数据库应用安全：如何平衡加密与访问控制

bek · 发表于 2011-5-31 02:10:31


	通常情况下，公司一些最敏感的数据存储在数据库中。这些数据包括医疗记录、员工记录、信用卡号码、社会保障号码等，它们受隐私法规的监管，必须加以保护。然而，与此同时，公司必须在敏感数据的安全性与可用性之间进行折中，以满足因合法的商业使用而访问这些数据的需求，包括为保持业务连续性而进行的备份和远程复制。最强大的数据隐私保护技术是加密。但是，为了既切实保证敏感数据的安全性而又不影响业务的连续性，使用加密技术时必须小心。在保护敏感数据以及平衡加密与访问控制方面，数据库应用安全的一些最佳实践值得借鉴：游客，如果您要查看本帖隐藏内容请回复加密标准许多加密和密钥管理系统都通过了以下两个实用标准的认证：美国联邦信息处理标准（Federal Information Processing Standard，FIPS）140，其安全级别分为1到4级；通用标准评估保证等级（Common Criteria Evaluation Assurance Level，CCEAL），其安全级别分为1到7级。这些标准提供了一个指标，可以比较不同系统的加密算法、密钥存储和密钥管理机制的安全性。级别越高意味着加密算法、密钥存储方法、防篡改硬件和密钥管理机制越好。例如，FIPS在确定一个认证级别时，考虑了11个不同方面的安全性。你应该根据数据的敏感程度和你所在地区的监管要求，选择合适的安全级别。数据库应用极为复杂，由多层松散耦合的组件构成。数据库应用的安全性难以保证，但又包含了公司最敏感的数据。然而，利用数据最小化和加密技术，公司可以巧妙地在数据的安全性、可访问性和可用性之间取得平衡。