数据库加密与文档加密的区别和价值
作者:Losingm 发布时间:2016-06-29

围绕数据安全话题,用户考虑防护核心数据时,经常会问到一个问题,数据库加密和文档加密技术有何关联,他们之间的差异对比如何,本文重点为有此疑问的朋友们答疑解惑。

用户的安全需求在深入

信息安全传统防御模式如防火墙、入侵检测、病毒防护等企事业单位网络建设的基础架构,已经远远不能满足用户的安全需求,新型的安全防护手段逐步成为 了信息安全发展的主力军。越来越多的案例表明,传统防御模式对落地存储的数据自身缺乏有效的安全防护,一旦外围防护体系被突破,储存在主机上的数据便毫不 设防的摆在入侵者面前,任人鱼肉;另外最基础的内部入侵手段,如拆卸硬盘,WINPE启动盘引导,USB引导等方式均可以将落地存储的数据盗走,而且不留 任何痕迹。要想摆脱这种存储数据不设防的窘境,一个行之有效的方式就是对数据本身的加密存储,加密存储的数据不论是对于外部的入侵者,还是内部的文件窃取 者,都会令其如阅天书,一筹莫展。

数据安全防护解决之道

目前根据数据存储的载体不同,数据安全防护主要分为在文档层面的加密,和数据库层面的加密两种技术。这两者都是通过对存储载体加密来解决泄密风险, 通过独立权限控制来做到权责分明、清晰可控。那么这两种技术的差异何在,各自的使用场景和价值又如何呢,安华金和技术专家从以下几个方面对比总结如下:

加密对象和应用场景的差异

从加密对象上看,文档加密主要是针对以文件形式储存的数据,例如word或者excel文档,工业CAD图纸以及各种格式的函件或报表。而数据库加 密主要针对的是保存在数据库中的各类信息,在当今办公环境中,越来越多的信息被保存在数据库系统中,如OA系统中的人员信息,财务系统中的各项金额和统计 类信息,运营商CRM系统中的客户身份信息,这些内容对应存储在数据库的各个数据表之中,甚至在某些应用系统中,诸如图纸、公文等涉密对象也是使用数据库 的大对象类型(LOB)储存,仅从文档层面入手做加密,无法完成系统中核心数据的安全防范。数据库里的安全防护,需要交给数据库加密专业产品来完成。

技术路线和防护体系的区别

文档加密产品和数据库加密产品的技术路线选择上也存在根本的区别。文档加密产品主要针对操作系统内核,采用驱动级加解密技术,并结合其身份验证的强 制访问控制,达到防泄密的效果。数据库加密产品需要建立在对数据库核心机制充分全面了解的前提下,从用户出发,不仅需要高效率完成对数据库中存储内容的加 解密,以安华金和数据库保险箱(DBCoffer)为例,对数据规模100万的表进行单列加解密,通常需要2分钟左右;还要通过各种技术手段保障数据库的 访问透明性、约束透明性以及其他高端特性诸如容灾、索引等基本无损。这种应用密文索引技术引用后,与数据库明文索引机制相比,查询性能下降在8%左右。对 于加密后内容的访问控制,数据库加密产品更需具备了权责明确的三权分立体系,可以使数据库管理员、安全管理员、安全审计员三者相互制约又相互协作的共同完 成数据库的管理和安全工作。

未来发展方向不同

从发展趋势上看,文档加密技术已经比较为市场做接受,未来将会向 “移动化”、“手机化”办公业务转型,考虑如何与移动数据安全和谐发展。而数据库加密技术作为新兴的数据库安全解决方案,既要适应当今飞速普及的云存储技 术,又要考虑如何在我国逐渐推广国产化的大潮中紧跟形势,不仅要兼容国产的加密设备和加密算法,随着去IOE政策的推进和不断落实,在对国产数据库的支持 上面也应不断努力寻求突破,为我国的数据安全建设做出贡献。

小结

近年来,随着用户对数据安全越发重视,越来越多的大型解决方案同时将文档加密产品和数据库加密产品同时纳入其中,不仅保证用户的文档、邮件、公文系 统的存储安全,而且可避免用户储存于数据库中的各类敏感数据的泄露。数据库加密和文档加密这两类相似又相异的产品,正为用户的数据安全共同发挥着“防护最 后一公里”的作用。