① 数据库加密系统是什么有什么功能
透明加密技术是数据库加密系统的核心技术,用于防止明文存储引起的数据泄密、外部攻击、内部窃取数据、非法直接访问数据库等等,从根本上解决数据库敏感数据泄漏问题,满足合法合规要求。
数据库透明加密系统主要有四个功能:
1. 对敏感数据进行加密,避免与敏感数据的直接接触。这项功能主要用于防止三种情况的发生,首先,通过对敏感数据进行透明加密阻断入侵者访问敏感数据,构成数据库的最后一道防线。其次,阻断运维人员任意访问敏感数据,数据库透明加密系统可以保护运维人员,避免犯错。最后,透明加密系统可以实现,即使在数据库中的物理文件或者备份文件失窃的情况下,依然保证敏感数据的安全性。
2. 数据库透明加密系统,无需改变任何应用。首先,在对数据进行透明加密时,无需知道密钥,无需改变任何代码,即可透明访问加密的敏感数据。其次,对敏感数据进行加解密的过程透明简易,可以保证业务程序的连续性,以及保证业务程序不被损伤。
3. 数据库透明加密系统提供多维度的访问控制管理,且系统性能消耗非常低。通常数据库实施透明加密后,整体性能下降不超过10%。
4. 最重要的是,数据库透明加密系统满足合规要求,满足网络安全法、信息安全等级保护、个人信息安全规范等对于敏感数据加密明确的要求。
另外数据库透明加密系统可以实现物理旁路部署模式和反向代理两种部署模式。采用旁路部署模式,即在数据库服务器安装数据库透明加密安全代理软件,不需要调整任何网络架构。数据库透明加密后批量增删改性能影响较小,整体满足合规要求,管理便捷。反向代理部署模式,是物理层根据表、列等数据分类执行数据存储加密,防止存储层面数据丢失引起泄露,逻辑层通过加密网关实现运维管理端的密文访问控制,整体实现业务数据正常访问,运维授权访问,同时提供直连控制访问,部署更安全。
② 数据库加密有几种
mysql数据库的认证密码有两种方式,
mysql
4.1版本之前是mysql323加密,mysql
4.1和之后的版本都是mysqlsha1加密,
mysql数据库中自带old_password(str)和password(str)函数,它们均可以在mysql数据库里进行查询,前者是mysql323加密,后者是mysqlsha1方式加密。
(1)以mysql323方式加密
select old_password('111111');
(2)以mysqlsha1方式加密
select
password('111111');
mysql323加密中生成的是16位字符串,而在mysqlsha1中生存的是41位字符串,其中*是不加入实际的密码运算中,通过观察在很多用户中都携带了"*",在实际破解过程中去掉"*",也就是说mysqlsha1加密的密码的实际位数是40位。
③ 数据库加密产品都有哪些功能
既然说是数据加密,那么最基本也是最重要的功能肯定是加密功能了,如果是企业数据加密产品,一般是指透明加密功能,自动加密各类数据,无需手动操作,加密的数据可以在安全环境下正常使用和流通,有兴趣可以咨询下安策信息技术人员,进行了解网络也有很多相关资料。
④ 谁可以简单说下数据库加密是什么意思
安华金和数据库加密产品是一款基于透明加密技术的数据库数据安全加固产品,该产品为数据库数据提供加密存储、访问控制增强、应用访问安全、三权分立等功能。提供主动的数据安全防御机制,防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击和内部高权限用户的数据窃取行为,同时防止绕开合法应用系统直接访问数据库的外部攻击和窃取,从根本上解决数据库数据的存储安全问题。我说的有点抽象,你直接咨询安华金和吧,他家首款产品就是数据加密产品,有十多年的技术沉淀。
⑤ 请教一下,数据库加密的原理是什么
数据库加密的底层原理本质上是TDE(Transparent Data Encryption)技术,即一种透明数据加密技术,在数据库主程序启动时加载扩展的TDE插件。TDE插件技术可以实现:在写入存储介质前将数据加密,实现数据的存储加密;在从存储介质加载数据到内存前进行数据解密,实现数据的解密使用;利用TDE插件的增强访问控制能力实现独立于数据库原有权限体系的增强的权控功能。安华金和数据库加密产品就是依托这种技术实现的,想要了解更多,找他们咨询一下吧。可以去上网络看看。
⑥ php中2个加密扩展库openssl mcrypt有何区别
Mcrypt扩展库可以实现加密解密功能,就是既能将明文加密,也可以密文还原。 1.安装PHP加密扩展Mcrypt 要使用该扩展,必须首先安装mcrypt标准类库,注意的是mcrypt软件依赖libmcrypt和mhash两个库。 2.PHP加密扩展库Mcrypt的算法和加密模式 Mcrypt库支持20多种加密算法和8种加密模式,具体可以通过函数mcrypt_list_algorithms()和mcrypt_list_modes()来显示,结果如下: Mcrypt支持的算法有:cast-128 gost rijndael-128 twofish arcfour cast-256 loki97 rijndael-192 saferplus wake blowfish-中国pat des rijndael-256 serpent xtea blowfish enigma rc2 tripledes Mcrypt支持的加密模式有:cbc cfb ctr ecb ncfb nofb ofb stream 这些算法和模式在应用中要以常量来表示,写的时候加上前缀MCRYPT_和MCRYPT_MODE_来表示,如下面Mcrypt应用的例子: DES算法表示为MCRYPT_DES; ECB模式表示为MCRYPT_MODE_ECB; 3.PHP加密扩展库Mcrypt应用 先看一个例子,了解Mcrypt的工作流程,再来看看部分流程使用的函数: <?php $str = "我是李云"; $key = "123qwe.019860905061X"; $cipher = MCRYPT_RIJNDAEL_128; $mode = MCRYPT_MODE_ECB; $iv = mcrypt_create_iv(mcrypt_get_iv_size($cipher,$mode),MCRYPT_RAND); echo "原文:".$str."
