一位著名的信息安全專家曾經(jīng)說過，信息安全無外乎三個方面。一是數(shù)據(jù)安全，二是系統(tǒng)安全，也就是時下較為熱門的防火墻、入侵檢測及VPN等邊界安全，三是電子商務(wù)的安全。

　　數(shù)據(jù)加密、數(shù)據(jù)庫加密的技術(shù)現(xiàn)狀和未來的走向如何？這一領(lǐng)域的產(chǎn)品化解決方案是否可以滿足行業(yè)和企業(yè)用戶的需求？本期《CSO沙龍》以“數(shù)據(jù)加密、數(shù)據(jù)庫加密實現(xiàn)數(shù)據(jù)安全”為討論話題，介紹權(quán)威廠商在這一領(lǐng)域的理念、技術(shù)、產(chǎn)品與方案。對本期話題感興趣或者希望進一步了解相關(guān)廠商資料的行業(yè)和企業(yè)用戶，請與本欄目jiez@ccu.com.cn聯(lián)系。

　　◆ 畫龍點睛

　　華工安鼎的觀點認(rèn)為，信息安全的核心地帶是數(shù)據(jù)庫的安全，將數(shù)據(jù)庫加密就抓住了信息安全的核心問題。

　　防火墻不是問題的全部

　　以防火墻為代表的反入侵網(wǎng)絡(luò)安全技術(shù)不等于信息安全的全部。在絕大多數(shù)信息系統(tǒng)中，核心數(shù)據(jù)和資料是以數(shù)據(jù)庫的方式存儲，沒有加密的數(shù)據(jù)庫就如同沒有上鎖的文件柜，對別有用心的人而言，剽竊、篡改易如反掌。因此，數(shù)據(jù)庫的安全問題不容忽視。

　　數(shù)據(jù)庫加密系統(tǒng)是為增強普通關(guān)系數(shù)據(jù)庫管理系統(tǒng)的安全性而設(shè)計開發(fā)的。旨在提供一個安全適用的數(shù)據(jù)庫加密平臺，對通信和數(shù)據(jù)庫存儲的內(nèi)容實施有效保護。它通過通信加密、數(shù)據(jù)庫存儲加密等安全方法實現(xiàn)了數(shù)據(jù)庫數(shù)據(jù)存儲和通信的保密和完整性要求，使得數(shù)據(jù)庫以密文方式存儲并在密態(tài)方式下工作，確保了數(shù)據(jù)安全。

　　加密數(shù)據(jù)庫迫在眉睫

　　經(jīng)過近幾年的研究，我國數(shù)據(jù)庫加密技術(shù)已經(jīng)比較成熟。一些公司的數(shù)據(jù)庫安全中間件技術(shù)，在保護用戶原有的軟硬件投資的前提下，可以有效實現(xiàn)數(shù)據(jù)庫密態(tài)存儲和查詢。這一技術(shù)已經(jīng)在實踐中得到有效應(yīng)用。

　　那么，為什么說數(shù)據(jù)庫安全的問題是當(dāng)前行業(yè)和企業(yè)用戶迫在眉睫的安全問題呢？

　　首先，反拷貝的信息安全技術(shù)是真正可靠的技術(shù)，而數(shù)據(jù)庫加密技術(shù)就是此類技術(shù)之一。敵對機構(gòu)之間的情報戰(zhàn)采用的手段之一往往是最直接的收買、拷貝方式。如果敵對方買通一名通常情況下不被人們注意的清潔工，即便這位清潔工不懂任何技術(shù)，但他只需要用被情報、特工人員經(jīng)常使用的硬盤拷貝機，輕輕按一個按鈕就可以在幾分鐘之內(nèi)拷走全部數(shù)據(jù)！

　　而此時，防火墻、入侵檢測等防護系統(tǒng)是起不到安全保衛(wèi)作用的。而數(shù)據(jù)庫加密后以密文方式存儲，即使被竊取、被拷貝，機密數(shù)據(jù)也不會被敵對方獲取，因為這時他們獲取的，只不過是一堆幾乎無法破解的密碼。

　　其次，互聯(lián)網(wǎng)的普及，移動通信、筆記本電腦的廣泛使用對數(shù)據(jù)庫安全構(gòu)成了更大的威脅。無線通訊中隨時有可能被截取、被仿冒、被偵聽。無線上網(wǎng)、移動通訊在給人們帶來方便和高效率的同時也帶來了信息安全的重大隱患。

