跨站描述語言(Cross-site Scripting)、SQL Injection等攻擊手法,始終名列開放網路軟體安全計劃(Open Web Application Security Project,OWASP)統計的十大Web安全風險,加上資料庫系統的存取權限配置不當,在內外網皆有安全隱憂之下,亦有企業選擇直接針對高機敏性資料施予加密。而SafeNet提供的DataSecure解決方案,不僅可針對非結構化的檔案,亦可針對資料庫中的欄位(Column)進行加解密。
SafeNet亞太區資訊安全高級經理伍尚池指出,所謂的資料庫加密,並非是指全資料庫,否則勢必影響整體效能,而是針對敏感性較高的欄位加密。DataSecure專屬設備可說是SafeNet加密機制的控管中心,搭配ProtectDB在資料庫層級的加密,可指定帳號只能看到特定表單中的部分欄位,即使是系統中最高權限的資料庫管理者,同樣適用。
當安裝在資料庫系統上的連接器程式(Connector)偵測到要存入資料庫的資料屬於高敏感性,會自動先送到DataSecure進行加密,完成後再會送回資料庫存放,因此在資料庫中就已經是加密過的資料,才得以確保運作效能不受此影響。但是萬一敏感性較高的欄位屬於主鍵(Primary Key),欄位經過加密過後,格式會變得跟以往完全不同,即可能發生相容性問題,於是SafeNet近年來又發展出Tokenization,來確保資料庫安全性。
 |
| ▲SafeNet亞太區資訊安全高級經理伍尚池指出,從稽核角度看加解密,不論是資料庫、檔案、虛擬主機在執行過程,在集中控管金鑰平台中皆有相對記錄留存,即可一目了然各種存取活動。 |
伍尚池說明,Tokenization機制,是把資料庫中的敏感資料變成隨機產生的資料,該資料格式,會跟原始資料格式一模一樣,例如信用卡號碼,Tokenization產生出來的代碼,同樣是16個數字組成,維持跟原始資料一致的格式。如此一來,應用程式在存取信用卡資料並進行格式確認時,即可不致出現錯誤,只是所取得的資料不再是原始敏感資料,而是隨機產生的代碼。
「此功能的實用性很高,特別是銀行單位,必須遵守支付卡行業資料安全標準(PCI DSS)等規範,若儲存的資料具有敏感性,就必須要有稽核機制。」伍尚池舉例,銀行內部若有多個系統都需要取用信用卡資料,若將眾多系統所存取的敏感資料都變成一組Token,替代原本敏感性資料,即可藉此減少應用系統實際接觸原始資料,降低稽核上的麻煩與花費。
加解密方案採硬體式來執行,可避免影響資料庫效能,亦可集中控管金鑰、政策、稽核報表。甚至是安裝在虛擬環境,或外部Amazon等公有雲服務的資料庫系統,即使較難配合本地端建置的存取控管機制,亦可直接以加密機制來確保其安全性。