Ⅰ 資料庫加密的方式有哪幾種
資料庫加密的方式有多種,不同場景下仍在使用的資料庫加密技術主要有:前置代理加密、應用系統加密、文件系統加密、後置代理加密、表空間加密和磁碟加密等,這些你找安策工程師幫你,都是可以做到的網路裡面也有詳細介紹。
Ⅱ 誰能簡單介紹下資料庫加密
一、資料庫加密是什麼?
資料庫加密技術屬於主動防禦機制,可以防止明文存儲引起的數據泄密、突破邊界防護的外部黑客攻擊以及來自於內部高許可權用戶的數據竊取,從根本上解決資料庫敏感數據泄漏問題。資料庫加密技術是資料庫安全措施中最頂級的防護手段,也是對技術性要求最高的,產品的穩定性至關重要。
二、資料庫加密的方式有哪些?
目前,不同場景下仍在使用的資料庫加密技術主要有:前置代理加密、應用系統加密、文件系統加密、後置代理加密、表空間加密和磁碟加密等,下文將對前四種數據加密技術原理進行簡要說明。
1、前置代理加密技術
該技術的思路是在資料庫之前增加一道安全代理服務,所有訪問資料庫的行為都必須經過該安全代理服務,在此服務中實現如數據加解密、存取控制等安全策略,安全代理服務通過資料庫的訪問介面實現數據存儲。安全代理服務存在於客戶端應用與資料庫存儲引擎之間,負責完成數據的加解密工作,加密數據存儲在安全代理服務中。
2、應用加密技術
該技術是應用系統通過加密API(JDBC,ODBC,CAPI等)對敏感數據進行加密,將加密數據存儲到資料庫的底層文件中;在進行數據檢索時,將密文數據取回到客戶端,再進行解密,應用系統自行管理密鑰體系。
3、文件系統加解密技術
該技術不與資料庫自身原理融合,只是對數據存儲的載體從操作系統或文件系統層面進行加解密。這種技術通過在操作系統中植入具有一定入侵性的「鉤子」進程,在數據存儲文件被打開的時候進行解密動作,在數據落地的時候執行加密動作,具備基礎加解密能力的同時,能夠根據操作系統用戶或者訪問文件的進程ID進行基本的訪問許可權控制。
4、後置代理技術
該技術是使用「視圖」+「觸發器」+「擴展索引」+「外部調用」的方式實現數據加密,同時保證應用完全透明。核心思想是充分利用資料庫自身提供的應用定製擴展能力,分別使用其觸發器擴展能力、索引擴展能力、自定義函數擴展能力以及視圖等技術來滿足數據存儲加密,加密後數據檢索,對應用無縫透明等核心需求。
三、資料庫加密的價值
1、在被拖庫後,避免因明文存儲導致的數據泄露
通常情況下,資料庫中的數據是以明文形式進行存儲和使用的,一旦數據文件或備份磁帶丟失,可能引發嚴重的數據泄露問題;而在拖庫攻擊中,明文存儲的數據對於攻擊者同樣沒有任何秘密可言——如Aul、MyDul等很多成熟的資料庫文件解析軟體,均可對明文存儲的數據文件進行直接分析,並輸出清晰的、結構化的數據,從而導致泄密。
資料庫加密技術可對資料庫中存儲的數據在存儲層進行加密,即使有人想對此類數據文件進行反向解析,所得到的也不過是沒有任何可讀性的「亂碼」,有效避免了因數據文件被拖庫而造成數據泄露的問題,從根本上保證數據的安全。
2、對高權用戶,防範內部竊取數據造成數據泄露
主流商業資料庫系統考慮到初始化和管理的需要,會設置以sys、sa或root為代表的資料庫超級用戶。這些超級用戶天然具備數據訪問、授權和審計的許可權,對存儲在資料庫中的所有數據都可以進行無限制的訪問和處理;而在一些大型企業和政府機構中,除系統管理員,以數據分析員、程序員、服務外包人員為代表的其他資料庫用戶,也存在以某種形式、在非業務需要時訪問敏感數據的可能。
資料庫加密技術通常可以提供獨立於資料庫系統自身許可權控制體系之外的增強權控能力,由專用的加密系統為資料庫中的敏感數據設置訪問許可權,有效限制資料庫超級用戶或其他高許可權用戶對敏感數據的訪問行為,保障數據安全。
Ⅲ 資料庫加密系統是什麼有什麼功能
透明加密技術是資料庫加密系統的核心技術,用於防止明文存儲引起的數據泄密、外部攻擊、內部竊取數據、非法直接訪問資料庫等等,從根本上解決資料庫敏感數據泄漏問題,滿足合法合規要求。
資料庫透明加密系統主要有四個功能:
