FAQ
数据库加密
关于常见问题,这里予以说明。点击标题可以确认内容。
- 1. D'Amo是什么?
- 为了数据安全及解决访问控制,对数据库内存有的重要信息进行访问控制。其特点是将有权使用数据库的用户进行细分,无需修改现有的应用即可进行加密。数据库中的访问控制功能在首次使用时是通过不同的用户IP地址、不同的访问应用来进行数据库用户单位的注册权限。在二次访问中,对于加密栏,根据不同的数据库用户、不同的用户地址、不同的访问应用赋予加密、解密权限,从而进行数据保护。 对于重要的加密栏,通过监控功能可以确认用户在计算机上进行的操作,以此信息为基础,采用新的策略来阻断可疑行为。是一种只提取对于保护安全性必需的关键信息,选择性的进行加密,把系统性能降低的程度减小到最低,即便是系统管理者和拥有管理员权限的用户也看不到数据、大大提高安全性的专业的数据库安全性管理工具。
- 2. 引入D'Amo会带来什么好处?
- 通过保护顾客数据库重要信息的安全,在提高数据可靠性的同时,也遵守了个人信息保护法。由此,公司获得了保护信息的基础设施、提高企业形象、增加收益这一石三鸟的好处。
- 3. D'Amo具有什么功能?
-
- ・将数据库中重要数据加密进行管理
- ・通过设定数据库使用者的注册权限,只有得到许可的用户才可以访问系统。
- ・可保存及询问重要数据的访问记录
- ・汇报监督资料(以表格、报告书的形式)
- 4. D'Amo是如何保护信息的?
- D'Amo不仅是通过加密,还将访问控制、监督、汇报功能结合进行数据库安全保护。首先,通过数据加密来保护信息,然后,通过控制访问来保护信息。访问控制被分为两次进行安全处理。第一次是通过注册控制(IP地址、用户名、访问时段)来阻断未被许可的访问。第二次是根据与访问加密条目同步的安全报告(IP地址、用户名)来限定必要情况的访问。监督功能对设定、更改、废除规则的记录及登录加密栏、监督栏的情况都有详细的记载,通过此记载,若继续尝试非正常访问,系统会通过访问控制来阻断操作。
- 5. 使用和Oracle一起提供的DBMS_OBFUSCATION_TOOLKIT就可以了,为什么还非要特意使用D'Amo不可呢?
-
- DB的数据加密不是单纯地只把特定数据进行加密这样的简单工作。实际加密数据的时候,为了安全管理,重要的数据必须处理,而且为了使参照相符信息的既存应用软件正常性地运行,必须进行各种各样的工作。这些工作,为了大幅超越单纯使用加密工具包的安全范畴,必须解决各种各样的技术上的问题。
- D'Amo对数据加密很有必要,而对于那些具有人员不足,专业知识不足,时间不足等诸多限制条件的组织,D'Amo是能够将数据加密最及时地、最有效地实现具体化的解决方案。D'Amo轻松而强有力地通过更有效率的加密,使Oracle的安全性提高。
- 由于D'Amo提供容易使用的用户环境的GUI,因而容易进行数据的加密。
- D'Amo对数据库内不同种类的数据(char/date/number)支持加密,但是Oracle的工具包只是把raw/string/lob数据做为加密的对象。
- Oracle的工具包只使用DES56bit和3DES,但D'Amo支持SEED,AES, DES,3DES等满足各种各样的国内外标准的加密算法。
- 6. 由Oracle10g支持的加密功能与D'Amo的加密功能有什么不同?(系统管理员和本身的安全规则管理员有不同的管理方式,这种差异与D'Amo会有很大的区别么?)
- Oracle10g可以支持Transparent Data Encryption(以下TDE)。而TDE可以将数据进行加密,并对加密后的数据进行输出与输入处理。但是,对于加密后的文件,只要有适当的选择权限,即使没有其它的解密权限,加密数据也可自动解密。即数据库管理员可以通过选择命令随意地将加密数据进行解密操作。但是其有一个缺点,即一旦管理员的帐户及密码泄露(黑客或其他原因),重要信息就会外泄。另外,它还不支持被韩国的公共机关及金融界广泛使用的种子算法。若购买了Oracle,因为是在独立的使用这一功能,所以还应多花费相当于CPU的2万美元的费用。使用D'Amo时,为了能访问加密数据,最基本的是具有目录选择权,还应通过赋予单独的解密权来确定只有特许用户才能访问。详细说明一下,通过特定的IP进行处理的访问控制也可在内部完成。由此,因为拥有管理员权限的用户也可访问加密数据,那么他通过安全管理员便不可以获得其他权限。需要补充说明的是,在使用特别强调方便用户的GUI的时候,提及较多的是一体化的数据库运行管理,D'Amo基本上将运行管理与安全管理的功能分开,对于高效的数据库管理予以支持。
- 7. 运行设置有D'Amo的系统对现有的程序不会造成影响吗?
- 即使通过设置D'Amo将重要数据加密,因为与现有程序拥有相同的目录名、扩展名,访问数据库不需要任何更改即可以操作。
- 8. 建立 D'Amo时需要做哪些准备?
- 请将D'Amo定位于公司内最重要数据的最后防线。确定哪些数据需要加密哪些数据无需加密。
- 9. 给数据加密是必需的吗?通过访问控制不可以保证数据库的安全性么?
- 加密不是必须的,也可进行注册访问控制。通过设定访问数据库的程序、时间以及IP地址等,在设定之外的情况无权访问,这样可以保证数据的安全。但若能同时设定密码加密及访问控制,会更进一步加强数据的安全性。
- 10. 对于已加密的条目如何进行访问控制?
- 对于已加密的条目,根据数据库用户、访问程序名称、访问IP等的不同给予许可权。仅对可访问的程序和IP地址开放限制,从而可以安全的进行数据保管。
- 11. 对加密后的条目没有解密权限的用户怎么办?
- 对于没有解密权限的用户,数据库管理员会通过D'Amo控制台使用各种方法使其查看结果。设定了返回数据库管理系统的错误的情况、返回特定文字的情况(如######)、返回加密项主体的情况等。
- 12. 可应用指数的条目能进行加密吗?
- 当然可以。数据库安全管理员应用D'Amo提供的指数支持功能进行加密工作。当然,trigger,、PK/FK,、物化视图、默认条目等都可进行加密。
- 13. 数据加密不会对数据库的性能造成影响吧?
- 若数据库中所有的数据都进行加密,会对性能造成很大的影响。将全部数据加密是没有意义的,还会降低数据库性能,因此,请您只将关键数据进行加密。
- 14. 加密后在数据备份时不会有什么问题吧?
- 不会有任何问题。设置D'Amo后,状态跟先前相同,还可进行恢复操作,对包含加密数据在内的所有对象的备份及恢复不会造成任何问题。但是使用一个单独的脚本以表格形式备份时,不可用更改后的表格名进行备份。
- 15. 管理员密码丢失时,可以把数据外流造成的损失降到最小吗?
- 数据库高级管理员的密码不小心被第三方通过不正当的手段攻击而外泄时,公司内部的重要信息外流会给公司造成巨大的损失。D'Amo可以做到即便在数据库管理员也没有访问加密条目的权限的情况下,阻断访问数据的操作,从而把大量数据外流造成的损失降到最低程度。
- 16. D'Amo提供恢复功能吗?
- 为防备数据加密时所用的加密密钥丢失,在数据库上设定安全规则(加密密钥、加密模式等)时在D'Amo Console便自动备份。由此,单一的加密密钥丢失时所造成的数据丢失的危险性便会降低。
