什么時(shí)候是文件被加密或不是數據庫？

??常規的文件加密系統都表現為工具程序，一般只能對指定的文件進(jìn)行加密保護，對于不同的文件可以分別設置不同的訪(fǎng)問(wèn)口令/密碼，也可以對文件進(jìn)行分類(lèi)或分組，不同各類(lèi)或不同分組的文件分別使用不同的訪(fǎng)問(wèn)口令/密碼。具體保護時(shí)，有的只是在文件外面加一層殼，類(lèi)似于在外面加一圈柵欄，通過(guò)口令可以打開(kāi)柵欄上的門(mén)從而訪(fǎng)問(wèn)文件；有的則是通過(guò)密碼使用一定的算法對文件內容進(jìn)行加密處理。下面就由小編和大家講一講什么時(shí)候是文件被加密或不是。

??一、是什么？

??數據庫加密技術(shù)屬于主動(dòng)防御機制，可以防止明文存儲引起的數據泄密、突破邊界防護的外部黑客攻擊以及來(lái)自于內部高權限用戶(hù)的數據竊取，從根本上解決數據庫敏感數據泄漏問(wèn)題。數據庫加密技術(shù)是數據庫安全措施中最頂級的防護手段，也是對技術(shù)性要求最高的，產(chǎn)品的穩定性至關(guān)重要。

??二、數據庫加密的方式有哪些？

??目前，不同場(chǎng)景下仍在使用的數據庫加密技術(shù)主要有：前置代理加密、應用系統加密、文件系統加密、后置代理加密、表加密和磁盤(pán)加密等，下文將對前四種數據加密技術(shù)原理進(jìn)行簡(jiǎn)要說(shuō)明。

??1、前置代理加密技術(shù)

??該技術(shù)的思路是在數據庫之前增加一道安全代理服務(wù)，所有訪(fǎng)問(wèn)數據庫的行為都必須經(jīng)過(guò)該安全代理服務(wù)，在此服務(wù)中實(shí)現如數據加解密、存取控制等安全策略，安全代理服務(wù)通過(guò)數據庫的訪(fǎng)問(wèn)接口實(shí)現數據存儲。安全代理服務(wù)存在于客戶(hù)端應用與數據庫存儲引擎之間，負責完成數據的加解密工作，加密數據存儲在安全代理服務(wù)中。

??2、應用加密技術(shù)

??該技術(shù)是應用系統通過(guò)加密API(JDBC,ODBC,CAPI等)對敏感數據進(jìn)行加密，將加密數據存儲到數據庫的底層文件中；在進(jìn)行數據檢索時(shí)，將密文數據取回到客戶(hù)端，再進(jìn)行解密，應用系統自行管理密鑰體系。

??3、文件系統加解密技術(shù)

??該技術(shù)不與數據庫自身原理融合，只是對數據存儲的載體從操作系統或文件系統層面進(jìn)行加解密。這種技術(shù)通過(guò)在操作系統中植入具有一定入侵性的“鉤子”進(jìn)程，在數據存儲文件被打開(kāi)的時(shí)候進(jìn)行解密動(dòng)作，在數據落地的時(shí)候執行加密動(dòng)作，具備基礎加解密能力的同時(shí)，能夠根據操作系統用戶(hù)或者訪(fǎng)問(wèn)文件的進(jìn)程ID進(jìn)行基本的訪(fǎng)問(wèn)權限控制。

??4、后置代理技術(shù)

??該技術(shù)是使用“視圖” “觸發(fā)器” “擴展索引” “外部調用”的方式實(shí)現數據加密，同時(shí)保證應用完全透明。核心思想是充分利用數據庫自身提供的應用定制擴展能力，分別使用其觸發(fā)器擴展能力、索引擴展能力、自定義函數擴展能力以及視圖等技術(shù)來(lái)滿(mǎn)足數據存儲加密，加密后數據檢索，對應用無(wú)縫透明等核心需求。

??三、數據庫加密的價(jià)值

??1、在被拖庫后，避免因明文存儲導致的數據泄露

??通常情況下，數據庫中的數據是以明文形式進(jìn)行存儲和使用的，一旦數據文件或備份磁帶丟失，可能引發(fā)嚴重的數據泄露問(wèn)題；而在拖庫攻擊中，明文存儲的數據對于攻擊者同樣沒(méi)有任何秘密可言——如Aul、MyDul等很多成熟的數據庫文件解析軟件，均可對明文存儲的數據文件進(jìn)行直接分析，并輸出清晰的、結構化的數據，從而導致泄密。

??數據庫加密技術(shù)可對數據庫中存儲的數據在存儲層進(jìn)行加密，即使有人想對此類(lèi)數據文件進(jìn)行反向解析，所得到的也不過(guò)是沒(méi)有任何可讀性的“亂碼”，有效避免了因數據文件被拖庫而造成數據泄露的問(wèn)題，從根本上保證數據的安全。

??2、對高權用戶(hù)，防范內部竊取數據造成數據泄露

??主流商業(yè)數據庫系統考慮到初始化和管理的需要，會(huì )設置以sys、sa或root為代表的數據庫超級用戶(hù)。這些超級用戶(hù)天然具備數據訪(fǎng)問(wèn)、授權和審計的權限，對存儲在數據庫中的所有數據都可以進(jìn)行無(wú)限制的訪(fǎng)問(wèn)和處理；而在一些大型企業(yè)和政府機構中，除系統管理員，以數據分析員、程序員、服務(wù)外包人員為代表的其他數據庫用戶(hù)，也存在以某種形式、在非業(yè)務(wù)需要時(shí)訪(fǎng)問(wèn)敏感數據的可能。

??數據庫加密技術(shù)通?？梢蕴峁┆毩⒂跀祿煜到y自身權限控制體系之外的增強權控能力，由專(zhuān)用的加密系統為數據庫中的敏感數據設置訪(fǎng)問(wèn)權限，有效限制數據庫超級用戶(hù)或其他高權限用戶(hù)對敏感數據的訪(fǎng)問(wèn)行為，保障。小伙伴們要想獲得更多文件被加密或不是數據庫的內容，請關(guān)注特網(wǎng)。