数据安全与密码 | 存储数据三重风险需谨慎， 密码防护更安全-b体育官网

在《中华人民共和国数据安全法》描述的数据处理活动中，数据存储安全是业界讨论最热烈的，关于存储数据机密性的需求则倍受关注。实际上，数据存储的安全需求并不存在于“存储”这个行为中，而是存在于对存储数据的“访问”行为中，只不过所采用的安全措施，有些是在存储时施加的，例如先加密再落盘等。

对于数据库，“存储”涉及前后相继的多个“写入”动作，包含了数据写入数据库表、数据文件写入主机文件系统，以及主机文件以二进制形式写入磁盘。这三个动作使得存储数据对不同的访问主体呈现出三种不同的形态：数据库表记录、数据文件、磁盘上的二进制数据。

从风险的角度出发，数据存储的机密性风险主要体现在数据被访问主体非预期获取，这既包括访问主体的身份被假冒，也包括身份真实的访问者执行了非正当的获取操作。从前面所述的，数据库存储时数据的三种呈现形态，攻击者可能会从数据库设备本身（a）、数据库管理入口(b)、应用系统入口(c)等访问点来分别接触这三种形态的数据,如下图所示：

无论是攻击者或还是背叛的运维人员，假如能够接触到数据库服务器主机，那么这种直接针对数据库硬件设备的安全风险便是现实存在的，比如可以直接拆卸硬盘。对于业务应用部署在云上的情况，如果云服务商主动违规或云服务商被攻击，攻击者便可能将虚机化部署的数据存储主机的镜像全部拿走。

局限性：磁盘透明和文件透明加密只能防范物理介质失窃造成的数据泄露，无法防范操作系统管理员、数据库系统管理员背叛造成的数据泄露，因为对于他们的访问，数据从磁盘上提取到内存时，已经“透明解密”了。

在背叛或被假冒的情况下，数据库管理员（以下简称“dba”）可通过查看、导出、备份等数据库管理命令或新建数据库访问账户的方式获取数据明文信息；而操作系统管理员则可以直接将数据文件拷贝出去。

局限性：部署在数据库与应用之间的加密产品（如数据加密网关）能够避免因数据库管理员、操作系统管理员背叛造成的数据泄漏以及磁盘介质被窃的风险，但无法防范来自业务层的攻击。因为业务系统需要处理数据以完成业务操作，数据在从数据库经数据网关之后，理所当然解密成为明文。

应用侧对数据的威胁主要包括两类。第一类是应用的部署运维人员通常能够从应用配置中获取到数据库的访问账号，通过数据库访问工具获得数据；第二类是业务应用中的管理员角色滥用其“用户授权”功能，将访问用户数据的权限违规赋予其它用户，从而获得用户数据。

局限性：以应用为入口的数据泄露风险，其防护手段是与业务系统密切相关的，也就是说相应的安全措施需要在业务系统上实现。这很难通过增加单独的数据安全产品来达到效果。但从某种程度上，这并不算是一种局限，而是促进业务系统在设计时就需要同步考虑数据安全保护措施，使得相应的数据安全机制融入到业务系统本身的机制之中。长远看来，以这种“内置”或“内生”方式实现的数据安全机制，才是数据安全得到充分重视的表现。