数据库加密外文翻译.doc

数据库加密策略发展作者：Davida G I, Wells D B, Kam J B一、引言网络数据库是企业的心脏。这就是你最宝贵的资产，是企业存在的基础，信息交易记录，财务数据，客户信息。保护这个数据是越来越重要，越来越难。 这个数据的关键业务价值使得攻击者的明显目标。成功的攻击会造成对公司财务状况和企业形象的巨大损失。媒体的聚光灯下最经常在引人注目的案件涉及消费者的交易和信用卡号码。公众的关注，新闻报道的不良刺激，引起新的法规和数据管理的立法隐私权。但是公共关系问题是不是唯一的风险。从基于Web的交易汇总数据的启示可能会损害公司的信誉和客户的关系。数据库的攻击可以直接和严重的经济后果。数据库攻击上升，他们可能会导致损失或运行你的日常业务关键信息的妥协，从库存和计费数据，客户关系管理应用程序和人力资源的信息。在存储于数据库系统中额外的步骤和应采取预防措施，严格控制访问这些数据。本文将重点放在如何保护静态数据1.加密的数据保护虽然法律法规解读“隐私保护”的方式在一个数量，任何企业的解决方案来保护数据特别是在休息的数据必须包含两个方面：安全的加密技术来保护机密数据和访问密码钥匙解锁加密数据的精细化管理。只有你的公司做尽职保护客户的隐私。存储加密密钥加密的数据分开他们呈现无用信息如果攻击者发现了一种方法，通过在应用程序到数据库的后门。此外，分离的能力，有助于访问和管理加密密钥建立更高层次的信任和控制您的机密信息基础设施。要手段限制访问解密敏感信息和访问应锁定和可疑活动的监测记录。二、规划数据库加密策略在你开始设计一个数据库加密策略是安全的，你需要明白三件事：如何加密工程，应用程序中的数据流是如何传输，以及如何保护数据库安装到您的公司的整体安全策略。一旦你评估的安全和加密的敏感数据被聚集在你的应用程序的需要，你需要选择一个行动，以确保它是保护它一旦进入数据库。有两种方法，你可以使用你用数据库的加密功能，或执行加密和解密数据库以外的。三、实现数据库加密策略有效地保护您的数据库使用加密，三个问题是最重要的：在哪里进行加密，在哪里存储加密密钥和谁有权访问加密密钥。加密的过程可以进行1）在数据库中，如果你的数据库管理系统支持你所需要的加密功能，或2）外DBMS，在加密处理，密钥存储被卸载到集中加密服务器。这两种策略都将在下面更详细，但首先一些一般性的评论:1.数据库管理系统的特点和局限性虽然加密内部数据库可能是有利的因为它已经在你的应用程序环境的影响最小，有性能的权衡和安全问题的考虑。这取决于所使用的算法及其实现，可以降低一些加密数据库性能。如果你的数据库包括加密，它是要了解什么是重要的算法，这些算法的性能和强度，你选择什么数据加密你多少灵活性。DBMS的一个固有的脆弱性的加密用于加密的数据可能会被存储在数据库内的一个数据库表的加密密钥，以英语为母语的DBMS访问控制保护。经常的，谁能有加密的数据的访问权，也有加密密钥的访问权限的用户。这可以创建一个安全漏洞，因为加密的文本不是从分离装置解密。这也不解决方案提供足够的跟踪或可疑活动的监测。许多企业的IT经理们发现从盒子加密功能的DBMS提供的性能和关键管理非常严重的弱点，他们决定不使用他们。2.卸载加密数据库外RSA的安全建议的公司，特别是那些需要遵守Gramm里奇比利雷法或HIPAA，考虑数据库的架构，关闭负载加密处理和安全的密钥管理一个单独的，集中的加密服务器。加密服务器将进行加密或解密所需的计算。这有两个好处。它从数据库或应用程序服务器删除加密的计算开销。或许更重要的是，它允许加密数据的加密密钥的分离。在这种体系结构中的键不会离开加密服务器。锁定访问和监测加密服务器很重要，在这种情况下为好，但很容易实现。让我们更详细地审查每一个解决方案。2.1 在DBMS实现加密如果你的数据库管理系统产品内的加密功能，可以进行加密和解密数据库内的数据和过程将是您的应用程序透明的。数据一旦存储在数据库加密。任何数据，进入或离开的数据库，但是，将明文传送。这是一个最简单的数据库加密策略，但它提出了性能的权衡，必须评估安全的考虑。加密通常是在数据库的数据库程序呼叫”。一些厂商支持有限的加密功能，通过数据库附加。其他供应商可能会提供所有的或加密整个数据库不支持加密，或没有。