常見的數(shù)據(jù)存儲(chǔ)加密方法有以下5種

1.數(shù)據(jù)加密存儲(chǔ):文件級(jí)加密

文件級(jí)加密可以在主機(jī)或網(wǎng)絡(luò)附加存儲(chǔ)這一層以嵌入式的方法實(shí)現(xiàn)，但文件級(jí)加密會(huì)引起性能問題;在執(zhí)行數(shù)據(jù)備份操作時(shí)，會(huì)帶來某些局限性。

2.數(shù)據(jù)加密存儲(chǔ):數(shù)據(jù)庫級(jí)加密

數(shù)據(jù)庫級(jí)加密可以實(shí)現(xiàn)對(duì)數(shù)據(jù)的字段進(jìn)行加密，數(shù)據(jù)庫級(jí)加密因?yàn)榧用芎徒饷芤话阌绍浖皇怯布韴?zhí)行，會(huì)導(dǎo)致整個(gè)系統(tǒng)的性能下降。

3.數(shù)據(jù)加密存儲(chǔ):介質(zhì)級(jí)加密

介質(zhì)級(jí)加密是對(duì)存儲(chǔ)設(shè)備上的靜態(tài)數(shù)據(jù)進(jìn)行加密，介質(zhì)級(jí)加密可以為用戶和應(yīng)用提供很高的透明度，但只有到達(dá)了存儲(chǔ)設(shè)備，數(shù)據(jù)才可以進(jìn)行加密，所以介質(zhì)級(jí)加密可以防范竊取物理存儲(chǔ)介質(zhì)。

4.數(shù)據(jù)加密存儲(chǔ):嵌入式加密設(shè)備

嵌入式加密設(shè)備是放在存儲(chǔ)區(qū)域網(wǎng)中的，介于存儲(chǔ)設(shè)備和請(qǐng)求加密數(shù)據(jù)的服務(wù)器之間，嵌入式加密設(shè)備可以對(duì)存儲(chǔ)設(shè)備的數(shù)據(jù)進(jìn)行加密，且可以保護(hù)靜態(tài)數(shù)據(jù)，但嵌入式加密設(shè)備擴(kuò)展難度大，成本高。

5.數(shù)據(jù)加密存儲(chǔ):應(yīng)用加密

應(yīng)用加密是將加密技術(shù)集成在商業(yè)應(yīng)用中是加密級(jí)別的最高境界，可以確保只有特定的用戶能夠通過特定的應(yīng)用訪問數(shù)據(jù)，從而獲得關(guān)鍵數(shù)據(jù)的訪問權(quán)。

數(shù)據(jù)存儲(chǔ)加密的場(chǎng)景方案要對(duì)數(shù)據(jù)進(jìn)行有效的存儲(chǔ)安全管理，可遵循如下步驟：

步驟1：分析并確定要保護(hù)的關(guān)鍵數(shù)據(jù)

要對(duì)數(shù)據(jù)進(jìn)行保護(hù)之前，首先要確定哪些數(shù)據(jù)需要保護(hù)和為什么要保護(hù)這些數(shù)據(jù)。這其本質(zhì)是一個(gè)數(shù)據(jù)分級(jí)的問題。數(shù)據(jù)分級(jí)從概念上講是根據(jù)數(shù)據(jù)的敏感程度和數(shù)據(jù)遭到篡改、破壞、泄露或非法利用后對(duì)受害者的影響程度，按照一定的原則和方法進(jìn)行定義。另一方面也需要關(guān)注的就是法規(guī)遵從性需求。例如《數(shù)據(jù)安全法》第二十一條就規(guī)定，”國家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)”。下圖就是就是按數(shù)據(jù)敏感程度做的一個(gè)劃分示例

步驟2：選擇適合技術(shù)方案和加密算法

作為數(shù)據(jù)防護(hù)是否能夠成功實(shí)施的關(guān)鍵，企業(yè)需要在關(guān)鍵數(shù)據(jù)的安全性、保持應(yīng)用系統(tǒng)的功能可用性，和系統(tǒng)可維護(hù)性方面綜合考慮，來確定適合企業(yè)需要的加密保護(hù)的技術(shù)方案。下表羅列常用加密技術(shù)及應(yīng)對(duì)的安全風(fēng)險(xiǎn)。

