关于数据库加密,你不能不知道的秘密(二)

本文接前文,继续通过几个相关问题的阐述,解开数据库加密的神秘面纱。

1. 如何弥补数据库加密系统对数据库保护的不足?

通过配套使用数据库审计、数据库防火墙、数据库脱敏等系统,设置安全规则,限制敏感数据被访问的记录数量、被访问的语句类型等多个方面,防止SQL注入、防止拖库、防止后门程序等攻击形式,从而形成对数据库的全方位保护,弥补数据库加密对数据库保护的不足。

2. 数据库加密的关键技术有哪些?

1)透明加密技术:为使得数据加密后对外部访问完全透明,需要支持所有的访问方式和数据库特性,这是数据库加密的基本要求。这就需要加密后表名、字段名保持不变;支持查询、插入、更新、删除等操作;以及支持SQL语句访问、存储过程、触发器、用户自定义函数、主键、外键、各种约束等特性。

2)密文索引:字段被加密后,数据原来的字段属性和大小关系都会被修改,原来的索引也不再有效。比如对数值型字段“工资”进行加密,加密后字段类型可能变为字符型或者RAW类型,且密文不再保持加密前内容的大小关系。如果需要检索指定的工资值或者范围值,一种方法就是将所有加密内容解密后再进行检索,但是这势必会导致性能的极大降低。密文索引就是对被加密字段建立索引,使得字段能在被加密状态下被高速的执行等值、范围甚至是模糊检索,以避免加密导致的性能大幅降低。

3)密钥管理:数据的加密和解密都需要使用密钥,密钥需要被妥善的管理才能保障数据的安全。这就好比无论多么坚固的锁,如果钥匙没有被妥善保存,都将是形同虚设。密钥的管理涉及到密钥的产生、交换、轮换、失效、备份等环节。在数据库加密中,由于涉及到多个字段的加密,所以一般需要设计多级密钥。需要对所有的密钥进行安全的管理,防止密钥被泄漏或者破坏。

3. 密文索引技术有哪些?

密文索引技术可以粗略的划分为两代:

第一代密文索引:基本解决性能和透明问题。基本思想是利用数据库的索引机制,建立能够快速查找的B树索引。并且对B树所有的节点进行加密,防止索引泄密。该代技术由北京理工大学戴林教授发明。

第二代密文索引:相比第一代技术,具有更高的性能,并且支持通配符模糊检索。基本思想同样是利用数据库的机制,建立能够快速查找的索引。并且对索引和加密字段的关联关系进行加密,防止索引泄密。该代技术由中安威士发明。

4. 数据库加密系统的关键指标有哪些?

· 是否完全透明,支持所有的数据访问和操作,以及所有的数据库特性;

· 能否对密文实现高速等值和范围查询;

· 能否对字符型加密字段实现高速模糊查询,也就是LIKE查询;

· 能否对数据库用户进行增强的访问控制;

· 密文索引自身是否安全性,索引不应成为新的泄密点;

· 密钥是否实现了安全管理,密钥的组成、保存、生命期等符合相关安全规则和规定。

5.国内主要数据库加密厂家有哪些?

包含中安威士在内,目前国内的数据库加密源厂家只有很少几家。为防止广告嫌疑,本文不对各家产品的来源及安全性、性能等方面进行评论。欢迎第三方评测机构进行评测。

6. 为什么数据库加密产品只支持Oracle?

目前国内的数据库加密产品都基于第一代索引技术研制,采用库内扩展的技术路线。其密文索引的实现依赖于数据库开放的自定义索引接口。所谓自定义索引就是数据库允许用户开发索引插件,对数据库自身无法识别的数据类型,例如图片、音乐等进行索引。我们可以将加密后的字段看成数据库不能识别的数据类型,从而定义出密文索引。目前主流数据库中,仅有Oracle数据库提供这种接口。而对于不提供这种接口的数据库来说,虽然仍可以实现透明加密,但是不能实现对加密字段的高速索引,从而性能很低,难以成为通用产品。所以市场上只有针对Oracle数据库的数据库加密产品。

7. 能否实现通用的数据库加密?

由于上述原因,库内扩展的方式不大可能实现通用的数据库加密产品。实现通用的数据库加密产品可能的方式有:

1)全盘和文件加密。也即对存储磁盘或者数据库文件进行加密,但是这种加密方式的安全性较低;

2)数据库加密网关或加密驱动。类似于CryptDB的系统,在数据库前部署网关,实现数据的加密。中安威士发明的新专利技术已经克服了CryptDB的缺陷,解决了对所有访问语句的支持,实现了密文的等值、范围、以及模糊索引,并将继续实现对存储过程,触发器等的支持。

3)应用加密网关。虽然这种加密方式并不能准确的被称作数据库加密,但是可以做到数据库无关。

8. 如何选择数据库加密产品?

