什么是透明數(shù)據(jù)加密？

后置代理加密過于依賴數(shù)據(jù)庫自身所具備的擴(kuò)展機制，且數(shù)據(jù)在數(shù)據(jù)庫共享內(nèi)存中也是密文，導(dǎo)致在部分場景下的數(shù)據(jù)庫性能表現(xiàn)不佳。

因此，基于后置代理加密技術(shù)又發(fā)展出了透明數(shù)據(jù)加密技術(shù)，目的是在保持后置代理加密優(yōu)勢的同時，降低對數(shù)據(jù)庫自身擴(kuò)展機制的依賴性，從而讓數(shù)據(jù)庫系統(tǒng)性能保持在相對合理的水平之上。

透明數(shù)據(jù)庫加密方法的優(yōu)勢

和后置代理加密技術(shù)一樣，透明數(shù)據(jù)加密技術(shù)具備應(yīng)用完全透明性，此外，插件形式的透明數(shù)據(jù)加密技術(shù)也可以提供獨立權(quán)控體系，同時可以不依賴于數(shù)據(jù)庫自身的一些特殊功能，具有較強的開放性：

1、應(yīng)用透明

透明數(shù)據(jù)加密也是在數(shù)據(jù)庫層面對敏感數(shù)據(jù)進(jìn)行處理，應(yīng)用系統(tǒng)對數(shù)據(jù)本身及處理過程完全無感知。因此，透明數(shù)據(jù)加密技術(shù)在應(yīng)用時也不會對現(xiàn)有的應(yīng)用系統(tǒng)產(chǎn)生影響，應(yīng)用系統(tǒng)不用做任何改造即可獲得數(shù)據(jù)加密存儲的收益。

2、獨立權(quán)控體系

使用插件形式的透明數(shù)據(jù)加密技術(shù)，同樣可以在外置的安全服務(wù)中提供獨立于數(shù)據(jù)庫自有權(quán)控體系之外的權(quán)限控制體系，可以有效防止特權(quán)用戶(如DBA)對敏感數(shù)據(jù)的無限制訪問，進(jìn)一步保證敏感數(shù)據(jù)不會被不正當(dāng)?shù)卦L問和泄露。

3、更強的開放性

相對于后置代理加密技術(shù)依賴于數(shù)據(jù)庫的外部索引接口、外部接口調(diào)用等特殊功能，透明數(shù)據(jù)加密技術(shù)對數(shù)據(jù)庫自身的依賴性小，因此可以在更多類型的數(shù)據(jù)庫上使用透明數(shù)據(jù)加密技術(shù)。

4、性能優(yōu)勢

透明數(shù)據(jù)加密加密技術(shù)本身只是對數(shù)據(jù)庫引擎的存儲管理層進(jìn)行了功能增強，并不影響數(shù)據(jù)庫引擎的語句解析和優(yōu)化等處理過程，數(shù)據(jù)庫自身在數(shù)據(jù)存儲、管理和使用等方面的所有優(yōu)勢都依然可以保留，因此，透明數(shù)據(jù)加密技術(shù)相對于前面幾種數(shù)據(jù)庫加密技術(shù)具備性能上明顯優(yōu)勢。

透明數(shù)據(jù)庫加密方法的劣勢

透明數(shù)據(jù)庫加密是當(dāng)前主流商業(yè)數(shù)據(jù)庫產(chǎn)品所有具有的數(shù)據(jù)安全增強特性，但由數(shù)據(jù)庫廠商提供的透明數(shù)據(jù)加密功能完全依賴于他們自己的設(shè)計，尤其是在密鑰管理的開放性方面，通常不能集成使用第三方密鑰系統(tǒng)，而且，這些數(shù)據(jù)庫內(nèi)置的透明數(shù)據(jù)加密無法屏蔽數(shù)據(jù)庫超級用戶對加密數(shù)據(jù)的無限制訪問。

插件形式的透明數(shù)據(jù)加密可以解決密鑰系統(tǒng)開放性和實現(xiàn)獨立于數(shù)據(jù)庫自身權(quán)控體系的增強權(quán)限控制，但由于使用插件技術(shù)，對于數(shù)據(jù)庫的版本有較強的依賴，即使專業(yè)的數(shù)據(jù)安全廠商，也僅能對有限的幾種類型的數(shù)據(jù)庫實現(xiàn)透明數(shù)據(jù)加密插件，在數(shù)據(jù)庫類型適用性上有一定的限制。