“xxx拖庫”、“xxxx數(shù)據(jù)泄露”等等層出不窮的安全事件表明，要想根本上解決這種越過網(wǎng)絡(luò)防護(hù)，繞開權(quán)控體系，直接復(fù)制文件塊并異地還原解析的“內(nèi)鬼”式攻擊方式，必須采用存儲(chǔ)層的加密技術(shù)，確保敏感信息一旦落盤，必須密文存儲(chǔ)。

隨著數(shù)據(jù)庫加密技術(shù)在國內(nèi)市場(chǎng)的興起，更多數(shù)據(jù)安全企業(yè)的涌入，市面上出現(xiàn)了幾種具有代表性的數(shù)據(jù)庫加密技術(shù)。

一、前置代理及加密網(wǎng)關(guān)技術(shù)

1. 技術(shù)原理該方案的總體技術(shù)思路即在數(shù)據(jù)庫之前增加一道安全代理服務(wù)，對(duì)數(shù)據(jù)庫訪問的用戶都必須經(jīng)過該安全代理服務(wù)，在此服務(wù)中實(shí)現(xiàn)如數(shù)據(jù)加解密、存取控制等安全策略。

然后安全代理服務(wù)通過數(shù)據(jù)庫的訪問接口實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)。

安全代理服務(wù)存在于客戶端應(yīng)用與數(shù)據(jù)庫存儲(chǔ)引擎之間，負(fù)責(zé)完成數(shù)據(jù)的加解密工作，加密數(shù)據(jù)存儲(chǔ)在安全代理服務(wù)中。

2. 利弊分析：前置代理及代理網(wǎng)關(guān)加密技術(shù)，邁不過去的“坎”由于在安全增強(qiáng)代理中需要存儲(chǔ)加密數(shù)據(jù)，因此要解決與數(shù)據(jù)庫存儲(chǔ)數(shù)據(jù)的一致性問題，這基本不可實(shí)現(xiàn)。

數(shù)據(jù)的聯(lián)合檢索問題：由于在數(shù)據(jù)庫內(nèi)外都存在數(shù)據(jù)，這些數(shù)據(jù)的聯(lián)合檢索將變得很困難;SQL語法的完全兼容也非常困難。

開發(fā)無法透明問題：數(shù)據(jù)庫協(xié)議雖然存在標(biāo)準(zhǔn)，但事實(shí)上每個(gè)不同的數(shù)據(jù)庫版本都會(huì)進(jìn)行若干變更、擴(kuò)展和增強(qiáng)，使用了這些特性的用戶必須進(jìn)行改造。

同時(shí)在安全代理中對(duì)數(shù)據(jù)庫通訊協(xié)議的模擬非常困難。

數(shù)據(jù)庫的優(yōu)化處理、事務(wù)處理、并發(fā)處理等特性都無法使用：查詢分析、優(yōu)化處理、事務(wù)處理、并發(fā)處理工作都需要在安全增強(qiáng)器中完成，無法使用數(shù)據(jù)庫在并發(fā)處理和查詢優(yōu)化上的優(yōu)勢(shì)，系統(tǒng)的性能和穩(wěn)定性更多地依賴于安全代理;對(duì)于對(duì)存儲(chǔ)過程、觸發(fā)器、函數(shù)等存儲(chǔ)程序的實(shí)現(xiàn)支持也非常困難。

另外此種方案需要在安全代理服務(wù)層提供非常復(fù)雜的數(shù)據(jù)庫管理功能，如：SQL命令解析，通訊服務(wù)，加密數(shù)據(jù)索引存儲(chǔ)管理、事務(wù)管理等等，因此存在巨大的開發(fā)工作量及很高的技術(shù)復(fù)雜度，此外還有類似于存儲(chǔ)過程、觸發(fā)器等無法解決的技術(shù)問題。

二、應(yīng)用層改造加密技術(shù)

1. 技術(shù)原理應(yīng)用層加密方案的主要技術(shù)原理是應(yīng)用系統(tǒng)通過加密API(JDBC,ODBC,CAPI等)對(duì)敏感數(shù)據(jù)進(jìn)行加密，將加密數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫的底層文件中;在進(jìn)行數(shù)據(jù)檢索時(shí)，將密文數(shù)據(jù)取回到客戶端，再進(jìn)行解密，應(yīng)用系統(tǒng)自行管理密鑰體系。

2. 利弊分析：應(yīng)用層加密技術(shù)，只是看起來很美最主要不足在于：應(yīng)用程序必須對(duì)數(shù)據(jù)進(jìn)行加解密，增加編程復(fù)雜度，而且無法對(duì)現(xiàn)有系統(tǒng)做到透明，應(yīng)用程序必須進(jìn)行大規(guī)模改造。

這種技術(shù)無法利用數(shù)據(jù)庫的索引機(jī)制，加密后數(shù)據(jù)的檢索性能大幅下降。

三、基于文件級(jí)的加解密技術(shù)

1. 技術(shù)原理顧名思義，基于文件級(jí)的加解密技術(shù)是不與數(shù)據(jù)庫自身原理融合，只是對(duì)數(shù)據(jù)存儲(chǔ)的載體從操作系統(tǒng)或文件系統(tǒng)層面進(jìn)行加解密的技術(shù)手段。

