山丽网安：数据的堡垒需内外兼修 加密软件提供攻守之力.pdfVIP

山丽网安：数据的堡垒需内外兼修加密软件提供攻守之力

数据作为信息时代最重要的元素，在信息技术和互联网的双重作用下正发挥着越来越重

要的价值。而随着全球信息化的推进，数据、信息的数量也在急速膨胀中。而就数据本身来

说，单一数据发挥价值的空间正被无限压缩，大数据、集合数据、联动数据、数据库正成为

发挥巨大价值的数据集合体，它们可以看成一座座数据的堡垒，在信息时代正发挥着惊人的

战斗力。

但是堡垒也不是“无坚不摧、战无不胜〞的，数据的集合体，正遭受着来自内部和外部

的双重平安压力，一旦处理不慎，就会使堡垒瞬间崩塌，对个人、企业甚至国家造成不可估

量的损失。而对于数据堡垒的平安威胁，数据库的平安现状最为典型。下面就让信息平安领

域的专家带您一同去了解数据库的平安现状，并找寻攻守兼备的数据平安防护之法吧。

数据库的也有内外之分

当我们谈到“数据库平安〞时，我们往往只会想到数据库用户(如Oracle的超级用户

sys)，以及这些用户拥有的系统权限(SYSDBA、SYSOPER、ALTERSYSTEM、CREATETABLE等

等)和对象权限(SELECT、INSERT、UPDATE、DELETE等)。没错，这些是数据库平安的范畴，

但是仅仅依靠这些机制，能够保证数据库平安吗？答案当然是：不能!这些是数据库内部的

平安，而数据库的平安同样需要来自外部的保证。也就是说，数据库的“内部平安〞和“外

部平安〞形成了数据库的真正平安。

全面了解才能内外兼修

“数据库内部平安〞和“数据库外部平安〞形成了数据库平安的体系结构。这个体系结

构既包含数据库自身的平安机制，也包含第三方的平安机制。该体系结构包括如下局部。

路由器：路由器用于连接内网和外网，从内网进入外网的数据要经过路由器，从外网进

来的数据也要经过路由器，因此，路由器的平安十分重要。

WEB效劳器：WEB效劳器(应用效劳器)的平安也尤为重要，因为它们直接连接数据库，

一些非法用户通过攻击WEB效劳器或者应用效劳器获得数据库的信息。

主机：数据库所在的主机平安也很重要，一旦获得主机的控制权，黑客将轻易控制数据

库。主机上也可以安装软件防火墙，此外，还可以采取其它措施(包括技术性的和非技术性

的)来确保主机的平安。

监听器：客户端在访问数据库之前，要通过监听器进行连接，监听器有时候也会成为“泄

密者〞，因此，我们要经常研究和防范监听器的平安风险。

认证机制：在连接数据库时，需要对用户进行认证，可以使用数据库自身的认证机制，

也可以使用操作系统认证和外部认证。外部认证机制有KERBEROS、RADIUS、SSL等。

加密：数据在网络的传输过程中，我们可以对数据进行加密，可以用RC4、DES、

Triple-DES、AES等对网络传输的数据进行加密，这样的加密是网络层面的，并不是数据库

层面。在数据库层面，我们可以对特定的表进行加密，也可以对整个表空间进行加密，此外，

也可以对存储过程或者函数进行加密，Oracle提供了工具wrap来加密包括存储过程、函数、

包等的PL/SQL源代码。数据字典也可以被加密。

Oracle应用：为了“掩盖〞数据的真相，Oracle通过视图掩盖基表，通过虚拟私有数

据库控制用户对特定数据的访问。OracleLabelSecurity也用来限制用户对数据的访问。

谈到数据库平安时，也不能不谈到OracleDatabaseVault，它存在一定的应用场景中，用

于限制超级用户。

审计：审计是数据库平安最重要的一个环节之一，它对数据库的用户行为进行监控，除

了Oracle自带的审计功能，我们也可以使用第三方的产品。

攻守之力需要从数据平安核心出发

虽然数据库的平安被划分成了很多系统的局部，但有一点我们必须明白，不管体系制定

的如何严密，受到威胁的对象永远是那些价值数据本身。所以要保证平安的底线，数据加密

必不可少。同时不管是数据库被划分成了各种平安体系的关系，还是外部多样的平安危机，

多样环境和多样危机使得防护技术也必须灵巧且全面。在这种条件下，采用国际先进多模加

密技术对类似数据库这种数据集合体进行防护是最好的选择。

多模加密技术采用对称算法和非对称算法相结合的技术，在确保了数据根源防护效果的

同时，灵巧特性使它能适用于多种平安环境和多样平安威胁所产生的不同加密需求。而技术

采用的基于系统内核的透明加密在确保加密便利性的同时，加密与格式无关的特性也使得技

术本身的全面性