什么是透明數(shù)據(jù)加密？

后置代理加密過(guò)于依賴數(shù)據(jù)庫(kù)自身所具備的擴(kuò)展機(jī)制，且數(shù)據(jù)在數(shù)據(jù)庫(kù)共享內(nèi)存中也是密文，導(dǎo)致在部分場(chǎng)景下的數(shù)據(jù)庫(kù)性能表現(xiàn)不佳。

因此，基于后置代理加密技術(shù)又發(fā)展出了透明數(shù)據(jù)加密技術(shù)，目的是在保持后置代理加密優(yōu)勢(shì)的同時(shí)，降低對(duì)數(shù)據(jù)庫(kù)自身擴(kuò)展機(jī)制的依賴性，從而讓數(shù)據(jù)庫(kù)系統(tǒng)性能保持在相對(duì)合理的水平之上。

透明數(shù)據(jù)庫(kù)加密方法的優(yōu)勢(shì)

和后置代理加密技術(shù)一樣，透明數(shù)據(jù)加密技術(shù)具備應(yīng)用完全透明性，此外，插件形式的透明數(shù)據(jù)加密技術(shù)也可以提供獨(dú)立權(quán)控體系，同時(shí)可以不依賴于數(shù)據(jù)庫(kù)自身的一些特殊功能，具有較強(qiáng)的開放性：

1、應(yīng)用透明

透明數(shù)據(jù)加密也是在數(shù)據(jù)庫(kù)層面對(duì)敏感數(shù)據(jù)進(jìn)行處理，應(yīng)用系統(tǒng)對(duì)數(shù)據(jù)本身及處理過(guò)程完全無(wú)感知。因此，透明數(shù)據(jù)加密技術(shù)在應(yīng)用時(shí)也不會(huì)對(duì)現(xiàn)有的應(yīng)用系統(tǒng)產(chǎn)生影響，應(yīng)用系統(tǒng)不用做任何改造即可獲得數(shù)據(jù)加密存儲(chǔ)的收益。

2、獨(dú)立權(quán)控體系

使用插件形式的透明數(shù)據(jù)加密技術(shù)，同樣可以在外置的安全服務(wù)中提供獨(dú)立于數(shù)據(jù)庫(kù)自有權(quán)控體系之外的權(quán)限控制體系，可以有效防止特權(quán)用戶(如DBA)對(duì)敏感數(shù)據(jù)的無(wú)限制訪問，進(jìn)一步保證敏感數(shù)據(jù)不會(huì)被不正當(dāng)?shù)卦L問和泄露。

3、更強(qiáng)的開放性

相對(duì)于后置代理加密技術(shù)依賴于數(shù)據(jù)庫(kù)的外部索引接口、外部接口調(diào)用等特殊功能，透明數(shù)據(jù)加密技術(shù)對(duì)數(shù)據(jù)庫(kù)自身的依賴性小，因此可以在更多類型的數(shù)據(jù)庫(kù)上使用透明數(shù)據(jù)加密技術(shù)。

4、性能優(yōu)勢(shì)

透明數(shù)據(jù)加密加密技術(shù)本身只是對(duì)數(shù)據(jù)庫(kù)引擎的存儲(chǔ)管理層進(jìn)行了功能增強(qiáng)，并不影響數(shù)據(jù)庫(kù)引擎的語(yǔ)句解析和優(yōu)化等處理過(guò)程，數(shù)據(jù)庫(kù)自身在數(shù)據(jù)存儲(chǔ)、管理和使用等方面的所有優(yōu)勢(shì)都依然可以保留，因此，透明數(shù)據(jù)加密技術(shù)相對(duì)于前面幾種數(shù)據(jù)庫(kù)加密技術(shù)具備性能上明顯優(yōu)勢(shì)。

透明數(shù)據(jù)庫(kù)加密方法的劣勢(shì)

透明數(shù)據(jù)庫(kù)加密是當(dāng)前主流商業(yè)數(shù)據(jù)庫(kù)產(chǎn)品所有具有的數(shù)據(jù)安全增強(qiáng)特性，但由數(shù)據(jù)庫(kù)廠商提供的透明數(shù)據(jù)加密功能完全依賴于他們自己的設(shè)計(jì)，尤其是在密鑰管理的開放性方面，通常不能集成使用第三方密鑰系統(tǒng)，而且，這些數(shù)據(jù)庫(kù)內(nèi)置的透明數(shù)據(jù)加密無(wú)法屏蔽數(shù)據(jù)庫(kù)超級(jí)用戶對(duì)加密數(shù)據(jù)的無(wú)限制訪問。

插件形式的透明數(shù)據(jù)加密可以解決密鑰系統(tǒng)開放性和實(shí)現(xiàn)獨(dú)立于數(shù)據(jù)庫(kù)自身權(quán)控體系的增強(qiáng)權(quán)限控制，但由于使用插件技術(shù)，對(duì)于數(shù)據(jù)庫(kù)的版本有較強(qiáng)的依賴，即使專業(yè)的數(shù)據(jù)安全廠商，也僅能對(duì)有限的幾種類型的數(shù)據(jù)庫(kù)實(shí)現(xiàn)透明數(shù)據(jù)加密插件，在數(shù)據(jù)庫(kù)類型適用性上有一定的限制。