圍繞數(shù)據(jù)安全話題,用戶考慮防護(hù)核心數(shù)據(jù)時(shí),經(jīng)常會(huì)問到一個(gè)問題,數(shù)據(jù)庫加密和文檔加密技術(shù)有何關(guān)聯(lián),他們之間的差異對(duì)比如何,本文重點(diǎn)為有此疑問的朋友們答疑解惑。
用戶的安全需求在深入
信息安全傳統(tǒng)防御模式如防火墻、入侵檢測(cè)、病毒防護(hù)等企事業(yè)單位網(wǎng)絡(luò)建設(shè)的基礎(chǔ)架構(gòu),已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足用戶的安全需求,新型的安全防護(hù)手段逐步成為了信息安全發(fā)展的主力軍。越來越多的案例表明,傳統(tǒng)防御模式對(duì)落地存儲(chǔ)的數(shù)據(jù)自身缺乏有效的安全防護(hù),一旦外圍防護(hù)體系被突破,儲(chǔ)存在主機(jī)上的數(shù)據(jù)便毫不設(shè)防的擺在入侵者面前,任人魚肉;另外最基礎(chǔ)的內(nèi)部入侵手段,如拆卸硬盤,WINPE啟動(dòng)盤引導(dǎo),USB引導(dǎo)等方式均可以將落地存儲(chǔ)的數(shù)據(jù)盜走,而且不留任何痕跡。要想擺脫這種存儲(chǔ)數(shù)據(jù)不設(shè)防的窘境,一個(gè)行之有效的方式就是對(duì)數(shù)據(jù)本身的加密存儲(chǔ),加密存儲(chǔ)的數(shù)據(jù)不論是對(duì)于外部的入侵者,還是內(nèi)部的文件竊取者,都會(huì)令其如閱天書,一籌莫展。
數(shù)據(jù)安全防護(hù)解決之道
目前根據(jù)數(shù)據(jù)存儲(chǔ)的載體不同,數(shù)據(jù)安全防護(hù)主要分為在文檔層面的加密,和數(shù)據(jù)庫層面的加密兩種技術(shù)。這兩者都是通過對(duì)存儲(chǔ)載體加密來解決泄密風(fēng)險(xiǎn),通過獨(dú)立權(quán)限控制來做到權(quán)責(zé)分明、清晰可控。那么這兩種技術(shù)的差異何在,各自的使用場(chǎng)景和價(jià)值又如何呢,安華金和技術(shù)專家從以下幾個(gè)方面對(duì)比總結(jié)如下:
加密對(duì)象和應(yīng)用場(chǎng)景的差異
從加密對(duì)象上看,文檔加密主要是針對(duì)以文件形式儲(chǔ)存的數(shù)據(jù),例如word或者excel文檔,工業(yè)CAD圖紙以及各種格式的函件或報(bào)表。而數(shù)據(jù)庫加密主要針對(duì)的是保存在數(shù)據(jù)庫中的各類信息,在當(dāng)今辦公環(huán)境中,越來越多的信息被保存在數(shù)據(jù)庫系統(tǒng)中,如OA系統(tǒng)中的人員信息,財(cái)務(wù)系統(tǒng)中的各項(xiàng)金額和統(tǒng)計(jì)類信息,運(yùn)營商CRM系統(tǒng)中的客戶身份信息,這些內(nèi)容對(duì)應(yīng)存儲(chǔ)在數(shù)據(jù)庫的各個(gè)數(shù)據(jù)表之中,甚至在某些應(yīng)用系統(tǒng)中,諸如圖紙、公文等涉密對(duì)象也是使用數(shù)據(jù)庫的大對(duì)象類型(LOB)儲(chǔ)存,僅從文檔層面入手做加密,無法完成系統(tǒng)中核心數(shù)據(jù)的安全防范。數(shù)據(jù)庫里的安全防護(hù),需要交給數(shù)據(jù)庫加密專業(yè)產(chǎn)品來完成。
技術(shù)路線和防護(hù)體系的區(qū)別
文檔加密產(chǎn)品和數(shù)據(jù)庫加密產(chǎn)品的技術(shù)路線選擇上也存在根本的區(qū)別。文檔加密產(chǎn)品主要針對(duì)操作系統(tǒng)內(nèi)核,采用驅(qū)動(dòng)級(jí)加解密技術(shù),并結(jié)合其身份驗(yàn)證的強(qiáng)制訪問控制,達(dá)到防泄密的效果。數(shù)據(jù)庫加密產(chǎn)品需要建立在對(duì)數(shù)據(jù)庫核心機(jī)制充分全面了解的前提下,從用戶出發(fā),不僅需要高效率完成對(duì)數(shù)據(jù)庫中存儲(chǔ)內(nèi)容的加解密,以安華金和數(shù)據(jù)庫保險(xiǎn)箱(DBCoffer)為例,對(duì)數(shù)據(jù)規(guī)模100萬的表進(jìn)行單列加解密,通常需要2分鐘左右;還要通過各種技術(shù)手段保障數(shù)據(jù)庫的訪問透明性、約束透明性以及其他高端特性諸如容災(zāi)、索引等基本無損。這種應(yīng)用密文索引技術(shù)引用后,與數(shù)據(jù)庫明文索引機(jī)制相比,查詢性能下降在8%左右。對(duì)于加密后內(nèi)容的訪問控制,數(shù)據(jù)庫加密產(chǎn)品更需具備了權(quán)責(zé)明確的三權(quán)分立體系,可以使數(shù)據(jù)庫管理員、安全管理員、安全審計(jì)員三者相互制約又相互協(xié)作的共同完成數(shù)據(jù)庫的管理和安全工作。
未來發(fā)展方向不同
從發(fā)展趨勢(shì)上看,文檔加密技術(shù)已經(jīng)比較為市場(chǎng)做接受,未來將會(huì)向 “移動(dòng)化”、“手機(jī)化”辦公業(yè)務(wù)轉(zhuǎn)型,考慮如何與移動(dòng)數(shù)據(jù)安全和諧發(fā)展。而數(shù)據(jù)庫加密技術(shù)作為新興的數(shù)據(jù)庫安全解決方案,既要適應(yīng)當(dāng)今飛速普及的云存儲(chǔ)技術(shù),又要考慮如何在我國逐漸推廣國產(chǎn)化的大潮中緊跟形勢(shì),不僅要兼容國產(chǎn)的加密設(shè)備和加密算法,隨著去IOE政策的推進(jìn)和不斷落實(shí),在對(duì)國產(chǎn)數(shù)據(jù)庫的支持上面也應(yīng)不斷努力尋求突破,為我國的數(shù)據(jù)安全建設(shè)做出貢獻(xiàn)。
小結(jié)
近年來,隨著用戶對(duì)數(shù)據(jù)安全越發(fā)重視,越來越多的大型解決方案同時(shí)將文檔加密產(chǎn)品和數(shù)據(jù)庫加密產(chǎn)品同時(shí)納入其中,不僅保證用戶的文檔、郵件、公文系統(tǒng)的存儲(chǔ)安全,而且可避免用戶儲(chǔ)存于數(shù)據(jù)庫中的各類敏感數(shù)據(jù)的泄露。數(shù)據(jù)庫加密和文檔加密這兩類相似又相異的產(chǎn)品,正為用戶的數(shù)據(jù)安全共同發(fā)揮著“防護(hù)最后一公里”的作用。