如何通过数据库加密来保护敏感数据安全.docxVIP

PAGE 1 PAGE 1 如何通过数据库加密来保护敏感数据安全  数据库已渐渐成为IT主管们优先部署的项目，防火墙和应用程序安全已经不再足以保护现在的业务和开发复杂的数据。如何减轻数据泄漏的风险以及符合各种法规的规定是迫使IT主管开始考虑数据库加密的主要推动力。本文将争论如何解决这些挑战以及关于数据库加密的最佳做法的建议。  许多企业都在努力克服数据库带来的很多挑战，现在的企业最关系的是密钥管理，并认为这是数据库加密中最大的挑战。企业们同时也面临着许多其他问题，例如如何分别数据库和安全管理，如何掌握密钥的使用和复制，以及如何向审计员证明数据的安全性等。  许多不同的部门都需要通过数据库加密实现安全性，并且企业遵守监管法规也需要数据库加密。例如，公共部门需要使用数据库加密来保护公民隐私和国家安全。最早在美国发起的，现在许多国家政府必需符合FIPS(联邦信息处理标准)验证密钥存储。  对于金融服务行业而言，不仅仅涉及保护隐私问题，而且需要符合许多规定(如支付卡行业数据安全标准PCIDSS等)。这就使企业部署的政策不仅要定义哪些数据需要被加密以及如何加密，还要在密钥和密钥管理方面部署一些严格的要求。事实上，PCI1.2版的要求3(涉及保护存储持卡人数据方面的)好像是比较难符合的一个条款。能够帮助企业解决与该规定相关的加密问题的方法就是纵深防备原则，该原则提倡在多层面部署强大的安全，从物理安全和访问掌握，到权利转移和网络安全(包括防火墙，以及重要的动态和静态数据)。  强有力的安全功能其实都是在努力减小攻击者和恶意用户可以利用的攻击面，假如某种攻击方式太复杂，他们将会试图选择其他方式攻击其他漏洞。  解决密钥管理问题  数据加密协作密钥管理共同部署是很重要的，然而，这也是数据库加密的主要障碍，大家都知道，密钥使用必需受到严格的掌握，密钥被分也是极其重要的。但是，由于加密和数据库应用服务器，安全人员和管理人员需要一个集中的方法来确定密钥政策和实施密钥管理。  但是，在相同的安全世界只有相对较少的硬件安全模块(HSM)可以管理大型应用服务器、物理服务器和集群。这种集中策略能够降低整体成本，因为简化了密钥管理。在有些行业的数据保留政策要求存储数据7年甚至以上，保留加密的数据以为着企业需要确保他们能够管理加密数据的密钥的存储状况。  加密的另一个最佳实践做法就是，加密密钥肯定不能存储在其加密的数据四周，应当将加密密钥放在HSM中。此外，硬件可以更好的保护加密密钥，因为应用程序从来不会直接处理密钥，加密密钥永久不会离开该设备，密钥也不会在主机系统被破坏。因此，未经授权的员工或者数据盗贼就不可能访问密钥或者加密功能以及使用密钥的操作。  职责分别和双重管理  越来越多的企业开始关注职责分别和双重掌握，这些是通过审计的必要条件，以表明部署了内部掌握来抵挡恶意或者未经授权的员工。许多不同的法规要求都需要这种职责分别和双重掌握。数据库管理员和根管理员必需对他们的权限有一定的限制，例如，他们不应当允许管理加密密钥，他们不能对某特定机器拥有太多的权利或者特权。  HSM可以通过分别密钥管理的数据库和安全管理权限来帮助实现职责分别，例如，规定三个安全管理员必需联合对加密基础设施作出修改才能生效，一名数据库管理员可以授权密钥的使用。  企业通常会选择使用智能卡和密码来解锁由透明数据加密(TDE)保护的数据库，这种联合管理的职责分别和双重掌握方法能够预防任何一个人具有单独破坏系统的能力。  总结  公司数据库管理者最敏感的企业数据，因此，毫无疑问，部署数据库加密保护这种数据成为企业的优先项目。但是加密必需协作密钥管理才能供应最高级别的安全性。假如企业能够遵守这个最佳做法，他们将会发觉他们不仅能够保护企业的最敏感数据，他们还能够协助企业遵守政府和行业规定。这样做的话，他们就能够防止数据泄漏事故的发生，更重要的是，能够保护企业品牌和声誉。  如有任何看法或投稿请联系:zhaom@e-works.net.cnMSN:zhaoman123329@live.cnQQ