這種技術(shù)通過在操作系統(tǒng)中植入具有一定入侵性的“鉤子”進(jìn)程，在數(shù)據(jù)存儲(chǔ)文件被打開的時(shí)候進(jìn)行解密動(dòng)作，在數(shù)據(jù)落地的時(shí)候執(zhí)行加密動(dòng)作，具備基礎(chǔ)加解密能力的同時(shí)，能夠根據(jù)操作系統(tǒng)用戶或者訪問文件的進(jìn)程ID進(jìn)行基本的訪問權(quán)限控制。

2. 利弊分析：跳出“體系”之外，優(yōu)勢(shì)與風(fēng)險(xiǎn)同在這種技術(shù)巧妙的繞過了讓各路英雄頭疼的問題。

對(duì)數(shù)據(jù)庫高端特性兼容、查詢檢索性能保障、統(tǒng)計(jì)分析效率等關(guān)鍵技術(shù)指標(biāo)均有較好的適應(yīng)情況。

然而在這種機(jī)制下，存在的問題也會(huì)比較明顯，包含以下幾類:操作系統(tǒng)或文件系統(tǒng)級(jí)加解密，對(duì)不同平臺(tái)適應(yīng)性較差，而且與內(nèi)核綁定過重，一旦出現(xiàn)程序故障，會(huì)對(duì)操作系統(tǒng)造成較大影響，容易導(dǎo)致業(yè)務(wù)中斷。

操作系統(tǒng)或文件級(jí)加解密的權(quán)控在系統(tǒng)層，因此無法單獨(dú)完成對(duì)不同數(shù)據(jù)庫賬號(hào)的訪問權(quán)限的設(shè)置，需要和其他產(chǎn)品與技術(shù)進(jìn)行組合。

操作系統(tǒng)或文件級(jí)的加解密針對(duì)落地文件進(jìn)行操作，加解密粒度比較粗糙，無法針對(duì)列級(jí)進(jìn)行加密。

四、基于視圖及觸發(fā)器的后置代理技術(shù)

1. 技術(shù)原理這種技術(shù)是使用“視圖”+“觸發(fā)器”+“擴(kuò)展索引”+“外部調(diào)用”的方式實(shí)現(xiàn)數(shù)據(jù)加密，同時(shí)保證應(yīng)用完全透明。

核心思想是充分利用數(shù)據(jù)庫自身提供的應(yīng)用定制擴(kuò)展能力，分別使用其觸發(fā)器擴(kuò)展能力、索引擴(kuò)展能力、自定義函數(shù)擴(kuò)展能力以及視圖等技術(shù)來滿足數(shù)據(jù)存儲(chǔ)加密，加密后數(shù)據(jù)檢索，對(duì)應(yīng)用無縫透明等核心需求。

2. 利弊分析：后置代理，獨(dú)自過獨(dú)木橋以傳統(tǒng)的列加密DBCoffer為代表的后置代理加密技術(shù)，經(jīng)過幾年演進(jìn)逐步被大家接受，這種技術(shù)擁有前置代理和應(yīng)用改造所不具備的透明性，靈活性以及數(shù)據(jù)庫高端技術(shù)的兼容性，可謂率先走過了數(shù)據(jù)庫加密這一風(fēng)險(xiǎn)與挑戰(zhàn)都巨大的“獨(dú)木橋”。

然而向前看，“獨(dú)木橋”還在。“應(yīng)用環(huán)境下，單表億級(jí)數(shù)據(jù)規(guī)模，加密后查詢檢索性能會(huì)不會(huì)受到明顯影響?”“對(duì)密文數(shù)據(jù)的統(tǒng)計(jì)分析操作，如何保證速度基本不下降?”“實(shí)施加密后，對(duì)密文數(shù)據(jù)的運(yùn)維、遷移、備份等操作，如何將改動(dòng)降至最低”“大量的數(shù)據(jù)加密，會(huì)否帶來更大量的空間膨脹”&helpp;&helpp;這些自數(shù)據(jù)庫加密技術(shù)問世以來就相伴而生的問題，不僅變成了用戶心頭的疑云，也成為了后置代理加密技術(shù)提供商亟待解決的當(dāng)務(wù)之急。

加密軟件--為企業(yè)數(shù)據(jù)安全保駕護(hù)航！輕松實(shí)現(xiàn)企業(yè)內(nèi)部文件自動(dòng)加密，加密后的文件在企業(yè)內(nèi)部正常使用，未經(jīng)許可私自拷貝外發(fā)出去，都將無法打開使用！對(duì)于發(fā)送給第三方的文件可實(shí)現(xiàn)控制打開時(shí)間，打開次數(shù)等防泄密參數(shù)！同時(shí)可設(shè)置對(duì)員工電腦文件自動(dòng)備份，防止惡意刪除造成核心數(shù)據(jù)的遺失！從源頭防止企業(yè)核心文件被外泄！

【本文關(guān)鍵詞】：加密軟件，文件加密，文檔加密，圖紙加密軟件，防泄密軟件，CAD加密軟件，文件外發(fā)加密