企業應選擇和部署企業資料庫加密策略

本文講的是企業應選擇和部署企業資料庫加密策略，隨著資料資訊的價值被人們所認可，企業開始對資料庫系統的安全越來越重視。而資料庫往往是攻擊者的首要目標，攻擊者試圖從中偷取智財權資訊和財務資料來牟利。針對計算機系統的攻擊是多種多樣的，但最終的目標通常都是資料庫。

現在大部分研究主要集中在資料庫基礎設施安全，也就是儲存、管理和服務資料的引擎。但我們常常忘了，攻擊者的目標是資料。事實上，企業應該更多地專注於保護資料，而不是擔心資料庫系統。

當你聽到「資料庫加密」時，你會想到什麼？加密靜態資料？也許你想到加密的資料庫備份，或者對資料庫的網際網路連線。事實上，資料庫加密包括所有這些因素。從安全性、成本和效能方面來看，資料庫加密有一些不同的型別。

應用層加密

正如它的名字所暗示的，應用層加密是由使用資料庫來儲存資訊的應用程式來執行。應用程式開發人員通常在傳送資料到資料庫之前，會利用第三方加密庫來加密資料，當從資料庫中讀取資料時再進行解密。

這種加密方法有幾個有點，資料和加密金鑰不是儲存在資料庫，這樣，平台或者資料庫管理員都不能訪問它們。此外，應用程式開發人員來決定加密的資料，以及細粒度的水平。

不過，這種方法也存在缺點：很難將應用層的加密調整用於傳統應用程式;每個讀取和寫入操作(sql查詢)的資料庫必須使用加密，這需要巨大的成本來開發和測試。此外，對於加密的資料，企業不能使用一些資料庫功能，例如索引。由於加密輸出是隨機的，加密資料元素的排序也將是隨機的。

最後，加密的資料通常是二進位制格式，這意味著**必須重構為接受二進位制，而不是傳統的文字、資料或貨幣數值。總之，應用層加密提供最高的安全性，同時需要付出最高的成本和部署時間。

本地資料庫物件加密

所有主流關係型資料庫**商都會提供一種或者多種型別的加密，首先，我們稱之為「本地資料庫物件加密」，因為加密引擎位於資料庫內部。加密屬於資料庫**的一部分，你可以將其配置為保護特定的資料庫物件(例如**和模式)。金鑰儲存在資料庫內部，在系統**中，這樣當重新啟動時，它們也可以訪問到資料庫。

本地物件加密的優勢是，它是完全自足的加密方法。這種方法對於**加密很有效，因為在複製到儲存驅動器或磁帶備份之前，資料已經被加密了。

鄒錚/譯