一位著名的信息安全專家曾經說過，信息安全無外乎三個方面。一是數據安全，二是系統安全，也就是時下較為熱門的防火墻、入侵檢測及VPN等邊界安全，三是電子商務的安全。

　　數據加密、數據庫加密的技術現狀和未來的走向如何？這一領域的產品化解決方案是否可以滿足行業和企業用戶的需求？本期《CSO沙龍》以“數據加密、數據庫加密實現數據安全”為討論話題，介紹權威廠商在這一領域的理念、技術、產品與方案。對本期話題感興趣或者希望進一步了解相關廠商資料的行業和企業用戶，請與本欄目jiez@ccu.com.cn聯系。

　　◆ 畫龍點睛

　　華工安鼎的觀點認為，信息安全的核心地帶是數據庫的安全，將數據庫加密就抓住了信息安全的核心問題。

　　防火墻不是問題的全部

　　以防火墻為代表的反入侵網絡安全技術不等于信息安全的全部。在絕大多數信息系統中，核心數據和資料是以數據庫的方式存儲，沒有加密的數據庫就如同沒有上鎖的文件柜，對別有用心的人而言，剽竊、篡改易如反掌。因此，數據庫的安全問題不容忽視。

　　數據庫加密系統是為增強普通關系數據庫管理系統的安全性而設計開發的。旨在提供一個安全適用的數據庫加密平臺，對通信和數據庫存儲的內容實施有效保護。它通過通信加密、數據庫存儲加密等安全方法實現了數據庫數據存儲和通信的保密和完整性要求，使得數據庫以密文方式存儲并在密態方式下工作，確保了數據安全。

　　加密數據庫迫在眉睫

　　經過近幾年的研究，我國數據庫加密技術已經比較成熟。一些公司的數據庫安全中間件技術，在保護用戶原有的軟硬件投資的前提下，可以有效實現數據庫密態存儲和查詢。這一技術已經在實踐中得到有效應用。

　　那么，為什么說數據庫安全的問題是當前行業和企業用戶迫在眉睫的安全問題呢？

　　首先，反拷貝的信息安全技術是真正可靠的技術，而數據庫加密技術就是此類技術之一。敵對機構之間的情報戰采用的手段之一往往是最直接的收買、拷貝方式。如果敵對方買通一名通常情況下不被人們注意的清潔工，即便這位清潔工不懂任何技術，但他只需要用被情報、特工人員經常使用的硬盤拷貝機，輕輕按一個按鈕就可以在幾分鐘之內拷走全部數據！

　　而此時，防火墻、入侵檢測等防護系統是起不到安全保衛作用的。而數據庫加密后以密文方式存儲，即使被竊取、被拷貝，機密數據也不會被敵對方獲取，因為這時他們獲取的，只不過是一堆幾乎無法破解的密碼。

　　其次，互聯網的普及，移動通信、筆記本電腦的廣泛使用對數據庫安全構成了更大的威脅。無線通訊中隨時有可能被截取、被仿冒、被偵聽。無線上網、移動通訊在給人們帶來方便和高效率的同時也帶來了信息安全的重大隱患。

　　再次，數據庫安全應該與操作系統、網絡安全、CPU并重，共同組成信息安全戰略的重心。只有制定標準，將數據庫安全作為信息安全管理的一項重要內容進行實施和有效監控，才能使信息安全得到更進一步保障。

　　7大特征實現數據庫加密

　　一般而言，一個行之有效的數據庫加密系統主要有以下7個方面的功能和特性。

　　1、身份認證：用戶除提供用戶名、口令外，還必須按照系統安全要求提供其它相關安全憑證。系統可以選擇使用終端密鑰、用戶USB Key等來增強身份認證的安全性。

　　2、通信加密與完整性保護：有關數據庫的訪問在網絡傳輸中都被加密，通信的目的地還可以校驗通信的完整性；通信一次一密的意義在于防重放、防篡改。

　　3、數據庫數據存儲加密與完整性保護：系統采用數據項級存儲加密，即數據庫中不同的記錄、每條記錄的不同字段都采用不同的密鑰加密，輔以校驗措施來保證數據庫數據存儲的保密性和完整性，防止數據的非授權訪問和修改。

　　4、數據庫加密設置：系統中可以選擇需要加密的數據庫列，以便于用戶選擇那些敏感信息進行加密而不是全部數據都加密。只對用戶的敏感數據加密，可以提高數據庫訪問速度。這樣有利于用戶在效率與安全性之間進行自主平衡。

　　5、多級密鑰管理模式：主密鑰和主密鑰變量保存在安全區域，二級密鑰受主密鑰變量加密保護，數據加密的密鑰存儲或傳輸時利用二級密鑰加密保護，使用時受主密鑰保護。

　　6、安全備份：系統提供數據庫明文備份功能（為防止災難發生，系統提供明文形式的數據庫內容備份功能，以防止丟失密鑰或數據造成災難性后果）和密鑰備份功能（用戶可以同時使用數據庫管理系統的備份功能和數據庫加密系統的密鑰備份功能來同時備份密文和密鑰，在需要時進行恢復）。

　　7、通用接口和廣泛的平臺支持：系統采用開放的體系結構，支持標準SQL語句。

　　相關知識庫

　　◆ 數據加密的幾種算法

　　加密算法是一些公式和法則，它規定了明文和密文之間的變換方法。密鑰是控制加密算法和解密算法的關鍵信息，它的產生、傳輸、存儲等工作是十分重要的。

　　數據加密的基本過程包括對明文（即可讀信息）進行翻譯，譯成密文或密碼的代碼形式。該過程的逆過程為解密，即將該編碼信息轉化為其原來的形式的過程。

　　DES算法 DES(Data Encryption Standard)是由IBM公司在1970年以后發展起來的，于1976年11月被美國政府采用，DES隨后被美國國家標準局和美國國家標準協會（American National Standard Institute,ANSI）承認。

　　三重DES DES的密碼學缺點是密鑰長度相對比較短，因此，人們又想出了一個解決其長度的方法，即采用三重DES。

　　RSA算法 它是第一個既能用于數據加密也能用于數字簽名的算法。它易于理解和操作，也很流行。算法的名字以發明者的名字命名：Ron Rivest, AdiShamir 和Leonard Adleman。

　　AES算法 它是21世紀最新的取代DES算法的商用加密標準，在理論上，此加密方法需要國家軍事量級的破解設備運算10年以上時間才可能破譯。