磁盤加密

磁盤采用的塊級(jí)別加密技術(shù)，例如AWS的EBS，阿里云的ECS等都支持磁盤加密。這種加密最大的好處在于，它對(duì)操作系統(tǒng)是透明的。性能在加密后較加密前有所降低，根據(jù)上層應(yīng)用的不同性能下降幅度各異。

文件加密

通過堆疊在其它文件系統(tǒng)之上（如 Ext2, Ext3, ReiserFS, JFS 等），為應(yīng)用程序提供透明、動(dòng)態(tài)、高效和安全的加密功能。典型的是用于加密指定的目錄。需要關(guān)注的是這種加密方式可能會(huì)產(chǎn)生較大的性能損失。

數(shù)據(jù)庫加密-TDE

透明數(shù)據(jù)加密TDE，是數(shù)據(jù)庫提供的一種加密技術(shù)，即對(duì)數(shù)據(jù)文件執(zhí)行實(shí)時(shí)I/O加密和解密。數(shù)據(jù)在寫入磁盤之前進(jìn)行加密，從磁盤讀入內(nèi)存時(shí)進(jìn)行解密。TDE不會(huì)增加數(shù)據(jù)文件的大小，開發(fā)人員無需更改任何應(yīng)用程序。其對(duì)應(yīng)密鑰管理也是由數(shù)據(jù)庫提供的API或組件實(shí)現(xiàn)，應(yīng)用透明。在某些場(chǎng)景下磁盤或系統(tǒng)無法對(duì)用戶開放（如云環(huán)境）的條件下，這種方式就比較適合。

數(shù)據(jù)庫加密-三方加固

數(shù)據(jù)庫加密還有種方式是采用對(duì)數(shù)據(jù)庫進(jìn)行三方加固的方式，即將第三方專業(yè)數(shù)據(jù)庫加密廠商的產(chǎn)品內(nèi)置在數(shù)據(jù)庫之中，提供透明數(shù)據(jù)加密能力。所謂透明是指，用戶應(yīng)用系統(tǒng)不需要做改造即可使用，且具有權(quán)限的用戶看到的是明文數(shù)據(jù)，完全無感。此外，還可以增強(qiáng)原有數(shù)據(jù)庫的安全能力，如提供三權(quán)分立、脫敏展示等。

應(yīng)用層加密

應(yīng)用層加密，可以說是一種終極方案，其可保證在數(shù)據(jù)到達(dá)數(shù)據(jù)庫之前，就已經(jīng)做了數(shù)據(jù)加密，可實(shí)時(shí)保護(hù)用戶敏感數(shù)據(jù)。這里關(guān)鍵需要提供應(yīng)用透明性，保證應(yīng)用無需改造或僅需少量改造。這種方式完全由用戶自己控制，無需信任任何三方廠商提供的數(shù)據(jù)安全保障，得到充分的自由度和靈活性。例如可以跨多數(shù)據(jù)庫提供統(tǒng)一安全加密策略等。

步驟3：保護(hù)好數(shù)據(jù)的加密密鑰

為了保護(hù)好加密數(shù)據(jù)，不會(huì)被非法竊取，需要保護(hù)好數(shù)據(jù)的加密密鑰。避免第三方廠商或個(gè)人接觸到明文數(shù)據(jù)，最好做法就是將密文數(shù)據(jù)的密鑰控制在用戶自己手中。密鑰管理包含了密鑰的創(chuàng)建、存儲(chǔ)、生命期管理、保護(hù)。密鑰的安全性直接決定了加密數(shù)據(jù)的安全性。建議密鑰獨(dú)立存儲(chǔ)，并采用根密鑰保護(hù)，根密鑰受硬件加密卡保護(hù)，或者被KMS服務(wù)的密碼保護(hù)。所謂KMS密鑰管理，是通過用戶的口令保護(hù)主密鑰，口令正確主密鑰解密；主密鑰對(duì)密鑰文件進(jìn)行保護(hù)，只有主密鑰成功解密后，密鑰文件才能使用，最后通過密鑰文件生成可用的密鑰。

總結(jié)

以上是生活随笔為你收集整理的数据加密存储都包含哪些的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。