??常規(guī)的文件加密系統(tǒng)都表現(xiàn)為工具程序，一般只能對(duì)指定的文件進(jìn)行加密保護(hù)，對(duì)于不同的文件可以分別設(shè)置不同的訪(fǎng)問(wèn)口令/密碼，也可以對(duì)文件進(jìn)行分類(lèi)或分組，不同各類(lèi)或不同分組的文件分別使用不同的訪(fǎng)問(wèn)口令/密碼。具體保護(hù)時(shí)，有的只是在文件外面加一層殼，類(lèi)似于在外面加一圈柵欄，通過(guò)口令可以打開(kāi)柵欄上的門(mén)從而訪(fǎng)問(wèn)文件；有的則是通過(guò)密碼使用一定的算法對(duì)文件內(nèi)容進(jìn)行加密處理。下面就由新網(wǎng)小編和大家講一講什么時(shí)候是文件被加密或不是數(shù)據(jù)庫(kù)。

??一、數(shù)據(jù)庫(kù)加密是什么？

??數(shù)據(jù)庫(kù)加密技術(shù)屬于主動(dòng)防御機(jī)制，可以防止明文存儲(chǔ)引起的數(shù)據(jù)泄密、突破邊界防護(hù)的外部黑客攻擊以及來(lái)自于內(nèi)部高權(quán)限用戶(hù)的數(shù)據(jù)竊取，從根本上解決數(shù)據(jù)庫(kù)敏感數(shù)據(jù)泄漏問(wèn)題。數(shù)據(jù)庫(kù)加密技術(shù)是數(shù)據(jù)庫(kù)安全措施中最頂級(jí)的防護(hù)手段，也是對(duì)技術(shù)性要求最高的，產(chǎn)品的穩(wěn)定性至關(guān)重要。

??二、數(shù)據(jù)庫(kù)加密的方式有哪些？

??目前，不同場(chǎng)景下仍在使用的數(shù)據(jù)庫(kù)加密技術(shù)主要有：前置代理加密、應(yīng)用系統(tǒng)加密、文件系統(tǒng)加密、后置代理加密、表空間加密和磁盤(pán)加密等，下文將對(duì)前四種數(shù)據(jù)加密技術(shù)原理進(jìn)行簡(jiǎn)要說(shuō)明。

??1、前置代理加密技術(shù)

??該技術(shù)的思路是在數(shù)據(jù)庫(kù)之前增加一道安全代理服務(wù)，所有訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的行為都必須經(jīng)過(guò)該安全代理服務(wù)，在此服務(wù)中實(shí)現(xiàn)如數(shù)據(jù)加解密、存取控制等安全策略，安全代理服務(wù)通過(guò)數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)接口實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)。安全代理服務(wù)存在于客戶(hù)端應(yīng)用與數(shù)據(jù)庫(kù)存儲(chǔ)引擎之間，負(fù)責(zé)完成數(shù)據(jù)的加解密工作，加密數(shù)據(jù)存儲(chǔ)在安全代理服務(wù)中。

??2、應(yīng)用加密技術(shù)

??該技術(shù)是應(yīng)用系統(tǒng)通過(guò)加密API(JDBC,ODBC,CAPI等)對(duì)敏感數(shù)據(jù)進(jìn)行加密，將加密數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)的底層文件中；在進(jìn)行數(shù)據(jù)檢索時(shí)，將密文數(shù)據(jù)取回到客戶(hù)端，再進(jìn)行解密，應(yīng)用系統(tǒng)自行管理密鑰體系。

??3、文件系統(tǒng)加解密技術(shù)

??該技術(shù)不與數(shù)據(jù)庫(kù)自身原理融合，只是對(duì)數(shù)據(jù)存儲(chǔ)的載體從操作系統(tǒng)或文件系統(tǒng)層面進(jìn)行加解密。這種技術(shù)通過(guò)在操作系統(tǒng)中植入具有一定入侵性的“鉤子”進(jìn)程，在數(shù)據(jù)存儲(chǔ)文件被打開(kāi)的時(shí)候進(jìn)行解密動(dòng)作，在數(shù)據(jù)落地的時(shí)候執(zhí)行加密動(dòng)作，具備基礎(chǔ)加解密能力的同時(shí)，能夠根據(jù)操作系統(tǒng)用戶(hù)或者訪(fǎng)問(wèn)文件的進(jìn)程ID進(jìn)行基本的訪(fǎng)問(wèn)權(quán)限控制。

