圍繞數據安全話題,用戶考慮防護核心數據時,經常會問到一個問題,數據庫加密和文檔加密技術有何關聯,他們之間的差異對比如何,本文重點為有此疑問的朋友們答疑解惑。
用戶的安全需求在深入
信息安全傳統防御模式如防火墻、入侵檢測、病毒防護等企事業單位網絡建設的基礎架構,已經遠遠不能滿足用戶的安全需求,新型的安全防護手段逐步成為了信息安全發展的主力軍。越來越多的案例表明,傳統防御模式對落地存儲的數據自身缺乏有效的安全防護,一旦外圍防護體系被突破,儲存在主機上的數據便毫不設防的擺在入侵者面前,任人魚肉;另外最基礎的內部入侵手段,如拆卸硬盤,WINPE啟動盤引導,USB引導等方式均可以將落地存儲的數據盜走,而且不留任何痕跡。要想擺脫這種存儲數據不設防的窘境,一個行之有效的方式就是對數據本身的加密存儲,加密存儲的數據不論是對于外部的入侵者,還是內部的文件竊取者,都會令其如閱天書,一籌莫展。
數據安全防護解決之道
目前根據數據存儲的載體不同,數據安全防護主要分為在文檔層面的加密,和數據庫層面的加密兩種技術。這兩者都是通過對存儲載體加密來解決泄密風險,通過獨立權限控制來做到權責分明、清晰可控。那么這兩種技術的差異何在,各自的使用場景和價值又如何呢,安華金和技術專家從以下幾個方面對比總結如下:
加密對象和應用場景的差異
從加密對象上看,文檔加密主要是針對以文件形式儲存的數據,例如word或者excel文檔,工業CAD圖紙以及各種格式的函件或報表。而數據庫加密主要針對的是保存在數據庫中的各類信息,在當今辦公環境中,越來越多的信息被保存在數據庫系統中,如OA系統中的人員信息,財務系統中的各項金額和統計類信息,運營商CRM系統中的客戶身份信息,這些內容對應存儲在數據庫的各個數據表之中,甚至在某些應用系統中,諸如圖紙、公文等涉密對象也是使用數據庫的大對象類型(LOB)儲存,僅從文檔層面入手做加密,無法完成系統中核心數據的安全防范。數據庫里的安全防護,需要交給數據庫加密專業產品來完成。
技術路線和防護體系的區別
文檔加密產品和數據庫加密產品的技術路線選擇上也存在根本的區別。文檔加密產品主要針對操作系統內核,采用驅動級加解密技術,并結合其身份驗證的強制訪問控制,達到防泄密的效果。數據庫加密產品需要建立在對數據庫核心機制充分全面了解的前提下,從用戶出發,不僅需要高效率完成對數據庫中存儲內容的加解密,以安華金和數據庫保險箱(DBCoffer)為例,對數據規模100萬的表進行單列加解密,通常需要2分鐘左右;還要通過各種技術手段保障數據庫的訪問透明性、約束透明性以及其他高端特性諸如容災、索引等基本無損。這種應用密文索引技術引用后,與數據庫明文索引機制相比,查詢性能下降在8%左右。對于加密后內容的訪問控制,數據庫加密產品更需具備了權責明確的三權分立體系,可以使數據庫管理員、安全管理員、安全審計員三者相互制約又相互協作的共同完成數據庫的管理和安全工作。
未來發展方向不同
從發展趨勢上看,文檔加密技術已經比較為市場做接受,未來將會向 “移動化”、“手機化”辦公業務轉型,考慮如何與移動數據安全和諧發展。而數據庫加密技術作為新興的數據庫安全解決方案,既要適應當今飛速普及的云存儲技術,又要考慮如何在我國逐漸推廣國產化的大潮中緊跟形勢,不僅要兼容國產的加密設備和加密算法,隨著去IOE政策的推進和不斷落實,在對國產數據庫的支持上面也應不斷努力尋求突破,為我國的數據安全建設做出貢獻。
小結
近年來,隨著用戶對數據安全越發重視,越來越多的大型解決方案同時將文檔加密產品和數據庫加密產品同時納入其中,不僅保證用戶的文檔、郵件、公文系統的存儲安全,而且可避免用戶儲存于數據庫中的各類敏感數據的泄露。數據庫加密和文檔加密這兩類相似又相異的產品,正為用戶的數據安全共同發揮著“防護最后一公里”的作用。
京公網安備 11010502049343號