避免五種數(shù)據(jù)庫(kù)加密算法的失誤

    市場(chǎng)上數(shù)據(jù)庫(kù)加密的產(chǎn)品頗多，產(chǎn)品也很成熟，國(guó)內(nèi)的數(shù)據(jù)庫(kù)安全增強(qiáng)產(chǎn)品往往采用應(yīng)用層加密存儲(chǔ)或者前置代理的技術(shù)實(shí)現(xiàn)方式。一些IT工程師在操作數(shù)據(jù)庫(kù)加密中，避免不了會(huì)出現(xiàn)些許錯(cuò)誤，針對(duì)這些差錯(cuò)我們一一解析。

    數(shù)據(jù)庫(kù)加密對(duì)于關(guān)鍵數(shù)據(jù)的存儲(chǔ)安全性有著巨大的意義，但這種積極意義產(chǎn)生的前提是首先將加密工作做好。薄弱的加密措施讓數(shù)據(jù)庫(kù)關(guān)鍵信息面臨更多風(fēng)險(xiǎn)。隨著數(shù)據(jù)庫(kù)加密部署情況的日益增多，部署效果自然也隨之變得良莠不齊。以下五類數(shù)據(jù)庫(kù)加密部署是專家組們公認(rèn)的最差實(shí)踐方式。為了獲得最理想的安全效益，我們應(yīng)該盡量避免如下幾類操作失誤。

    1.將密鑰保存在錯(cuò)誤的地方

    據(jù)安全專家稱，很多人習(xí)慣于將加密的數(shù)據(jù)和密鑰一起存放，這稱得上是數(shù)據(jù)庫(kù)加密工作中的原罪之一。

    "如果你在你的數(shù)據(jù)庫(kù)中加密敏感信息，那么千萬(wàn)不要把加密密鑰或者認(rèn)證證書同與之相關(guān)加密數(shù)據(jù)存儲(chǔ)在一起。"電氣行業(yè)首席安全工程師Luther Martin說(shuō)道，"一旦發(fā)生這種情況，雖然感覺(jué)上加密信息是安全的，其實(shí)整套體系已經(jīng)失去了實(shí)際意義。"

    若想真正地保護(hù)好數(shù)據(jù)，要將密鑰妥善地加以管理；應(yīng)把它與加密數(shù)據(jù)、敏感信息密鑰之類，各自區(qū)分并存放。

    2.密鑰未能集中管理

    由于很多企業(yè)自身的安保機(jī)制較為薄弱，因此隨意將密鑰保存在防范措施不足的地方也就比較常見(jiàn)。

    "關(guān)鍵問(wèn)題在于在企業(yè)內(nèi)部，使用大量密鑰和數(shù)字簽證的情況廣泛存在"，Venafi的CEO Jeff Hudson說(shuō)，"研究表明，企業(yè)中所管理的認(rèn)證及密鑰系統(tǒng)少則上千、多則上萬(wàn)的現(xiàn)象非常普遍。"

    很多廠商都銷售加密產(chǎn)品，卻沒(méi)有向客戶教授相應(yīng)的管理應(yīng)用知識(shí)，Hudson說(shuō)。

    "加密技術(shù)只是解決方案的一半。IT部門必須掌握監(jiān)控密鑰并需要了解都誰(shuí)有權(quán)使用密鑰。為了維護(hù)整個(gè)企業(yè)的利益，快速為密鑰部署妥善的保護(hù)機(jī)制可謂至關(guān)重要，"他說(shuō)。"為了嚴(yán)格貫徹訪問(wèn)控制，職責(zé)分離以及策略改善制度，大家需要對(duì)自動(dòng)化監(jiān)控密鑰和證書管理工作加深理解。"

    理論上，為了了解本地密鑰在哪里以及保護(hù)這些密鑰的具體方案，企業(yè)應(yīng)當(dāng)盡可能地集中管理密鑰。

    3.依靠自創(chuàng)的方案

    IT人士最怕的就是客戶自己搞出一套自創(chuàng)系統(tǒng)，借以節(jié)約成本。但他們的利己意識(shí)倒不一定是壞事，因?yàn)槌悄愕膯T工都是具有多年經(jīng)驗(yàn)的密碼專家，否則輕易使用自制的加密方案或者密鑰管理系統(tǒng)簡(jiǎn)直就是自掘墳?zāi)埂?/p>

    "失敗的自主開(kāi)發(fā)數(shù)據(jù)庫(kù)加密密鑰管理方案的部署，會(huì)迫使那些主要經(jīng)營(yíng)零售業(yè)的廠商轉(zhuǎn)型為專業(yè)型供應(yīng)商" Protegrity公司的CTO Ulf Mattsson說(shuō)："這看起來(lái)非常容易但實(shí)際上相當(dāng)危險(xiǎn)。"

    4.缺乏備份資料加密機(jī)制

    如果你只進(jìn)行數(shù)據(jù)庫(kù)加密，而不對(duì)相關(guān)數(shù)據(jù)的備份加以同樣的保護(hù)，也會(huì)讓你的企業(yè)陷入風(fēng)險(xiǎn)當(dāng)中。

    "在我們生活的時(shí)代里，磁帶落在后備廂里，筆記本丟了等等所有意外情況都不能成為我們的借口，" 403網(wǎng)絡(luò)安全CEO Alan Wlasuk說(shuō)"為所有數(shù)據(jù)庫(kù)的備份資料進(jìn)行加密是一件理所當(dāng)然的事。"

    "即使表面上看來(lái)毫無(wú)價(jià)值，也要以00加密格式備份所有數(shù)據(jù)庫(kù)內(nèi)容，"他說(shuō)"數(shù)據(jù)備份最終會(huì)存儲(chǔ)在一個(gè)意想不到的地方，如果你知道他們是安全的，你也就可以高枕無(wú)憂了。"

    5.使用過(guò)時(shí)的加密算法

    在去年11月Gawker遭受的重創(chuàng)中，部分原因就是密碼信息慘遭泄露，這些密碼被幾十年未更新過(guò)的陳舊加密技術(shù)保護(hù)著。而這一情況并非特例。許多企業(yè)都需要對(duì)數(shù)據(jù)進(jìn)行加密，但使用的卻是超級(jí)老舊的加密方式，這簡(jiǎn)直像是在用紙做的盔甲來(lái)保護(hù)自己的身體。

    "多年前使用的中古數(shù)據(jù)庫(kù)加密技術(shù)系統(tǒng)早就扛不住了" Wlasuk說(shuō)。企業(yè)不僅僅要留心加密數(shù)據(jù)庫(kù)，同樣要關(guān)注哪些加密技術(shù)已經(jīng)過(guò)時(shí)、并迫切需要新的加密算法補(bǔ)充進(jìn)來(lái)。

【編輯推薦】

◆網(wǎng)管軟件專區(qū)

◆網(wǎng)絡(luò)管理者最易犯的十大低級(jí)錯(cuò)誤

◆網(wǎng)絡(luò)管理基礎(chǔ)知識(shí)：網(wǎng)路管理模式

◆學(xué)習(xí)高效網(wǎng)絡(luò)管理技巧三招五式

◆IT運(yùn)維管理專區(qū)