一位著名的信息安全专家曾经说过,信息安全无外乎三个方面。一是数据安全,二是系统安全,也就是时下较为热门的防火墙、入侵检测及VPN等边界安全,三是电子商务的安全。
数据加密、数据库加密的技术现状和未来的走向如何?这一领域的产品化解决方案是否可以满足行业和企业用户的需求?本期《CSO沙龙》以“数据加密、数据库加密实现数据安全”为讨论话题,介绍权威厂商在这一领域的理念、技术、产品与方案。对本期话题感兴趣或者希望进一步了解相关厂商资料的行业和企业用户,请与本栏目jiez@ccu.com.cn联系。
◆ 画龙点睛
华工安鼎的观点认为,信息安全的核心地带是数据库的安全,将数据库加密就抓住了信息安全的核心问题。
防火墙不是问题的全部
以防火墙为代表的反入侵网络安全技术不等于信息安全的全部。在绝大多数信息系统中,核心数据和资料是以数据库的方式存储,没有加密的数据库就如同没有上锁的文件柜,对别有用心的人而言,剽窃、篡改易如反掌。因此,数据库的安全问题不容忽视。
数据库加密系统是为增强普通关系数据库管理系统的安全性而设计开发的。旨在提供一个安全适用的数据库加密平台,对通信和数据库存储的内容实施有效保护。它通过通信加密、数据库存储加密等安全方法实现了数据库数据存储和通信的保密和完整性要求,使得数据库以密文方式存储并在密态方式下工作,确保了数据安全。
加密数据库迫在眉睫
经过近几年的研究,我国数据库加密技术已经比较成熟。一些公司的数据库安全中间件技术,在保护用户原有的软硬件投资的前提下,可以有效实现数据库密态存储和查询。这一技术已经在实践中得到有效应用。
那么,为什么说数据库安全的问题是当前行业和企业用户迫在眉睫的安全问题呢?
首先,反拷贝的信息安全技术是真正可靠的技术,而数据库加密技术就是此类技术之一。敌对机构之间的情报战采用的手段之一往往是最直接的收买、拷贝方式。如果敌对方买通一名通常情况下不被人们注意的清洁工,即便这位清洁工不懂任何技术,但他只需要用被情报、特工人员经常使用的硬盘拷贝机,轻轻按一个按钮就可以在几分钟之内拷走全部数据!
而此时,防火墙、入侵检测等防护系统是起不到安全保卫作用的。而数据库加密后以密文方式存储,即使被窃取、被拷贝,机密数据也不会被敌对方获取,因为这时他们获取的,只不过是一堆几乎无法破解的密码。
其次,互联网的普及,移动通信、笔记本电脑的广泛使用对数据库安全构成了更大的威胁。无线通讯中随时有可能被截取、被仿冒、被侦听。无线上网、移动通讯在给人们带来方便和高效率的同时也带来了信息安全的重大隐患。
再次,数据库安全应该与操作系统、网络安全、CPU并重,共同组成信息安全战略的重心。只有制定标准,将数据库安全作为信息安全管理的一项重要内容进行实施和有效监控,才能使信息安全得到更进一步保障。
7大特征实现数据库加密
一般而言,一个行之有效的数据库加密系统主要有以下7个方面的功能和特性。
1、身份认证:用户除提供用户名、口令外,还必须按照系统安全要求提供其它相关安全凭证。系统可以选择使用终端密钥、用户USB Key等来增强身份认证的安全性。
2、通信加密与完整性保护:有关数据库的访问在网络传输中都被加密,通信的目的地还可以校验通信的完整性;通信一次一密的意义在于防重放、防篡改。
3、数据库数据存储加密与完整性保护:系统采用数据项级存储加密,即数据库中不同的记录、每条记录的不同字段都采用不同的密钥加密,辅以校验措施来保证数据库数据存储的保密性和完整性,防止数据的非授权访问和修改。
4、数据库加密设置:系统中可以选择需要加密的数据库列,以便于用户选择那些敏感信息进行加密而不是全部数据都加密。只对用户的敏感数据加密,可以提高数据库访问速度。这样有利于用户在效率与安全性之间进行自主平衡。
5、多级密钥管理模式:主密钥和主密钥变量保存在安全区域,二级密钥受主密钥变量加密保护,数据加密的密钥存储或传输时利用二级密钥加密保护,使用时受主密钥保护。
6、安全备份:系统提供数据库明文备份功能(为防止灾难发生,系统提供明文形式的数据库内容备份功能,以防止丢失密钥或数据造成灾难性后果)和密钥备份功能(用户可以同时使用数据库管理系统的备份功能和数据库加密系统的密钥备份功能来同时备份密文和密钥,在需要时进行恢复)。
7、通用接口和广泛的平台支持:系统采用开放的体系结构,支持标准SQL语句。
相关知识库
◆ 数据加密的几种算法
加密算法是一些公式和法则,它规定了明文和密文之间的变换方法。密钥是控制加密算法和解密算法的关键信息,它的产生、传输、存储等工作是十分重要的。
数据加密的基本过程包括对明文(即可读信息)进行翻译,译成密文或密码的代码形式。该过程的逆过程为解密,即将该编码信息转化为其原来的形式的过程。
DES算法 DES(Data Encryption Standard)是由IBM公司在1970年以后发展起来的,于1976年11月被美国政府采用,DES随后被美国国家标准局和美国国家标准协会(American National Standard Institute,ANSI)承认。
三重DES DES的密码学缺点是密钥长度相对比较短,因此,人们又想出了一个解决其长度的方法,即采用三重DES。
RSA算法 它是第一个既能用于数据加密也能用于数字签名的算法。它易于理解和操作,也很流行。算法的名字以发明者的名字命名:Ron Rivest, AdiShamir 和Leonard Adleman。
AES算法 它是21世纪最新的取代DES算法的商用加密标准,在理论上,此加密方法需要国家军事量级的破解设备运算10年以上时间才可能破译。