　　再次，數(shù)據(jù)庫安全應(yīng)該與操作系統(tǒng)、網(wǎng)絡(luò)安全、CPU并重，共同組成信息安全戰(zhàn)略的重心。只有制定標(biāo)準(zhǔn)，將數(shù)據(jù)庫安全作為信息安全管理的一項重要內(nèi)容進行實施和有效監(jiān)控，才能使信息安全得到更進一步保障。

　　7大特征實現(xiàn)數(shù)據(jù)庫加密

　　一般而言，一個行之有效的數(shù)據(jù)庫加密系統(tǒng)主要有以下7個方面的功能和特性。

　　1、身份認(rèn)證：用戶除提供用戶名、口令外，還必須按照系統(tǒng)安全要求提供其它相關(guān)安全憑證。系統(tǒng)可以選擇使用終端密鑰、用戶USB Key等來增強身份認(rèn)證的安全性。

　　2、通信加密與完整性保護：有關(guān)數(shù)據(jù)庫的訪問在網(wǎng)絡(luò)傳輸中都被加密，通信的目的地還可以校驗通信的完整性；通信一次一密的意義在于防重放、防篡改。

　　3、數(shù)據(jù)庫數(shù)據(jù)存儲加密與完整性保護：系統(tǒng)采用數(shù)據(jù)項級存儲加密，即數(shù)據(jù)庫中不同的記錄、每條記錄的不同字段都采用不同的密鑰加密，輔以校驗措施來保證數(shù)據(jù)庫數(shù)據(jù)存儲的保密性和完整性，防止數(shù)據(jù)的非授權(quán)訪問和修改。

　　4、數(shù)據(jù)庫加密設(shè)置：系統(tǒng)中可以選擇需要加密的數(shù)據(jù)庫列，以便于用戶選擇那些敏感信息進行加密而不是全部數(shù)據(jù)都加密。只對用戶的敏感數(shù)據(jù)加密，可以提高數(shù)據(jù)庫訪問速度。這樣有利于用戶在效率與安全性之間進行自主平衡。

　　5、多級密鑰管理模式：主密鑰和主密鑰變量保存在安全區(qū)域，二級密鑰受主密鑰變量加密保護，數(shù)據(jù)加密的密鑰存儲或傳輸時利用二級密鑰加密保護，使用時受主密鑰保護。

　　6、安全備份：系統(tǒng)提供數(shù)據(jù)庫明文備份功能（為防止災(zāi)難發(fā)生，系統(tǒng)提供明文形式的數(shù)據(jù)庫內(nèi)容備份功能，以防止丟失密鑰或數(shù)據(jù)造成災(zāi)難性后果）和密鑰備份功能（用戶可以同時使用數(shù)據(jù)庫管理系統(tǒng)的備份功能和數(shù)據(jù)庫加密系統(tǒng)的密鑰備份功能來同時備份密文和密鑰，在需要時進行恢復(fù)）。

　　7、通用接口和廣泛的平臺支持：系統(tǒng)采用開放的體系結(jié)構(gòu)，支持標(biāo)準(zhǔn)SQL語句。

　　相關(guān)知識庫

　　◆ 數(shù)據(jù)加密的幾種算法

　　加密算法是一些公式和法則，它規(guī)定了明文和密文之間的變換方法。密鑰是控制加密算法和解密算法的關(guān)鍵信息，它的產(chǎn)生、傳輸、存儲等工作是十分重要的。

　　數(shù)據(jù)加密的基本過程包括對明文（即可讀信息）進行翻譯，譯成密文或密碼的代碼形式。該過程的逆過程為解密，即將該編碼信息轉(zhuǎn)化為其原來的形式的過程。

　　DES算法 DES(Data Encryption Standard)是由IBM公司在1970年以后發(fā)展起來的，于1976年11月被美國政府采用，DES隨后被美國國家標(biāo)準(zhǔn)局和美國國家標(biāo)準(zhǔn)協(xié)會（American National Standard Institute,ANSI）承認(rèn)。

　　三重DES DES的密碼學(xué)缺點是密鑰長度相對比較短，因此，人們又想出了一個解決其長度的方法，即采用三重DES。

　　RSA算法 它是第一個既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。它易于理解和操作，也很流行。算法的名字以發(fā)明者的名字命名：Ron Rivest, AdiShamir 和Leonard Adleman。

　　AES算法 它是21世紀(jì)最新的取代DES算法的商用加密標(biāo)準(zhǔn)，在理論上，此加密方法需要國家軍事量級的破解設(shè)備運算10年以上時間才可能破譯。