企業是否應該選擇和部署企業數據庫加密策略

現在大部分研究主要集中在數據庫基礎設施安全，也就是存儲、管理和服務數據的引擎。但我們常常忘了，攻擊者的目標是數據。事實上，企業應該更多地專注于保護數據，而不是擔心數據庫系統。

當你聽到“數據庫加密”時，你會想到什么？加密靜態數據？也許你想到加密的數據庫備份，或者對數據庫的互聯網連接。事實上，數據庫加密包括所有這些因素。從安全性、成本和性能方面來看，數據庫加密有一些不同的類型。

應用層加密

正如它的名字所暗示的，應用層加密是由使用數據庫來存儲信息的應用程序來執行。應用程序開發人員通常在發送數據到數據庫之前，會利用第三方加密庫來加密數據，當從數據庫中讀取數據時再進行解密。

這種加密方法有幾個有點，數據和加密密鑰不是存儲在數據庫，這樣，平臺或者數據庫管理員都不能訪問它們。此外，應用程序開發人員來決定加密的數據，以及細粒度的水平。

不過，這種方法也存在缺點：很難將應用層的加密調整用于傳統應用程序;每個讀取和寫入操作(SQL查詢)的數據庫必須使用加密，這需要巨大的成本來開發和測試。此外，對于加密的數據，企業不能使用一些數據庫功能，例如索引。由于加密輸出是隨機的，加密數據元素的排序也將是隨機的。

最后，加密的數據通常是二進制格式，這意味著表格必須重構為接受二進制，而不是傳統的文本、數據或貨幣數值?？傊?，應用層加密提供最高的安全性，同時需要付出最高的成本和部署時間。

本地數據庫對象加密

所有主流關系型數據庫供應商都會提供一種或者多種類型的加密，首先，我們稱之為“本地數據庫對象加密”，因為加密引擎位于數據庫內部。加密屬于數據庫代碼的一部分，你可以將其配置為保護特定的數據庫對象(例如表格和模式)。密鑰保存在數據庫內部，在系統表格中，這樣當重新啟動時，它們也可以訪問到數據庫。

本地對象加密的優勢是，它是完全自足的加密方法。這種方法對于媒體加密很有效，因為在復制到存儲驅動器或磁帶備份之前，數據已經被加密了。