數(shù)據(jù)存儲(chǔ)加密技術(shù)可以有效的解決數(shù)據(jù)庫可能存在的安全問題，是實(shí)現(xiàn)數(shù)據(jù)安全最可靠的手段。今天，我們就通過本文來了解一下TFE透明文件加密技術(shù)。

TFE透明文件加密的原理

透明文件加密的英文名為Transparent File Encryption，簡稱為TFE，是在操作系統(tǒng)的文件管理子系統(tǒng)上部署加密插件來實(shí)現(xiàn)數(shù)據(jù)加密，基于用戶態(tài)與內(nèi)核態(tài)交付，可實(shí)現(xiàn)“逐文件逐密鑰”加密。

在正常使用時(shí)，計(jì)算機(jī)內(nèi)存中的文件以明文形式存在，而硬盤上保存的數(shù)據(jù)是密文，如果沒有合法的使用身份、訪問權(quán)限以及正確的安全通道，加密文件都將以密文狀態(tài)被保護(hù)。

TFE透明文件加密的應(yīng)用場(chǎng)景

透明文件加密技術(shù)幾乎可以適用于任何基于文件系統(tǒng)的數(shù)據(jù)存儲(chǔ)加密需求，尤其是原生不支持透明數(shù)據(jù)加密的數(shù)據(jù)庫系統(tǒng)。

但是，由于文件系統(tǒng)加密技術(shù)無法提供針對(duì)數(shù)據(jù)庫用戶的增強(qiáng)權(quán)限控制，因此對(duì)于需要防范內(nèi)部數(shù)據(jù)庫超級(jí)用戶的場(chǎng)景并不適用。

TFE透明文件加密的優(yōu)勢(shì)

• 可對(duì)應(yīng)用進(jìn)程授權(quán)

透明文件加密的防護(hù)顆粒度較細(xì)，可以適用于對(duì)應(yīng)用進(jìn)程有綁定需求的場(chǎng)景，只有授權(quán)的“白名單”應(yīng)用進(jìn)程訪問文件時(shí)，才能獲得明文，而未授權(quán)應(yīng)用只能獲取密文。

TFE透明文件加密的挑戰(zhàn)

• 管理員風(fēng)險(xiǎn)

由于文件系統(tǒng)加密技術(shù)的數(shù)據(jù)庫無關(guān)性，因此，該加密技術(shù)不具備對(duì)系統(tǒng)用戶增強(qiáng)的權(quán)限控制能力，也無法防止內(nèi)部人員包括系統(tǒng)管理員和數(shù)據(jù)庫DBA對(duì)加密數(shù)據(jù)的訪問。

• 高性能實(shí)現(xiàn)難度大

透明文件加密技術(shù)因?yàn)槭窃诓僮飨到y(tǒng)的文件管理子系統(tǒng)上部署加密插件來實(shí)現(xiàn)數(shù)據(jù)的加密功能，因此會(huì)增加操作系統(tǒng)中用戶態(tài)的處理環(huán)節(jié)，從而對(duì)數(shù)據(jù)庫系統(tǒng)整體性能造成部分損失，要實(shí)現(xiàn)到高性能面臨工程化挑戰(zhàn)。

免責(zé)聲明：素材源于網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系刪稿。

cc

收藏 海報(bào)分享