选择数据库加密产品,需要考查如下因素:

a) 是否对应用完全透明,尤其是:

· 对主键、外键的透明加密;

· 加密字段的值约束、唯一性约束的透明支持;

· 对存储过程,用户自定义函数、触发器等的透明支持。

b) 性能方面,加密是否导致数据库性能的显著降低。需要重点关注以下性能:

· 初始批量加密的性能,也即将已有表中数据批量进行加密的性能;

· 等值检索和范围检索的性能,也就是从大量加密信息中检索到满足等值和范围查询条件记录的性能;

· 模糊检索的性能,也就是使用LIKE进行关键字、通配符检索的性能;

· 插入(INSERT)、删除(DELETE)、更新(UPDATE)记录的性能。

c) 安全性方面,加密系统是否有新的安全漏洞:

· 索引是否安全:密文索引加密强度是否足够,或者索引是否直接使用了明文;

· 能否限制DBA等高权限用户对加密字段的访问;

· 是否部分明文暴露:是否将敏感数据解密后存储于临时表,这些明文信息将直接暴露给攻击者。

d) 其他方面:

· 产品是否真正国产;

· 厂家是否真正掌握核心技术;

· 厂家是否具有外资背景,具有外资背景的厂家的产品,应用于敏感部门具有泄密和法规的风险;

· 厂家是否已有或者存在潜在的知识产权纠纷。

9.数据库加密未来的发展趋势会是怎样的?

目前国内市场主流的数据库加密方式是库内扩展加密,仅能比较完美的支持Oracle数据库。但是随着云计算和大数据的发展,未来的数据库加密将朝着如下趋势发展:

a) 面向云计算的通用网关式数据库加密产品将会在将来一到两年内出现,并将首先支持云计算中的主力数据库MYSQL,然后再支持其他关系型数据库;

b) 逐渐支持NoSQL数据库的加密,以加固大数据应用;

c) 数据库加密将与数据库审计、数据库防火墙、数据库脱敏等形成ALL-IN-ONE的数据库安全平台;

d) 数据库加密产品的市场接受度将会越来越高,市场容量将会爆发;

e) 在云计算中,包括公有云、私有云以及混合云,包括数据库加密在内的数据库安全产品将成为标配。

原文地址:https://www.cnblogs.com/csbit/p/11104033.html

时间: 2024-10-13 13:57:32

关于数据库加密,你不能不知道的秘密(二)的相关文章

唐卡定制之你所不知道的秘密

唐卡定制之你所不知道的秘密 唐卡定制的目的涉及到了他独特的艺术特色,蕴藏着藏族艺术的神秘色彩,历史底蕴肥厚,是很多重大历史事件和政治事件的有力史据.最近流行的唐卡收藏热又将唐卡定制推到了一个巅峰,唐卡的技法逐渐精湛细致也促进了唐卡定制的发展. 唐卡的收藏是极其难的,只有充分的了解了藏族文化的发展,才能使它的收藏具有更多的文化价值.西藏的唐卡绘画难懂,有很浓重的历史韵味,画风也多变,一般的收藏者很难全部弄懂其中的因因果果,在收藏上往往难以下手.唐卡大多数都是描绘佛教盛世的作品,佛教专用型很强,因此

LINQ中那些你所不知道的秘密

一直对LINQ简洁高效的语法青睐有加,对于经常和资料库,SQL语法打交道的C#开发者来说,LINQ无疑是一个非常不错的选择,当要在List<T>(T为一个普通对象)集合中查找满足某些条件的某个对象时,写成 form t in T where t. Property1 == "A" && t. Property2== "B" …select t或者写成T.Where(t=>t. . Property1 == "A"

电脑键盘上你所不知道的秘密,学会了很牛气!

