【51CTO.com 獨家譯稿】薄弱的加密措施讓數(shù)據(jù)庫關鍵信息面臨更多風險。數(shù)據(jù)庫加密對于關鍵數(shù)據(jù)的存儲安全性有著巨大的意義，但這種積極意義產(chǎn)生的前提是首先將加密工作做好。隨著數(shù)據(jù)庫加密部署情況的日益增多，部署效果自然也隨之變得良莠不齊。以下五類數(shù)據(jù)庫加密部署是專家組們公認的最差實踐方式。為了獲得最理想的安全效益，我們應該盡量避免如下幾類操作失誤。

[[52794]]

1.將密鑰保存在錯誤的地方

據(jù)安全專家稱，很多人習慣于將加密的數(shù)據(jù)和密鑰一起存放，這稱得上是數(shù)據(jù)庫加密工作中的原罪之一。

"如果你在你的數(shù)據(jù)庫中加密敏感信息，那么千萬不要把加密密鑰或者認證證書同與之相關加密數(shù)據(jù)存儲在一起。"電氣行業(yè)***安全工程師Luther Martin說道，"一旦發(fā)生這種情況，雖然感覺上加密信息是安全的，其實整套體系已經(jīng)失去了實際意義。"

若想真正地保護好數(shù)據(jù)，要將密鑰妥善地加以管理；應把它與加密數(shù)據(jù)、敏感信息密鑰之類，各自區(qū)分并存放。

2.密鑰未能集中管理

由于很多企業(yè)自身的安保機制較為薄弱，因此隨意將密鑰保存在防范措施不足的地方也就比較常見。

"關鍵問題在于在企業(yè)內(nèi)部，使用大量密鑰和數(shù)字簽證的情況廣泛存在"，Venafi的CEO Jeff Hudson說，"研究表明，企業(yè)中所管理的認證及密鑰系統(tǒng)少則上千、多則上萬的現(xiàn)象非常普遍。"

很多廠商都銷售加密產(chǎn)品，卻沒有向客戶教授相應的管理應用知識，Hudson說。

"加密技術只是解決方案的一半。IT部門必須掌握監(jiān)控密鑰并需要了解都誰有權(quán)使用密鑰。為了維護整個企業(yè)的利益，快速為密鑰部署妥善的保護機制可謂至關重要，"他說。"為了嚴格貫徹訪問控制，職責分離以及策略改善制度，大家需要對自動化監(jiān)控密鑰和證書管理工作加深理解。"

理論上，為了了解本地密鑰在哪里以及保護這些密鑰的具體方案，企業(yè)應當盡可能地集中管理密鑰。

3.依靠自創(chuàng)的方案

IT人士最怕的就是客戶自己搞出一套自創(chuàng)系統(tǒng)，借以節(jié)約成本。但他們的利己意識倒不一定是壞事，因為除非你的員工都是具有多年經(jīng)驗的密碼專家，否則輕易使用自制的加密方案或者密鑰管理系統(tǒng)簡直就是自掘墳墓。

"失敗的自主開發(fā)數(shù)據(jù)庫加密密鑰管理方案的部署，會迫使那些主要經(jīng)營零售業(yè)的廠商轉(zhuǎn)型為專業(yè)型供應商" Protegrity公司的CTO Ulf Mattsson說："這看起來非常容易但實際上相當危險。"

4.缺乏備份資料加密機制

如果你只對數(shù)據(jù)庫進行加密，而不對相關數(shù)據(jù)的備份加以同樣的保護，也會讓你的企業(yè)陷入風險當中。

"在我們生活的時代里，磁帶落在后備廂里，筆記本丟了等等所有意外情況都不能成為我們的借口，" 403網(wǎng)絡安全CEO Alan Wlasuk說"為所有數(shù)據(jù)庫的備份資料進行加密是一件理所當然的事。"

"即使表面上看來毫無價值，也要以00加密格式備份所有數(shù)據(jù)庫內(nèi)容，"他說"數(shù)據(jù)備份最終會存儲在一個意想不到的地方，如果你知道他們是安全的，你也就可以高枕無憂了。"

5.使用過時的加密算法

在去年11月Gawker遭受的重創(chuàng)中，部分原因就是密碼信息慘遭泄露，這些密碼被幾十年未更新過的陳舊加密技術保護著。而這一情況并非特例。許多企業(yè)都需要對數(shù)據(jù)進行加密，但使用的卻是超級老舊的加密方式，這簡直像是在用紙做的盔甲來保護自己的身體。

"多年前使用的中古加密技術系統(tǒng)早就扛不住了" Wlasuk說。企業(yè)不僅僅要留心加密數(shù)據(jù)庫，同樣要關注哪些加密技術已經(jīng)過時、并迫切需要新的加密算法補充進來。