近年來,伴隨數據泄露事件頻發,人們對於數據庫安全的重視程度與日俱增。在政府、機關部委、金融、能源等行業的信息安全建設中,數據庫審計、數據庫防火牆等安全設備紛紛被定義爲“必需品”,然而部署於網絡層的安全設備終究鞭長莫及,面對來自存儲層的數據文件泄密,依然無能爲力。
在對數據庫的縱深安全防護體系中,存儲層加密作爲數據庫“底線防守”的最有效手段,從存儲層對敏感數據進行有效加密保護。這樣,從根本上解決了諸如數據文件竊取、高權限特權用戶直接登錄數據庫主機批量檢索篡改數據等安全問題。
目前大多數數據在內部存儲是以明文方式存儲的,這種情況下,一旦數據被有意無意的帶出內部環境,將面臨泄密風險;另一方面,內部高權限用戶對於數據的訪問權限過高,同樣存在數據被惡意利用的風險。
在數據安全治理體系中針對這種情況,建議建立數據加密機制,將重要數據在數據庫中進行加密方式存儲,無論受到外部***導致“***”,還是內部人員惡意攜帶數據文件,在未得到授權的情況下 都無法對數據內容進行提取或破解。
數據內部存儲安全
數據加密技術中的加密算法既要支持我國密碼管理機構認定的加密算法,也要支持國際先進的密碼算法。需要支持對數據庫指定列或表進行加密,保證敏感數據以密文形式存儲的同時兼顧性能不受大的影響,從而實現數據存儲層的安全加固。
數據存儲加密技術還需要支持透明加密解密,以保障用戶的加密成本最小化和執行效率最大化。透明的數據加密有兩層含義:一是對應用系統透明,即用戶或開發商無需對應用系統進行任何改造;二是對有密文訪問權限的用戶顯示明文數據,且加、解密過程對用戶完全透明。
數據存儲加密技術還需要支持三權分立,這在我國的等保規定中是有明確要求的。對於常規數據庫管理賬戶要求增設數據安全管理員(DSA;Data Security Administrator)。DSA和DBA相互獨立,共同實現對敏感字段的存取控制,實現責權一致。DBA實現對普通字段一般性訪問權限控制,DSA實現對敏感字段的加密脫密處理和密文訪問權限控制。該功能需要在數據加密存儲的基礎上,實現密文訪問權限體系,對數據庫用戶進行強制訪問控制,有效防止特權用戶對敏感數據的非法訪問。
數據庫加密技術作爲數據庫安全的最後一道鐵閘,其自身的安全性和容災機制應該具有充分的保障,能夠具備與數據庫的數據集成存儲、RAC支持、雙機熱備、應急模式、多進程冗餘、透明故障切換、數據錯誤忽略、備份恢復等技術,從而提供與數據庫相當的高可用支持和異常故障處理能力,使用戶感到既安全,又安心,加密後的整套數據庫環境仍然可以安全高效的運行。