攻擊者總是盯著企業(yè)的關(guān)鍵數(shù)據(jù)，企業(yè)將許多人力物力投入到保護(hù)數(shù)據(jù)及數(shù)據(jù)庫的方案中，例如加密系統(tǒng)。而市場上的加密方案各有特色。那么，在選擇數(shù)據(jù)庫的加密方案時，企業(yè)需要考慮哪些問題呢?

1、性能：在我們決定加密數(shù)據(jù)時，需要考慮的一個最大問題是，其性能影響如何?而對這個問題的回答只能是“視方案而定”。在我們的經(jīng)驗中，透明加密執(zhí)行起來很好，它對數(shù)據(jù)庫的性能影響一般從5%到8%不等。本地數(shù)據(jù)庫對象加密對性能的影響可達(dá)到15%到20%。所以，企業(yè)必須根據(jù)自己的配置狀況和性能要求考慮好此問題。

2、操作：如果你要加密介質(zhì)，最好能夠保證在需要時能夠及時從此介質(zhì)恢復(fù)。這就要求你經(jīng)常測試磁帶。同樣道理，如果你使用密鑰輪換來滿足監(jiān)管要求，就應(yīng)當(dāng)試這個過程的操作過程和方式，并測試你的廠商如何處理生產(chǎn)環(huán)境中的新密鑰和老密鑰。你最好按照計劃來進(jìn)行，而不要在懷疑某個加密密鑰遭受破壞后才去測試。

3、復(fù)雜程度：加密系統(tǒng)都很復(fù)雜。你必須考慮加密引擎在哪里，它如何加密數(shù)據(jù)及加密哪些數(shù)據(jù)，哪些數(shù)據(jù)不加密，怎樣提供密鑰等等。作為一位數(shù)據(jù)庫管理員，你需要認(rèn)識到這種復(fù)雜程度并保證自己完全理解加密系統(tǒng)如何工作，特別是在你要證實加密能夠正確地滿足合規(guī)要求時，這尤其重要。

加密的復(fù)雜性不僅體現(xiàn)在部署方面，還體現(xiàn)在實施階段。有人認(rèn)為加密只不過是一個簡單的數(shù)學(xué)公式問題，甚至還有人說，“咱能自己搞定!”。此言差矣。許多很有才的安全專家都在建設(shè)自己的加密系統(tǒng)時栽了跟頭。不要去建立自己的安全加密系統(tǒng)。否則，輕則造成不安全，重則會丟失所有數(shù)據(jù)。所以，你應(yīng)當(dāng)采用一種經(jīng)過檢查的可信的加密產(chǎn)品。

4、密鑰管理：你需要一個密鑰管理系統(tǒng)來保護(hù)密鑰。管理員不能將密鑰存儲到數(shù)據(jù)庫中，也不能將密鑰存放到磁盤上。企業(yè)應(yīng)當(dāng)將密鑰管理規(guī)劃到預(yù)算和操作計劃中。

事實上，加密所帶來的安全性與加密密鑰所提供的安全性是一樣的。雖然有不少報道宣稱黑客可以繞過加密，但一個設(shè)計和實施良好的加密算法實際上是不可能被破解的。正是由于這個原因，多數(shù)攻擊者并不嘗試破解加密算法。相反，他們想得到的是密鑰。

密鑰管理是一個簡單的概念：軟件服務(wù)或硬件服務(wù)生成并安全地管理加密密鑰。典型的服務(wù)可以存儲主鑰，由此生成所有的其它密鑰，生成新密鑰，廢棄老密鑰，并安全地存儲所有密鑰。這些服務(wù)還具備多種常見的管理功能，如身份驗證和授權(quán);還可以提供責(zé)任分離功能，并可以審計日志的生成。

許多密鑰管理器都有圖形用戶界面來支持管理任務(wù)。你需要的是一個可以支持滿足自己密鑰需要的管理器，它應(yīng)當(dāng)易于管理并能夠與你的數(shù)據(jù)庫實現(xiàn)集成。

我們已經(jīng)看到許多小型公司將密鑰存放到磁盤上，結(jié)果在有時在數(shù)據(jù)庫啟動時，密鑰不可用，因而無法成功地啟動數(shù)據(jù)庫。密鑰管理系統(tǒng)可以與數(shù)據(jù)庫集成到一起，因而可以從密鑰服務(wù)器協(xié)商取得密鑰，并可以在無需管理員干預(yù)的情況下自動運(yùn)行。不過，要實現(xiàn)這些功能，你首先要設(shè)置用于將數(shù)據(jù)庫向密鑰服務(wù)器認(rèn)證的證書，以及密鑰服務(wù)器到數(shù)據(jù)庫的認(rèn)證。

數(shù)據(jù)庫廠商一般都提供密鑰管理器，雖然其質(zhì)量有很大不同。這就需要你做好功課了。如果你不愿意，就不必采用廠商提供的密鑰管理器，而是采用滿足你需求的第三方的密鑰管理產(chǎn)品。記?。好荑€管理無論對于安全還是操作都至關(guān)重要。絕對不可在此問題上掉以輕心。

更多信息請查看IT技術(shù)專欄