常见的数据存储加密方法有以下5种
1.数据加密存储:文件级加密
文件级加密可以在主机或网络附加存储这一层以嵌入式的方法实现,但文件级加密会引起性能问题;在执行数据备份操作时,会带来某些局限性。
2.数据加密存储:数据库级加密
数据库级加密可以实现对数据的字段进行加密,数据库级加密因为加密和解密一般由软件而不是硬件来执行,会导致整个系统的性能下降。
3.数据加密存储:介质级加密
介质级加密是对存储设备上的静态数据进行加密,介质级加密可以为用户和应用提供很高的透明度,但只有到达了存储设备,数据才可以进行加密,所以介质级加密可以防范窃取物理存储介质。
4.数据加密存储:嵌入式加密设备
嵌入式加密设备是放在存储区域网中的,介于存储设备和请求加密数据的服务器之间,嵌入式加密设备可以对存储设备的数据进行加密,且可以保护静态数据,但嵌入式加密设备扩展难度大,成本高。
5.数据加密存储:应用加密
应用加密是将加密技术集成在商业应用中是加密级别的最高境界,可以确保只有特定的用户能够通过特定的应用访问数据,从而获得关键数据的访问权。
数据存储加密的场景方案要对数据进行有效的存储安全管理,可遵循如下步骤:
步骤1:分析并确定要保护的关键数据
要对数据进行保护之前,首先要确定哪些数据需要保护和为什么要保护这些数据。这其本质是一个数据分级的问题。数据分级从概念上讲是根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度,按照一定的原则和方法进行定义。另一方面也需要关注的就是法规遵从性需求。例如《数据安全法》第二十一条就规定,”国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”。下图就是就是按数据敏感程度做的一个划分示例
步骤2:选择适合技术方案和加密算法
作为数据防护是否能够成功实施的关键,企业需要在关键数据的安全性、保持应用系统的功能可用性,和系统可维护性方面综合考虑,来确定适合企业需要的加密保护的技术方案。下表罗列常用加密技术及应对的安全风险。
磁盘加密
磁盘采用的块级别加密技术,例如AWS的EBS,阿里云的ECS等都支持磁盘加密。这种加密最大的好处在于,它对操作系统是透明的。性能在加密后较加密前有所降低,根据上层应用的不同性能下降幅度各异。
文件加密
通过堆叠在其它文件系统之上(如 Ext2, Ext3, ReiserFS, JFS 等),为应用程序提供透明、动态、高效和安全的加密功能。典型的是用于加密指定的目录。需要关注的是这种加密方式可能会产生较大的性能损失。
数据库加密-TDE
透明数据加密TDE,是数据库提供的一种加密技术,即对数据文件执行实时I/O加密和解密。数据在写入磁盘之前进行加密,从磁盘读入内存时进行解密。TDE不会增加数据文件的大小,开发人员无需更改任何应用程序。其对应密钥管理也是由数据库提供的API或组件实现,应用透明。在某些场景下磁盘或系统无法对用户开放(如云环境)的条件下,这种方式就比较适合。
数据库加密-三方加固
数据库加密还有种方式是采用对数据库进行三方加固的方式,即将第三方专业数据库加密厂商的产品内置在数据库之中,提供透明数据加密能力。所谓透明是指,用户应用系统不需要做改造即可使用,且具有权限的用户看到的是明文数据,完全无感。此外,还可以增强原有数据库的安全能力,如提供三权分立、脱敏展示等。
应用层加密
应用层加密,可以说是一种终极方案,其可保证在数据到达数据库之前,就已经做了数据加密,可实时保护用户敏感数据。这里关键需要提供应用透明性,保证应用无需改造或仅需少量改造。这种方式完全由用户自己控制,无需信任任何三方厂商提供的数据安全保障,得到充分的自由度和灵活性。例如可以跨多数据库提供统一安全加密策略等。
步骤3:保护好数据的加密密钥
为了保护好加密数据,不会被非法窃取,需要保护好数据的加密密钥。避免第三方厂商或个人接触到明文数据,最好做法就是将密文数据的密钥控制在用户自己手中。密钥管理包含了密钥的创建、存储、生命期管理、保护。密钥的安全性直接决定了加密数据的安全性。建议密钥独立存储,并采用根密钥保护,根密钥受硬件加密卡保护,或者被KMS服务的密码保护。所谓KMS密钥管理,是通过用户的口令保护主密钥,口令正确主密钥解密;主密钥对密钥文件进行保护,只有主密钥成功解密后,密钥文件才能使用,最后通过密钥文件生成可用的密钥。
56万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