"; $str_encrypt = mcrypt_encrypt($cipher,$key,$str,$mode,$iv); echo "加密后的内容是:".$str_encrypt."
"; $str_decrypt = mcrypt_decrypt($cipher,$key,$str_encrypt,$mode,$iv); echo "解密后的内容:".$str_decrypt."
"; ?> 运行结果: 原文:我是李云 加密后的内容是:??Z懔e e??? 解密后的内容:我是李云 //手册里的写法: //指定初始化向量iv的大小: $iv_size = mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB); //创建初始化向量: $iv = mcrypt_create_iv($iv_size, MCRYPT_RAND); //加密密码: $key = "123qwe.019860905061x"; //原始内容(未加密): $text = "My name is Adam Li!"; echo $text. "
\n"; //加密后的内容: $crypttext = mcrypt_encrypt(MCRYPT_RIJNDAEL_256, $key, $text, MCRYPT_MODE_ECB, $iv); echo $crypttext. "\n
"; //解密已经加密的内容: $str_decrypt = mcrypt_decrypt(MCRYPT_RIJNDAEL_256, $key, $crypttext, MCRYPT_MODE_ECB, $iv); echo $str_decrypt; 注:加密和解密函数中的参数cipher、key和mode必须一一对应,否则数据不能被还原。关于MCRYPT_RAND参见笔记Linux中的随机数文件 /dev/random /dev/urandom。 PHP的Mcrypt扩展的mcrypt_create_iv, 如果你不指定的话, 默认使用/dev/random(Linux上), 作为随机数产生器. 这里的问题就在于/dev/random, 它的random pool依赖于系统的中断来产生. 当系统的中断数不足, 不够产生足够的随机数, 那么尝试读取的进程就会等待, 也就是会阻塞住 当20个并发请求的时候, 服务器的中断数不够, 产生不了足够的随机数给mcrypt, 继而导致PHP进程等待, 从而表现出, 响应时间变长 解决的办法就是, 改用/dev/urandom, /dev/urandom也是一个产生随机数的设备, 但是它不依赖于系统中断。 $ rngd -r /dev/urandom -o /dev/random -t 1 用urandom的结果填充entropy池子,这样既保证了entropy池的数量,也保证了随机性 然而, 为什么PHP使用/dev/random作为默认, 这是因为理论上来说, /dev/urandom在一定的情况下, 可能会被可预测(参看: /dev/random), 所以一般上认为, /dev/urandom不如/dev/random安全
⑦ 数据库怎么加密
数据库加密作为近年来兴起的数据库安防技术,已经被越来越多的人所重视。这种基于存储层加密的防护方式,不仅可以有效解决数据库明文存储引起的泄密风险,也可以防止来自内部或者外部的入侵及越权访问行为。从技术手段上来看,现今数据库加密技术主要有三大类,分别是前置代理及加密网关方式、应用层加密方式以及后置代理方式,其中后置代理技术有有两种不同的技术路线,分别为:基于视图和触发器的后置代理技术和基于TDE技术的加密技术。你与安华金和了解下吧,以前他们还专门有过相关文章介绍。
⑧ 数据库加密的方式有哪几种
数据库加密的方式有多种,不同场景下仍在使用的数据库加密技术主要有:前置代理加密、应用系统加密、文件系统加密、后置代理加密、表空间加密和磁盘加密等,这些你找安策工程师帮你,都是可以做到的网络里面也有详细介绍。
⑨ 谁能简单介绍下数据库加密
一、数据库加密是什么?
数据库加密技术属于主动防御机制,可以防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击以及来自于内部高权限用户的数据窃取,从根本上解决数据库敏感数据泄漏问题。数据库加密技术是数据库安全措施中最顶级的防护手段,也是对技术性要求最高的,产品的稳定性至关重要。
二、数据库加密的方式有哪些?
