山丽网安：数据的堡垒需内外兼修加密软件提供攻守之力_数据_

山丽网安：数据的堡垒需内外兼修加密软件提供攻守之力

2013/11/6 8:47:15

数据作为信息时代最重要的元素，在信息技术和互联网的双重作用下正发挥着越来越重要的价值。而随着全球信息化的推进，数据、信息的数量也在急速膨胀中。而就数据本身来说，单一数据发挥价值的空间正被无限压缩，大数据、集合数据、联动数据、数据库正成为发挥巨大价值的数据集合体，它们可以看成一座座数据的堡垒，在信息时代正发挥着惊人的战斗力。

但是堡垒也不是“无坚不摧、战无不胜”的，数据的集合体，正遭受着来自内部和外部的双重安全压力，一旦处理不慎，就会使堡垒瞬间崩塌，对个人、企业甚至国家造成不可估量的损失。而对于数据堡垒的安全威胁，数据库的安全现状最为典型。下面就让信息安全领域的专家带您一同去了解数据库的安全现状，并找寻攻守兼备的数据安全防护之法吧。

数据库的也有内外之分

当我们谈到“数据库安全”时，我们往往只会想到数据库用户(如Oracle的超级用户sys)，以及这些用户拥有的系统权限(SYSDBA、SYSOPER、ALTER SYSTEM、CREATE TABLE等等)和对象权限(SELECT、INSERT、UPDATE、DELETE等)。没错，这些是数据库安全的范畴，但是仅仅依靠这些机制，能够保证数据库安全吗？答案当然是：不能!这些是数据库内部的安全，而数据库的安全同样需要来自外部的保证。也就是说，数据库的“内部安全”和“外部安全”形成了数据库的真正安全。

全面了解才能内外兼修

“数据库内部安全”和“数据库外部安全”形成了数据库安全的体系结构。这个体系结构既包含数据库自身的安全机制，也包含第三方的安全机制。该体系结构包括如下部分。

路由器：路由器用于连接内网和外网，从内网进入外网的数据要经过路由器，从外网进来的数据也要经过路由器，因此，路由器的安全十分重要。

WEB服务器：WEB服务器(应用服务器)的安全也尤为重要，因为它们直接连接数据库，一些非法用户通过攻击WEB服务器或者应用服务器获得数据库的信息。

主机：数据库所在的主机安全也很重要，一旦获得主机的控制权，黑客将轻易控制数据库。主机上也可以安装软件防火墙，此外，还可以采取其它措施(包括技术性的和非技术性的)来确保主机的安全。

监听器：客户端在访问数据库之前，要通过监听器进行连接，监听器有时候也会成为“泄密者”，因此，我们要经常研究和防范监听器的安全风险。

认证机制：在连接数据库时，需要对用户进行认证，可以使用数据库自身的认证机制，也可以使用操作系统认证和外部认证。外部认证机制有KERBEROS、RADIUS、SSL等。

加密：数据在网络的传输过程中，我们可以对数据进行加密，可以用RC4、DES、Triple-DES、AES等对网络传输的数据进行加密，这样的加密是网络层面的，并不是数据库层面。在数据库层面，我们可以对特定的表进行加密，也可以对整个表空间进行加密，此外，也可以对存储过程或者函数进行加密，Oracle提供了工具wrap来加密包括存储过程、函数、包等的PL/SQL源代码。数据字典也可以被加密。

Oracle应用：为了“掩盖”数据的真相，Oracle通过视图掩盖基表，通过虚拟私有数据库控制用户对特定数据的访问。Oracle Label Security也用来限制用户对数据的访问。谈到数据库安全时，也不能不谈到Oracle Database Vault，它存在一定的应用场景中，用于限制超级用户。

审计：审计是数据库安全最重要的一个环节之一，它对数据库的用户行为进行监控，除了Oracle自带的审计功能，我们也可以使用第三方的产品。

攻守之力需要从数据安全核心出发

虽然数据库的安全被划分成了很多系统的部分，但有一点我们必须明白，不管体系制定的如何严密，受到威胁的对象永远是那些价值数据本身。所以要保证安全的底线，数据加密必不可少。同时不管是数据库被划分成了各种安全体系的关系，还是外部多样的安全危机，多样环境和多样危机使得防护技术也必须灵活且全面。在这种条件下，采用国际先进多模加密技术对类似数据库这种数据集合体进行防护是最好的选择。

多模加密技术采用对称算法和非对称算法相结合的技术，在确保了数据本源防护效果的同时，灵活特性使它能适用于多种安全环境和多样安全威胁所产生的不同加密需求。而技术采用的基于系统内核的透明加密在确保加密便利性的同时，加密与格式无关的特性也使得技术本身的全面性大大提高。值得一提的是，如此灵活且全面的安全防护技术，其使用的典型代表正是山丽的防水墙系列。

随着信息技术和互联网的进一步发展，数据的基数将越来越大，由此产生的大数据、数据库等数据集合体将成为我们安全防护的重点。但是不管数据的聚合方式是怎样的，对于数据有本源防护效果的加密软件总是其中最好的选择！

关键字：数据安全加密软件数据加密