4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

数据安全治理中的数据内部存储安全技术

作者:安华金和 发布时间:2018-12-20

近年来,伴随数据泄露事件频发,人们对于数据库安全的重视程度与日俱增。在政府、机关部委、金融、能源等行业的信息安全建设中,数据库审计、数据库防火墙等安全设备纷纷被定义为“必需品”,然而部署于网络层的安全设备终究鞭长莫及,面对来自存储层的数据文件泄密,依然无能为力。

在对数据库的纵深安全防护体系中,存储层加密作为数据库“底线防守”的最有效手段,从存储层对敏感数据进行有效加密保护。这样,从根本上解决了诸如数据文件窃取、高权限特权用户直接登录数据库主机批量检索篡改数据等安全问题。

目前大多数数据在内部存储是以明文方式存储的,这种情况下,一旦数据被有意无意的带出内部环境,将面临泄密风险;另一方面,内部高权限用户对于数据的访问权限过高,同样存在数据被恶意利用的风险。

在数据安全治理体系中针对这种情况,建议建立数据加密机制,将重要数据在数据库中进行加密方式存储,无论受到外部攻击导致“拖库”,还是内部人员恶意携带数据文件,在未得到授权的情况下 都无法对数据内容进行提取或破解。

 01.jpg

数据内部存储安全

数据加密技术中的加密算法既要支持我国密码管理机构认定的加密算法,也要支持国际先进的密码算法。需要支持对数据库指定列或表进行加密,保证敏感数据以密文形式存储的同时兼顾性能不受大的影响,从而实现数据存储层的安全加固。

数据存储加密技术还需要支持透明加密解密,以保障用户的加密成本最小化和执行效率最大化。透明的数据加密有两层含义:一是对应用系统透明,即用户或开发商无需对应用系统进行任何改造;二是对有密文访问权限的用户显示明文数据,且加、解密过程对用户完全透明。

数据存储加密技术还需要支持三权分立,这在我国的等保规定中是有明确要求的。对于常规数据库管理账户要求增设数据安全管理员(DSA;Data Security Administrator)。DSA和DBA相互独立,共同实现对敏感字段的存取控制,实现责权一致。DBA实现对普通字段一般性访问权限控制,DSA实现对敏感字段的加密脱密处理和密文访问权限控制。该功能需要在数据加密存储的基础上,实现密文访问权限体系,对数据库用户进行强制访问控制,有效防止特权用户对敏感数据的非法访问。

数据库加密技术作为数据库安全的最后一道铁闸,其自身的安全性和容灾机制应该具有充分的保障,能够具备与数据库的数据集成存储、RAC支持、双机热备、应急模式、多进程冗余、透明故障切换、数据错误忽略、备份恢复等技术,从而提供与数据库相当的高可用支持和异常故障处理能力,使用户感到既安全,又安心,加密后的整套数据库环境仍然可以安全高效的运行。


分享到:
北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号