??常規(guī)的文件加密系統(tǒng)都表現(xiàn)為工具程序，一般只能對指定的文件進行加密保護，對于不同的文件可以分別設置不同的訪問口令/密碼，也可以對文件進行分類或分組，不同各類或不同分組的文件分別使用不同的訪問口令/密碼。具體保護時，有的只是在文件外面加一層殼，類似于在外面加一圈柵欄，通過口令可以打開柵欄上的門從而訪問文件；有的則是通過密碼使用一定的算法對文件內(nèi)容進行加密處理。下面就由新網(wǎng)小編和大家講一講什么時候是文件被加密或不是數(shù)據(jù)庫。

??一、數(shù)據(jù)庫加密是什么？

??數(shù)據(jù)庫加密技術屬于主動防御機制，可以防止明文存儲引起的數(shù)據(jù)泄密、突破邊界防護的外部黑客攻擊以及來自于內(nèi)部高權限用戶的數(shù)據(jù)竊取，從根本上解決數(shù)據(jù)庫敏感數(shù)據(jù)泄漏問題。數(shù)據(jù)庫加密技術是數(shù)據(jù)庫安全措施中最頂級的防護手段，也是對技術性要求最高的，產(chǎn)品的穩(wěn)定性至關重要。

??二、數(shù)據(jù)庫加密的方式有哪些？

??目前，不同場景下仍在使用的數(shù)據(jù)庫加密技術主要有：前置代理加密、應用系統(tǒng)加密、文件系統(tǒng)加密、后置代理加密、表空間加密和磁盤加密等，下文將對前四種數(shù)據(jù)加密技術原理進行簡要說明。

??1、前置代理加密技術

??該技術的思路是在數(shù)據(jù)庫之前增加一道安全代理服務，所有訪問數(shù)據(jù)庫的行為都必須經(jīng)過該安全代理服務，在此服務中實現(xiàn)如數(shù)據(jù)加解密、存取控制等安全策略，安全代理服務通過數(shù)據(jù)庫的訪問接口實現(xiàn)數(shù)據(jù)存儲。安全代理服務存在于客戶端應用與數(shù)據(jù)庫存儲引擎之間，負責完成數(shù)據(jù)的加解密工作，加密數(shù)據(jù)存儲在安全代理服務中。

??2、應用加密技術

??該技術是應用系統(tǒng)通過加密API(JDBC,ODBC,CAPI等)對敏感數(shù)據(jù)進行加密，將加密數(shù)據(jù)存儲到數(shù)據(jù)庫的底層文件中；在進行數(shù)據(jù)檢索時，將密文數(shù)據(jù)取回到客戶端，再進行解密，應用系統(tǒng)自行管理密鑰體系。

??3、文件系統(tǒng)加解密技術

??該技術不與數(shù)據(jù)庫自身原理融合，只是對數(shù)據(jù)存儲的載體從操作系統(tǒng)或文件系統(tǒng)層面進行加解密。這種技術通過在操作系統(tǒng)中植入具有一定入侵性的“鉤子”進程，在數(shù)據(jù)存儲文件被打開的時候進行解密動作，在數(shù)據(jù)落地的時候執(zhí)行加密動作，具備基礎加解密能力的同時，能夠根據(jù)操作系統(tǒng)用戶或者訪問文件的進程ID進行基本的訪問權限控制。

??4、后置代理技術

??該技術是使用“視圖”+“觸發(fā)器”+“擴展索引”+“外部調(diào)用”的方式實現(xiàn)數(shù)據(jù)加密，同時保證應用完全透明。核心思想是充分利用數(shù)據(jù)庫自身提供的應用定制擴展能力，分別使用其觸發(fā)器擴展能力、索引擴展能力、自定義函數(shù)擴展能力以及視圖等技術來滿足數(shù)據(jù)存儲加密，加密后數(shù)據(jù)檢索，對應用無縫透明等核心需求。

??三、數(shù)據(jù)庫加密的價值

??1、在被拖庫后，避免因明文存儲導致的數(shù)據(jù)泄露

??通常情況下，數(shù)據(jù)庫中的數(shù)據(jù)是以明文形式進行存儲和使用的，一旦數(shù)據(jù)文件或備份磁帶丟失，可能引發(fā)嚴重的數(shù)據(jù)泄露問題；而在拖庫攻擊中，明文存儲的數(shù)據(jù)對于攻擊者同樣沒有任何秘密可言——如Aul、MyDul等很多成熟的數(shù)據(jù)庫文件解析軟件，均可對明文存儲的數(shù)據(jù)文件進行直接分析，并輸出清晰的、結構化的數(shù)據(jù)，從而導致泄密。

??數(shù)據(jù)庫加密技術可對數(shù)據(jù)庫中存儲的數(shù)據(jù)在存儲層進行加密，即使有人想對此類數(shù)據(jù)文件進行反向解析，所得到的也不過是沒有任何可讀性的“亂碼”，有效避免了因數(shù)據(jù)文件被拖庫而造成數(shù)據(jù)泄露的問題，從根本上保證數(shù)據(jù)的安全。

??2、對高權用戶，防范內(nèi)部竊取數(shù)據(jù)造成數(shù)據(jù)泄露

??主流商業(yè)數(shù)據(jù)庫系統(tǒng)考慮到初始化和管理的需要，會設置以sys、sa或root為代表的數(shù)據(jù)庫超級用戶。這些超級用戶天然具備數(shù)據(jù)訪問、授權和審計的權限，對存儲在數(shù)據(jù)庫中的所有數(shù)據(jù)都可以進行無限制的訪問和處理；而在一些大型企業(yè)和政府機構中，除系統(tǒng)管理員，以數(shù)據(jù)分析員、程序員、服務外包人員為代表的其他數(shù)據(jù)庫用戶，也存在以某種形式、在非業(yè)務需要時訪問敏感數(shù)據(jù)的可能。

??數(shù)據(jù)庫加密技術通?？梢蕴峁┆毩⒂跀?shù)據(jù)庫系統(tǒng)自身權限控制體系之外的增強權控能力，由專用的加密系統(tǒng)為數(shù)據(jù)庫中的敏感數(shù)據(jù)設置訪問權限，有效限制數(shù)據(jù)庫超級用戶或其他高權限用戶對敏感數(shù)據(jù)的訪問行為，保障數(shù)據(jù)安全。小伙伴們要想獲得更多文件被加密或不是數(shù)據(jù)庫的內(nèi)容，請關注新網(wǎng)。