數(shù)據(jù)庫安全：如何平衡加密與訪問控制

1、數(shù)據(jù)庫安全：如何平衡加密與訪問控制通常情況下，公司一些最敏感的數(shù)據(jù)存儲在數(shù)據(jù)庫中。這些數(shù)據(jù)包括醫(yī)療記錄、員工記錄、信用卡號碼、社會保障號碼等，它們受 隱私法規(guī)的監(jiān)管，必須加以保護。然而，與此同時，公司必須在敏感數(shù)據(jù)的安全性與可用性之間進行折中，以滿足因合法的商業(yè)使用而訪問這些數(shù)據(jù)的需求，包括為保持業(yè)務(wù)連續(xù)性而進行的備份和遠(yuǎn)程復(fù)制。最強大的數(shù)據(jù)隱私保護技術(shù)是加密。但是，為了既切實保證敏感數(shù)據(jù)的安全性而又不影響業(yè)務(wù)的連續(xù)性，使用加密技術(shù)時必須小心。在保護敏感數(shù)據(jù)以及平衡加密與訪問控制方面，數(shù)據(jù)庫應(yīng)用安全的一些最佳實踐值得借鑒：數(shù)據(jù)最小化與模糊處理保護敏感數(shù)據(jù)的最好、最有效的辦法是當(dāng)初就不存儲或少存

2、儲 數(shù)據(jù)。因此，公司應(yīng)該經(jīng)常檢查下列數(shù)據(jù)最小化問題：該數(shù)據(jù)將來還需要嗎？可以只存儲用于身份驗證的部分?jǐn)?shù)據(jù) ( 例如社會保障號碼的后 四位)嗎？可以使用其他不太敏感的數(shù)據(jù) ( 例如寵物的名字 ) 進行身份驗證嗎？可以使用或存儲數(shù)據(jù)的 hash 值(例如 md5、sha)而不是原始數(shù) 據(jù)本身嗎？在許多情況下，這些問題可以減少需要存儲的數(shù)據(jù)量并降低數(shù) 據(jù)的敏感程度。數(shù)據(jù)加密公司可以對數(shù)據(jù)庫中的數(shù)據(jù)進行加密，以防止其被盜或意外泄漏。在加密數(shù)據(jù)庫中的數(shù)據(jù)時，有三個關(guān)鍵問題需要考慮：在何處加密數(shù)據(jù)、如何加密數(shù)據(jù)以及在何處存儲密鑰。下面將分別討論這些問 題：在何處加密數(shù)據(jù)加密可以在應(yīng)用層、數(shù)據(jù)庫或底層存儲器

3、中進行。如果加密在數(shù)據(jù)庫中進行，則還可以對特定字段、列、表或者整個數(shù)據(jù)庫加密。當(dāng)然，在應(yīng)用層、數(shù)據(jù)庫和底層存儲器中加密各有利 弊。page由于應(yīng)用層加密是在系統(tǒng)的最高層對數(shù)據(jù)進行加密，所以數(shù)據(jù)對應(yīng)用層之下的各層都不可見。如果加密在應(yīng)用層進行，則數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)以及數(shù)據(jù)經(jīng)過的所有其他路徑都只能看到加密后的形 式。應(yīng)用層加密的問題在于，通常會有多個高層應(yīng)用程序需要訪問數(shù)據(jù)，這些應(yīng)用程序?qū)⑿枰荑€副本對數(shù)據(jù)進行解密?？梢垣@得密鑰 副本的應(yīng)用程序越多，密鑰遭到泄漏的可能性就越大。但是，如果加密在較低的層進行，則你還需要進一步在其他層進行加密。例如，當(dāng)數(shù)據(jù)流經(jīng)數(shù)據(jù)庫和應(yīng)用程序之間的網(wǎng)絡(luò)時需要對其進

4、行加密，否則數(shù)據(jù)對網(wǎng)絡(luò)層將是可見的。這將會引入需要加以保護的其他加密密鑰。在何處進行加密是一種微妙的平衡，取決于應(yīng)用 程序和數(shù)據(jù)流的體系結(jié)構(gòu)。如何加密數(shù)據(jù)加密可以利用軟件、硬件或者軟件硬件相結(jié)合的方式實現(xiàn)。具體采用何種方式加密，取決于你希望達到的吞吐量(mb/s)。如果希望獲得較大的吞吐量，則你可能需要一些硬件加速方式。無論采用何種加密方式，有一個問題別無選擇：始終使用先進的、強大的、基于標(biāo)準(zhǔn)的加密和密鑰管理系統(tǒng) ; 不要試圖發(fā)明自己的加密和密鑰管理系統(tǒng)，你自己的加密和密鑰管理系統(tǒng)可能奏效也可能不能奏效。目前，一些高端服務(wù)器處理器已經(jīng)內(nèi)置了支持 aes(高級加密標(biāo)準(zhǔn))的加密基元(encrypt

5、ion primitives)，可以實現(xiàn)比基于軟件的算法 快得多(高達 9 倍)的加密。在何處存儲密鑰加密最大的挑戰(zhàn)不是加密本身，而是密鑰的存儲和分配。加密數(shù)據(jù)的安全性和可訪問性并不高于密鑰本身。密鑰必須悉心保護，以防攻擊者竊取。同時，密鑰必須與加密數(shù)據(jù)分開存儲，但又要可供加密 / 解密算法訪問。另一方面，必須對密鑰進行備份和復(fù)制，以便當(dāng)原始數(shù)據(jù)和原始密鑰由于災(zāi)難而丟失時可以解密備份數(shù) 據(jù)。你選擇的任何密鑰管理系統(tǒng)必須支持下列功能：安全存儲密鑰。認(rèn)證和跟蹤審計對密鑰的訪問。托管或恢復(fù)密鑰，以防密鑰丟失。備份密鑰并將密鑰安全地傳輸?shù)竭h(yuǎn)程位置，以供恢復(fù)之用。加密標(biāo)準(zhǔn)許多加密和密鑰管理系統(tǒng)都通過了以

6、下兩個實用標(biāo)準(zhǔn)的認(rèn)證：美國聯(lián)邦信息處理標(biāo)準(zhǔn) (federal information processing standard ，fips)140，其安全級別分為 1 到 4 級;通用標(biāo)準(zhǔn)評估保證等級(commoncriteria evaluation assurance level，cceal)，其安全級別分為 1 到 7級。這些標(biāo)準(zhǔn)提供了一個指標(biāo)，可以比較不同系統(tǒng)的加密算法、密鑰存儲和密鑰管理機制的安全性。級別越高意味著加密算法、密鑰存儲方法、防篡改硬件和密鑰管理機制越好。例如， fips 在確定一個認(rèn)證級別時，考慮了 11 個不同方面的安全性。你應(yīng)該根據(jù)數(shù)據(jù)的敏感 程度和你所在地區(qū)的監(jiān)管要求，選擇合適的安全級別。數(shù)據(jù)庫