近年来,人们对信息安全的重视程度逐渐增加,然而仍然有大量的信息泄密事件呈井喷状,不断闯入大众视线。这些事件所涉及的泄密源,往往是传统安全防护手段难以涵盖的数据库存储层面。入侵者或利用职权之便,或直接采取行动入侵数据库主机,从而将不设防的数据库存储文件整体窃走并还原。这种简单粗暴却屡屡见效的方式背后,隐含的重大安全需求便是——数据库安全,用户需要有效的加密技术作为存储层防护手段。
对数据库存储层进行加密,可以解决明文存储引发的信息泄露风险,但是数据库加密这项技术要想形成真正让用户既安全又安心的产品,以下几个问题是必须引起重视的。
合理选择加密内容并控制访问权限
用户存储在数据库中的数据,并不是所有内容都非常敏感,都需要加密存储。在应用系统的后台数据库中,真正需要加密保存的如用户身份,资产账务等等,往往在整体数据中所占比例甚微,这些信息分散在若干表的不同字段上,如果没有一种有效的手段可以仅针对这些数据做加密,而是要对全部数据加密,不仅会造成额外的性能开销,还使得数据库维护难度陡增。成熟的数据库加密技术可以有选择的按列设置加密内容,并且为数据库用户授予加密字段的不同读写权限。安华金和的数据库加解密产品DBCoffer不仅支持以列为单位进行数据库加解密,还可以对加密列配置独立于数据库权限体系的读写权限,做到用较小的代价保护用户最核心的敏感数据。
透明加解密
如果说防火墙或者堡垒机对数据库的防护是给数据库穿上“防弹衣”,那么对数据库存储层进行加密无异于给数据库做了一台精密手术。这些“大动筋骨”后加密存储的数据安全性自然得到了提升,但是如果使得用户访问这些数据的方式产生影响,动辄需要应用的SQL语句做出针对性调整,或者使用特殊的API连接数据库,而运维侧的数据迁移等脚本全部重写,未免得不偿失。成熟的数据库加密产品,不仅能够对数据提供安全防护,同时还会将这种加密对数据库使用方面造成的影响降至最低,不影响用户的正常使用。在透明性这点上,安华金和的DBCoffer产品拥有自主研发的国家级专利,通过透明视图技术,可以保障加密后应用程序无需改造,运维侧无需改造,而且不会影响到数据库的各项依赖和函数关系,同时不会影响到数据库的高端特性如RAC等。
加解密及密文检索性能
数据库加密技术的另一重要指标无疑就是性能,试想一下用户对加密后的数据进行检索,响应时间却变成了加密前的几倍甚至几十倍,那这种所谓的“安全”对于用户来说,显然是不能承受之慢。成熟的数据库加解密技术,必须在安全性和性能上做出良好的权衡,既能有效保护数据,又能不影响用户体验,使得性能下降在可接受的范围之内。这种性能不仅指的将明文数据加密为密文数据,或是将密文数据解密还原的速度,更重要的是,对密文形态的数据进行查询检索,是否依然能保持数据库索引技术带来的高效访问特性。安华金和的DBCoffer产品在性能方面具有国家级专利“密文索引”,通过对数据库索引机制的扩展,可以保证对密文数据的检索性能比数据库自身索引下降在8%以内。同时,产品内部的高效数据加解密引擎,可以确保将百万级的数据变成密文,耗时仅用两分钟,真正做到既保证了安全性,又保证了性能基本无损。
安全、易用、高效,是成熟的数据库加解密技术必须具备的三大特点,也是数据库加解密产品必须确保的基本能力。安华金和数据库加解密产品团队正是以这三点为产品基石,以更安全、更易用和更高效为努力目标,在数据库加密技术领域不断进行探索和技术创新,为用户的数据安全贡献自己的力量。