（一）全盤加密

采用全盤加密系統(tǒng)或者存儲(chǔ)加密網(wǎng)關(guān)系統(tǒng)，將數(shù)據(jù)庫文件所在的磁盤扇區(qū)進(jìn)行加密。當(dāng)數(shù)據(jù)庫訪問磁盤扇區(qū)的時(shí)候，對(duì)加密扇區(qū)再進(jìn)行解密。這種方式對(duì)于數(shù)據(jù)庫自身來說是透明的，數(shù)據(jù)庫管理系統(tǒng)也感覺不到加密解密過程的存在。這種加密方式工作在存儲(chǔ)層，僅能防止磁盤丟失時(shí)敏感數(shù)據(jù)遭受泄漏。所有對(duì)磁盤具有訪問權(quán)限的用戶都可以訪問到真實(shí)的數(shù)據(jù)庫文件。因而，對(duì)于控制了操作系統(tǒng)的攻擊者來說，并沒有防護(hù)能力。

（二）文件加密

在操作系統(tǒng)文件驅(qū)動(dòng)層將數(shù)據(jù)庫的存儲(chǔ)文件經(jīng)過加密后存儲(chǔ)到磁盤上。當(dāng)數(shù)據(jù)庫訪問存儲(chǔ)文件的時(shí)候，再進(jìn)行解密。這種方式對(duì)于數(shù)據(jù)庫自身來說也是透明的，數(shù)據(jù)庫管理系統(tǒng)也感覺不到加密解密過程的存在。這種加密方式能防止磁盤丟失和文件被復(fù)制導(dǎo)致的敏感數(shù)據(jù)泄漏。但是，對(duì)于控制了數(shù)據(jù)庫系統(tǒng)的攻擊者來說，文件還是開放的，因而也沒有真正的防護(hù)能力。

（三）數(shù)據(jù)庫自帶加密

某些數(shù)據(jù)庫自身提供了加密機(jī)制，在數(shù)據(jù)庫內(nèi)核實(shí)現(xiàn)了存儲(chǔ)的加密。這種加密方式能防止磁盤丟失和文件被復(fù)制導(dǎo)致的敏感數(shù)據(jù)泄漏。但是，對(duì)于控制了數(shù)據(jù)庫系統(tǒng)的攻擊者來說卻是開放的，并沒有防護(hù)能力。而且其密鑰管理通常不會(huì)對(duì)數(shù)據(jù)庫用戶開放，安全性得不到保證，也得不到國內(nèi)相關(guān)評(píng)測(cè)機(jī)構(gòu)的認(rèn)可。

cc

收藏 海報(bào)分享