虽然这可能保护你的备份副本的意义，对整个数据库加密方法的额外的处理是花费在非敏感数据的一种矫枉过正的情况造成不必要的性能的一个主要缺点是加密数据库内的额外的处理负载。因为加密和解密在数据库中进行的，该数据库要求进行额外的处理不仅在数据存储，但每次访问。这种额外的处理可以增加加密数据时，使用一个数据库的存储过程调用数据库中下图所示。该程序必须找到存储的加密密钥和查询。DBMS必须验证程序可以访问的关键。数据库程序，然后使用该密钥在加密算法和加密结果返回。读取数据需要同样的程序在反。考虑，例如，一个做一个排序的报告的基础上的信用卡数据和访问包含加密卡号码数据库应用。解密项目数据库程序是针对每个加密数据项目的执行。如果它是一个大的报告，可能总计达很多额外的处理。另一方面，依赖于建立在加密的数据指标的应用使过程更慢。的性能，最好是建筑师的数据，加密的数据没有被索引。但是，如果你必须索引的数据加密，加密搜索值进行搜索前。这意味着，在搜索过程中必须改变，并将需要访问加密功能以及加密密钥。在数据加密在DBMS支持有力的论据是，应用程序的加密不受影响。你可以实现数据库的加密不遗留应用程序，任何的变化，电子商务应用程序，或使用任何其他应用程序数据。然而，该解决方案中的一些同样引人注目的底片：除非你使用加密的数据库和应用程序之间的通信，数据将在风险暴露在运输。同时，如果加密密钥存储在数据库中，或者在其他数据库的数据库管理，数据库管理员可以访问它们，你的任何加密数据。当评估数据库产品，确保你明白的加密算法和基于关键尺寸的密码强度性能。许多数据库只提供DES和3DES算法，一般被认为是缓慢的表演。另一个密码，AES是从安全的角度更好，或者更高的性能和安全性评价RC5分组密码。加密密钥是基于伪随机数的生成。因此，数据的安全性取决于真正的随机数的基。你应该了解如何在你的数据库生成随机密钥。这可能有助于在购买之前决定外部安全专家对数据库产品的随机数生成的谈话。例如，RSA安全的密码产品的设计，在软件和硬件都提供了生成随机数。最强的重点保护与单独的硬件，操作与数据库间。根据所要求的安全水平，这往往意味着购买硬件安全模块（HSM），提供安全的加密密钥存储装置，根据不同的设备，额外的功能，如有限的处理器来执行加密功能和硬件加速。HSM也支持加密密钥的一个好方法四、RSA安全解决方案RSA的安全性提供了一个全方位的安全产品和服务，旨在评估的数据库应用程序，为用户提供强大的身份验证，基于Web的访问控制的最终用户或管理员，与简化，建立高绩效的加密应用的艺术。1.评估，规划和实施RSA的专业服务提供了一个数据库评估服务检查应用程序的架构和设计数据库的策略。的目标是确定关键敏感数据，分析潜在的漏洞和威胁的数据流量，并提出设计建议。进一步的规划和实施服务可供公司希望部署解决方案。以顾客利益包括获取专业知识转移或加密的顾问和培训员工。2.访问管理试图访问控制和简化管理他们的UNIX环境组织，RSA基翁UNIX的控制软件是帮助锁定访问这些服务器的一个简单的方法。这对于那些想在他们的数据库前端部署一个UNIX加密服务器的组织是特别重要的。RSA基翁UNIX控制软件采用了一种独特的，非侵入性的架构来帮助集中管理Unix环境。RSA基翁UNIX控制软件的设计，执行下列功能。它变硬加密服务器对入侵。它可以集中管理的识别和验证用户，并建立访问控制，同时还提供数据的保密性和完整性监测的全过程。它简化了管理所宣扬的变化，如添加或删除用户帐户在整个Unix的企业在一个单一的步骤。总之，RSA基翁UNIX控制软件有助于简化Unix管理，执行严格的企业范围的安全策略不限制生产力。其它功能包括文件完整性检查和操作系统的漏洞检测。此外，RSA基翁UNIX的控制软件设计主动日志更改安全参数，访问尝试，和行政活动创造了一个完整的审计跟踪。五、结论数据库的攻击是在上升，即使数据泄露的风险增加。已经在金融服务和卫生保健行业必须处理的数据保护立法和监管。消费者对数据泄露和滥用问题将不可避免地扩大你的企业获得客户信息的责任。失败可能会暴露你的法律责任，负面宣传，失去了公众的信任，以及花你的钱和损失的生产力。在这种环境下，你的安全计划必须包括保护敏感数据的加密密钥对数据元素攻击或误用的策略。无论你决定实施的内部或外部数据库加密，RSA安全建议：加密的信息应该从加密