1. 對敏感數據進行加密,避免與敏感數據的直接接觸。這項功能主要用於防止三種情況的發生,首先,通過對敏感數據進行透明加密阻斷入侵者訪問敏感數據,構成資料庫的最後一道防線。其次,阻斷運維人員任意訪問敏感數據,資料庫透明加密系統可以保護運維人員,避免犯錯。最後,透明加密系統可以實現,即使在資料庫中的物理文件或者備份文件失竊的情況下,依然保證敏感數據的安全性。
2. 資料庫透明加密系統,無需改變任何應用。首先,在對數據進行透明加密時,無需知道密鑰,無需改變任何代碼,即可透明訪問加密的敏感數據。其次,對敏感數據進行加解密的過程透明簡易,可以保證業務程序的連續性,以及保證業務程序不被損傷。
3. 資料庫透明加密系統提供多維度的訪問控制管理,且系統性能消耗非常低。通常資料庫實施透明加密後,整體性能下降不超過10%。
4. 最重要的是,資料庫透明加密系統滿足合規要求,滿足網路安全法、信息安全等級保護、個人信息安全規范等對於敏感數據加密明確的要求。
另外資料庫透明加密系統可以實現物理旁路部署模式和反向代理兩種部署模式。採用旁路部署模式,即在資料庫伺服器安裝資料庫透明加密安全代理軟體,不需要調整任何網路架構。資料庫透明加密後批量增刪改性能影響較小,整體滿足合規要求,管理便捷。反向代理部署模式,是物理層根據表、列等數據分類執行數據存儲加密,防止存儲層面數據丟失引起泄露,邏輯層通過加密網關實現運維管理端的密文訪問控制,整體實現業務數據正常訪問,運維授權訪問,同時提供直連控制訪問,部署更安全。
Ⅳ 資料庫怎麼加密
安華金和資料庫加密的技術方案主要有三種種:包括前置代理、應用加密和後置代理。前置代理的技術思路就是在資料庫之前增加一道安全代理服務,對資料庫訪問的用戶都必須經過該安全代理服務,在此服務中實現如數據加解密、存取控制等安全策略;然後安全代理服務通過資料庫的訪問介面實現數據在O中的最終存儲。
安華金和資料庫加密 應用層加密方案的主要技術原理是:
(1) 應用系統通過加密API(JDBC,ODBC,C API等)對敏感數據進行加密,將加密數據存儲到Oracle資料庫中;
(2)
在進行數據檢索時,將密文數據取回到客戶端,再進行解密;
(3) 應用系統將自行管理密鑰。
後置代理的基本技術路線是使用「視圖」+「觸發器」+「擴展索引」+「外部調用」的方式實現數據加密,同時保證應用完全透明。
該方案的核心思想是充分利用資料庫自身應用定製擴展能力,分別使用其觸發器擴展能力、索引擴展能力、自定義函數擴展能力以及視圖等技術來滿足數據存儲加密,加密後數據檢索,對應用無縫透明等最主要需求。後置代理方案的核心目標包括:A、實現在資料庫中敏感數據的按列加密;B、對應用提供透明的加密數據訪問;C、為加密數據提供高效的索引訪問;D、實現獨立於資料庫的許可權控制;E、調用國產的加密演算法。
目前在國內安華金和的資料庫加密產品是最成熟的,已經廣泛應用於運營商、中央部委等大型系統上。
Ⅳ 怎麼對資料庫已有的數據進行加密
第一層
服務主密鑰
備份服務主密鑰
backup
service
master
key
to
file='c:\smk.bak'
encryption
by
password='P@ssw0rd'
restore
service
master
key
from
file='c:\smk.bak'
decryption
by
password='P@ssw0rd'
第二層
資料庫主密鑰
1)必須先在該資料庫上創建資料庫主密鑰才能使用
create
master
key
encryption
by
password='P@ssw0rd'
2)使用資料庫主密鑰
-如果資料庫主密鑰使用服務密鑰進行保護,則在使用時會自動打開
opren
master
key
decryption
by
password='P@ssw0rd'
3)查看資料庫主密鑰狀態
sys.symmetric_keys
4)備份資料庫主密鑰
backup
master
key
to
file='c:\smk.bak'
encryption
by
password='P@ssw0rd'
restore
master
key
from
file='c:\smk.bak'
decryption
by
password='P@ssw0rd'