??常規(guī)的文件加密系統(tǒng)都表現(xiàn)為工具程序，一般只能對指定的文件進(jìn)行加密保護(hù)，對于不同的文件可以分別設(shè)置不同的訪問口令/密碼，也可以對文件進(jìn)行分類或分組，不同各類或不同分組的文件分別使用不同的訪問口令/密碼。具體保護(hù)時，有的只是在文件外面加一層殼，類似于在外面加一圈柵欄，通過口令可以打開柵欄上的門從而訪問文件；有的則是通過密碼使用一定的算法對文件內(nèi)容進(jìn)行加密處理。下面就由新網(wǎng)小編和大家講一講什么時候是文件被加密或不是數(shù)據(jù)庫。

??一、數(shù)據(jù)庫加密是什么？

??數(shù)據(jù)庫加密技術(shù)屬于主動防御機(jī)制，可以防止明文存儲引起的數(shù)據(jù)泄密、突破邊界防護(hù)的外部黑客攻擊以及來自于內(nèi)部高權(quán)限用戶的數(shù)據(jù)竊取，從根本上解決數(shù)據(jù)庫敏感數(shù)據(jù)泄漏問題。數(shù)據(jù)庫加密技術(shù)是數(shù)據(jù)庫安全措施中最頂級的防護(hù)手段，也是對技術(shù)性要求最高的，產(chǎn)品的穩(wěn)定性至關(guān)重要。

??二、數(shù)據(jù)庫加密的方式有哪些？

??目前，不同場景下仍在使用的數(shù)據(jù)庫加密技術(shù)主要有：前置代理加密、應(yīng)用系統(tǒng)加密、文件系統(tǒng)加密、后置代理加密、表空間加密和磁盤加密等，下文將對前四種數(shù)據(jù)加密技術(shù)原理進(jìn)行簡要說明。

??1、前置代理加密技術(shù)

??該技術(shù)的思路是在數(shù)據(jù)庫之前增加一道安全代理服務(wù)，所有訪問數(shù)據(jù)庫的行為都必須經(jīng)過該安全代理服務(wù)，在此服務(wù)中實(shí)現(xiàn)如數(shù)據(jù)加解密、存取控制等安全策略，安全代理服務(wù)通過數(shù)據(jù)庫的訪問接口實(shí)現(xiàn)數(shù)據(jù)存儲。安全代理服務(wù)存在于客戶端應(yīng)用與數(shù)據(jù)庫存儲引擎之間，負(fù)責(zé)完成數(shù)據(jù)的加解密工作，加密數(shù)據(jù)存儲在安全代理服務(wù)中。

??2、應(yīng)用加密技術(shù)

??該技術(shù)是應(yīng)用系統(tǒng)通過加密API(JDBC,ODBC,CAPI等)對敏感數(shù)據(jù)進(jìn)行加密，將加密數(shù)據(jù)存儲到數(shù)據(jù)庫的底層文件中；在進(jìn)行數(shù)據(jù)檢索時，將密文數(shù)據(jù)取回到客戶端，再進(jìn)行解密，應(yīng)用系統(tǒng)自行管理密鑰體系。

??3、文件系統(tǒng)加解密技術(shù)

??該技術(shù)不與數(shù)據(jù)庫自身原理融合，只是對數(shù)據(jù)存儲的載體從操作系統(tǒng)或文件系統(tǒng)層面進(jìn)行加解密。這種技術(shù)通過在操作系統(tǒng)中植入具有一定入侵性的“鉤子”進(jìn)程，在數(shù)據(jù)存儲文件被打開的時候進(jìn)行解密動作，在數(shù)據(jù)落地的時候執(zhí)行加密動作，具備基礎(chǔ)加解密能力的同時，能夠根據(jù)操作系統(tǒng)用戶或者訪問文件的進(jìn)程ID進(jìn)行基本的訪問權(quán)限控制。

??4、后置代理技術(shù)

??該技術(shù)是使用“視圖”+“觸發(fā)器”+“擴(kuò)展索引”+“外部調(diào)用”的方式實(shí)現(xiàn)數(shù)據(jù)加密，同時保證應(yīng)用完全透明。核心思想是充分利用數(shù)據(jù)庫自身提供的應(yīng)用定制擴(kuò)展能力，分別使用其觸發(fā)器擴(kuò)展能力、索引擴(kuò)展能力、自定義函數(shù)擴(kuò)展能力以及視圖等技術(shù)來滿足數(shù)據(jù)存儲加密，加密后數(shù)據(jù)檢索，對應(yīng)用無縫透明等核心需求。

??三、數(shù)據(jù)庫加密的價值

??1、在被拖庫后，避免因明文存儲導(dǎo)致的數(shù)據(jù)泄露

??通常情況下，數(shù)據(jù)庫中的數(shù)據(jù)是以明文形式進(jìn)行存儲和使用的，一旦數(shù)據(jù)文件或備份磁帶丟失，可能引發(fā)嚴(yán)重的數(shù)據(jù)泄露問題；而在拖庫攻擊中，明文存儲的數(shù)據(jù)對于攻擊者同樣沒有任何秘密可言——如Aul、MyDul等很多成熟的數(shù)據(jù)庫文件解析軟件，均可對明文存儲的數(shù)據(jù)文件進(jìn)行直接分析，并輸出清晰的、結(jié)構(gòu)化的數(shù)據(jù)，從而導(dǎo)致泄密。

??數(shù)據(jù)庫加密技術(shù)可對數(shù)據(jù)庫中存儲的數(shù)據(jù)在存儲層進(jìn)行加密，即使有人想對此類數(shù)據(jù)文件進(jìn)行反向解析，所得到的也不過是沒有任何可讀性的“亂碼”，有效避免了因數(shù)據(jù)文件被拖庫而造成數(shù)據(jù)泄露的問題，從根本上保證數(shù)據(jù)的安全。

??2、對高權(quán)用戶，防范內(nèi)部竊取數(shù)據(jù)造成數(shù)據(jù)泄露

??主流商業(yè)數(shù)據(jù)庫系統(tǒng)考慮到初始化和管理的需要，會設(shè)置以sys、sa或root為代表的數(shù)據(jù)庫超級用戶。這些超級用戶天然具備數(shù)據(jù)訪問、授權(quán)和審計(jì)的權(quán)限，對存儲在數(shù)據(jù)庫中的所有數(shù)據(jù)都可以進(jìn)行無限制的訪問和處理；而在一些大型企業(yè)和政府機(jī)構(gòu)中，除系統(tǒng)管理員，以數(shù)據(jù)分析員、程序員、服務(wù)外包人員為代表的其他數(shù)據(jù)庫用戶，也存在以某種形式、在非業(yè)務(wù)需要時訪問敏感數(shù)據(jù)的可能。

??數(shù)據(jù)庫加密技術(shù)通常可以提供獨(dú)立于數(shù)據(jù)庫系統(tǒng)自身權(quán)限控制體系之外的增強(qiáng)權(quán)控能力，由專用的加密系統(tǒng)為數(shù)據(jù)庫中的敏感數(shù)據(jù)設(shè)置訪問權(quán)限，有效限制數(shù)據(jù)庫超級用戶或其他高權(quán)限用戶對敏感數(shù)據(jù)的訪問行為，保障數(shù)據(jù)安全。小伙伴們要想獲得更多文件被加密或不是數(shù)據(jù)庫的內(nèi)容，請關(guān)注新網(wǎng)。