??4、后置代理技術(shù)

??該技術(shù)是使用“視圖”+“觸發(fā)器”+“擴(kuò)展索引”+“外部調(diào)用”的方式實(shí)現(xiàn)數(shù)據(jù)加密，同時(shí)保證應(yīng)用完全透明。核心思想是充分利用數(shù)據(jù)庫(kù)自身提供的應(yīng)用定制擴(kuò)展能力，分別使用其觸發(fā)器擴(kuò)展能力、索引擴(kuò)展能力、自定義函數(shù)擴(kuò)展能力以及視圖等技術(shù)來(lái)滿(mǎn)足數(shù)據(jù)存儲(chǔ)加密，加密后數(shù)據(jù)檢索，對(duì)應(yīng)用無(wú)縫透明等核心需求。

??三、數(shù)據(jù)庫(kù)加密的價(jià)值

??1、在被拖庫(kù)后，避免因明文存儲(chǔ)導(dǎo)致的數(shù)據(jù)泄露

??通常情況下，數(shù)據(jù)庫(kù)中的數(shù)據(jù)是以明文形式進(jìn)行存儲(chǔ)和使用的，一旦數(shù)據(jù)文件或備份磁帶丟失，可能引發(fā)嚴(yán)重的數(shù)據(jù)泄露問(wèn)題；而在拖庫(kù)攻擊中，明文存儲(chǔ)的數(shù)據(jù)對(duì)于攻擊者同樣沒(méi)有任何秘密可言——如Aul、MyDul等很多成熟的數(shù)據(jù)庫(kù)文件解析軟件，均可對(duì)明文存儲(chǔ)的數(shù)據(jù)文件進(jìn)行直接分析，并輸出清晰的、結(jié)構(gòu)化的數(shù)據(jù)，從而導(dǎo)致泄密。

??數(shù)據(jù)庫(kù)加密技術(shù)可對(duì)數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)在存儲(chǔ)層進(jìn)行加密，即使有人想對(duì)此類(lèi)數(shù)據(jù)文件進(jìn)行反向解析，所得到的也不過(guò)是沒(méi)有任何可讀性的“亂碼”，有效避免了因數(shù)據(jù)文件被拖庫(kù)而造成數(shù)據(jù)泄露的問(wèn)題，從根本上保證數(shù)據(jù)的安全。

??2、對(duì)高權(quán)用戶(hù)，防范內(nèi)部竊取數(shù)據(jù)造成數(shù)據(jù)泄露

??主流商業(yè)數(shù)據(jù)庫(kù)系統(tǒng)考慮到初始化和管理的需要，會(huì)設(shè)置以sys、sa或root為代表的數(shù)據(jù)庫(kù)超級(jí)用戶(hù)。這些超級(jí)用戶(hù)天然具備數(shù)據(jù)訪(fǎng)問(wèn)、授權(quán)和審計(jì)的權(quán)限，對(duì)存儲(chǔ)在數(shù)據(jù)庫(kù)中的所有數(shù)據(jù)都可以進(jìn)行無(wú)限制的訪(fǎng)問(wèn)和處理；而在一些大型企業(yè)和政府機(jī)構(gòu)中，除系統(tǒng)管理員，以數(shù)據(jù)分析員、程序員、服務(wù)外包人員為代表的其他數(shù)據(jù)庫(kù)用戶(hù)，也存在以某種形式、在非業(yè)務(wù)需要時(shí)訪(fǎng)問(wèn)敏感數(shù)據(jù)的可能。

??數(shù)據(jù)庫(kù)加密技術(shù)通常可以提供獨(dú)立于數(shù)據(jù)庫(kù)系統(tǒng)自身權(quán)限控制體系之外的增強(qiáng)權(quán)控能力，由專(zhuān)用的加密系統(tǒng)為數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)設(shè)置訪(fǎng)問(wèn)權(quán)限，有效限制數(shù)據(jù)庫(kù)超級(jí)用戶(hù)或其他高權(quán)限用戶(hù)對(duì)敏感數(shù)據(jù)的訪(fǎng)問(wèn)行為，保障數(shù)據(jù)安全。小伙伴們要想獲得更多文件被加密或不是數(shù)據(jù)庫(kù)的內(nèi)容，請(qǐng)關(guān)注新網(wǎng)。