目前,不同场景下仍在使用的数据库加密技术主要有:前置代理加密、应用系统加密、文件系统加密、后置代理加密、表空间加密和磁盘加密等,下文将对前四种数据加密技术原理进行简要说明。
1、前置代理加密技术
该技术的思路是在数据库之前增加一道安全代理服务,所有访问数据库的行为都必须经过该安全代理服务,在此服务中实现如数据加解密、存取控制等安全策略,安全代理服务通过数据库的访问接口实现数据存储。安全代理服务存在于客户端应用与数据库存储引擎之间,负责完成数据的加解密工作,加密数据存储在安全代理服务中。
2、应用加密技术
该技术是应用系统通过加密API(JDBC,ODBC,CAPI等)对敏感数据进行加密,将加密数据存储到数据库的底层文件中;在进行数据检索时,将密文数据取回到客户端,再进行解密,应用系统自行管理密钥体系。
3、文件系统加解密技术
该技术不与数据库自身原理融合,只是对数据存储的载体从操作系统或文件系统层面进行加解密。这种技术通过在操作系统中植入具有一定入侵性的“钩子”进程,在数据存储文件被打开的时候进行解密动作,在数据落地的时候执行加密动作,具备基础加解密能力的同时,能够根据操作系统用户或者访问文件的进程ID进行基本的访问权限控制。
4、后置代理技术
该技术是使用“视图”+“触发器”+“扩展索引”+“外部调用”的方式实现数据加密,同时保证应用完全透明。核心思想是充分利用数据库自身提供的应用定制扩展能力,分别使用其触发器扩展能力、索引扩展能力、自定义函数扩展能力以及视图等技术来满足数据存储加密,加密后数据检索,对应用无缝透明等核心需求。
三、数据库加密的价值
1、在被拖库后,避免因明文存储导致的数据泄露
通常情况下,数据库中的数据是以明文形式进行存储和使用的,一旦数据文件或备份磁带丢失,可能引发严重的数据泄露问题;而在拖库攻击中,明文存储的数据对于攻击者同样没有任何秘密可言——如Aul、MyDul等很多成熟的数据库文件解析软件,均可对明文存储的数据文件进行直接分析,并输出清晰的、结构化的数据,从而导致泄密。
数据库加密技术可对数据库中存储的数据在存储层进行加密,即使有人想对此类数据文件进行反向解析,所得到的也不过是没有任何可读性的“乱码”,有效避免了因数据文件被拖库而造成数据泄露的问题,从根本上保证数据的安全。
2、对高权用户,防范内部窃取数据造成数据泄露
主流商业数据库系统考虑到初始化和管理的需要,会设置以sys、sa或root为代表的数据库超级用户。这些超级用户天然具备数据访问、授权和审计的权限,对存储在数据库中的所有数据都可以进行无限制的访问和处理;而在一些大型企业和政府机构中,除系统管理员,以数据分析员、程序员、服务外包人员为代表的其他数据库用户,也存在以某种形式、在非业务需要时访问敏感数据的可能。
数据库加密技术通常可以提供独立于数据库系统自身权限控制体系之外的增强权控能力,由专用的加密系统为数据库中的敏感数据设置访问权限,有效限制数据库超级用户或其他高权限用户对敏感数据的访问行为,保障数据安全。
⑩ 数据库加密产品都有哪些功能
数 据 库 加 密 产 品 常 见 的 功 能 在 网 站 上 随 便 一 搜 就 有 , 所 以 我 说 下 增 值 的 功 能 吧 , 数 据 库 加 密 产 品 可 以 在 保 证 索 引 数 据 的 高 度 安 全 基 础 上 , 提 供 了 对 密 文 数 据 为 检 索 条 件 的 索 引 查 询 , 在 密 文 列 上 进 行 的 等 于 、 大 于 、 小 于 和 L i k e 操 作 依 然 可 以 使 用 索 引 。
身 份 鉴 别 增 强 , 产 品 可 以 实 现 安 全 管 理 员 、 审 计 管 理 员 以 及 数 据 库 用 户 的 动 态 口 令 和 双 因 素 ( u k e y + p i n 码 ) 方 式 的 增 强 认 证 , 并 提 供 登 录 失 败 处 理 功 能 , 可 采 取 结 束 会 话 、 限 制 非 法 登 录 次 数 和 自 动 退 出 措 施 。
I P v 6 支 持 , 产 品 支 持 I P v 6 , 允 许 在 加 密 机 主 服 务 器 和 从 服 务 器 之 间 、 加 密 机 与 数 据 库 服 务 器 之 间 以 I P v 6 方 式 进 行 通 信 。
高 可 用 性 , 产 品 本 身 支 持 一 主 多 从 模 式 部 署 , 当 产 品 主 服 务 器 出 现 问 题 时 , 从 服 务 器 能 在 数 秒 内 完 成 接 管 , 业 务 系 统 基 本 无 感 知 。
可 维 护 性 , 产 品 具 备 快 速 、 准 确 地 整 体 拆 除 能 力 , 并 且 在 线 还 原 期 间 可 以 保 正 应 用 系 统 正 常 运 行 。
以 上 这 几 点 才 是 验 证 数 据 库 加 密 产 品 好 坏 应 该 关 注 的 点 , 推 荐 你 与 安 华 金 和 了 解 下 。