国产化加密设备厂商的加密卡及加密机,能够兼容SM1、SM4国产加密算法,实现对国产化的技术支持,从自主可控角度实现数据使用安全。
安全、易用、高效,是成熟的数据库加密技术必须具备的三个要素,也是数据库加密产品必须确保的技术能力。
安华金和数据库加密技术研发团队正是以这
三点为产品基石,在数据库加密技术领域不断探索和技术创新,为实现“让数据使用更安全”的伟大远景而不懈努力。