1.很多时候,需要暂时离开座位去做别的事情,如果对自己的电脑安全很重视,不妨按住windows键后,再按L键,这样电脑就直接锁屏了,这样就不用担心电脑的资料外泄啦 2.要找电脑上的文件时,一般人会先找到“我的电脑”,然后点击打开,而高手总是很酷的,轻轻按下键盘上的Windows键不放然后再按E键,直接打开电脑的资源管理器,而一般人还在慢慢寻找“我的电脑”的图标呢,嗯,高手就是这样直接把一般人给秒杀了的 3. 正在玩游戏或看羞羞的东西的时候,Boss进来了!鼠标一下子点不到右下角的显示桌面,怎么办

你从来不知道的秘密试管婴儿

有做泰国试管婴儿计划的爸妈们最关心的就是泰国试管婴儿的费用,关于泰国试管婴儿费用的构成,一般包括检查费用.签证费用.机票费用.手术费用.翻译费用.泰国吃住费用等费用.泰国试管婴儿费用详情恒健海外泰国为您整理如下: 泰国试管婴儿-检查费用 正常情况下,检查这一个步骤可以在国内做,国内做的检查报告,拿到泰国也可以用.当经过筛选,不怀孕夫妻有指征接受试管宝宝技术治疗后,为保证精.卵的质量,夫妇两个人要进行与治疗相关的体检.其中包括:血型.血常规.肝.肾功能.乙肝.丙肝检查,精液培养,阴道分泌物的培养,

移动游戏开发,你所不知道的秘密!

<2014 年中国游戏产业报告>.报告显示,截止2014年底,中国游戏市场用户数量约达到 5.17 亿人,比 2013 年增长了4.6%. 中国游戏市场(包括网络游戏市场.移动游戏市场.单机游戏市场等) 实际销售收入达到1144.8亿元人民币(Newzoo统计的2014年中国游戏收入为17,866,677,000美元),比 2013 年增长了 37.7%. 在中国游戏市场实际销售收入中,客户端网络游戏市场占有率达到 53.19%,网页游戏市场占有率达到 17.7%,移动游戏市场为 24.01%

关于汽车轮胎?你所不知道的秘密

汽车轮胎属于车辆的安全件,很多客户对汽车轮胎的日常维护及汽车轮胎的保养了解不充分. 为此,开新就为大家讲解一下关于轮胎轮毂的一些常识. 胎压,这个是很有说法的,不仅能够节省油耗,还保证了车辆的安全驾驶!一般轿车上轮胎都有胎压指定规格,可以按照这上面的参数来进行胎压的设定.切记,车辆行驶一段路程后莫要测量胎压,因为这时的胎压都偏高,车辆行驶十分钟以上轮胎与地面摩擦导致胎内温度上升,胎压随之上升. 轮胎自然磨损的时间在上海路况来看,以二年为期限,行驶二年的轮胎得查看是否需要更换了.超过二年的轮胎,会

你可能不知道的字符比较中的“秘密”

原文:你可能不知道的字符比较中的"秘密" 有时候,一个简单的字符比较,你可能也会被弄得晕头转向.为什么这样说呢?请看下面这个例子(代码就不贴了,因为后来发现页面不支持这两个字符的显示).猜测一下,会是什么结果?是1还是0? 回答这个问题之前,请再继续向下看.先创建几个不同排序规则的数据库(见数据库名可知). Figure-1: 在SQL_Latin1_General_CP1_CI_AS排序规则下的比较 Figure-2: 在Chinese_PRC_CI_AS排序规则下的比较 在SQL_

你所不知道的SQL Server数据库启动过程(用户数据库加载过程的疑难杂症)

前言 本篇主要是上一篇文章的补充篇,上一篇我们介绍了SQL Server服务启动过程所遇到的一些问题和解决方法,可点击查看,我们此篇主要介绍的是SQL Server启动过程中关于用户数据库加载的流程,并且根据加载过程中所遇到的一系列问题提供解决方案. 其实SQL Server作为微软的一款优秀RDBMS,它启动的过程中,本身所带的那些系统库发生问题的情况相对还是很少的,我们在平常使用中,出问题的大部分集中于我们自己建立的用户数据库. 而且,相对于侧重面而言,其实我们更关注的是我们自己建立的用户数

你所不知道的html5与html中的那些事(二)

文章简介: 关于html5相信大家早已经耳熟能详,但是他真正的意义在具体的开发中会有什么作用呢?相对于html,他又有怎样的新的定义与新理念在里面呢?为什么一些专家认为html5完全完成后,所有的工作都可以达到真正的云方式呢?这一系列的问题你是否已经想明白了呢? 本系列文章将为您一一解答你所不知道的关于html5与html中的那些事;具体会包括如:html5新的理念与想法,html5的新标签的用意与具体开发中场景应用,html5与css3的感情经历(用法搭配),包括html5的父亲html的一些