问数据库加密可能对数据库管理系统带来哪些不良影响

安华金和数据库加密的技术方案主要有三种种：包括前置代理、应用加密和后置代理。前置代理的技术思路就是在数据库之前增加一道安全代理服务，对数据库访问的用户都必须经过该安全代理服务，在此服务中实现如数据加解密、存取控制等安全策略；然后安全代理服务通过数据库的访问接口实现数据在o中的最终存储。 安华金和数据库加密 应用层加密方案的主要技术原理是： (1) 应用系统通过加密api(jdbc,odbc,c api等)对敏感数据进行加密，将加密数据存储到oracle数据库中； (2) 在进行数据检索时，将密文数据取回到客户端，再进行解密； (3) 应用系统将自行管理密钥。 后置代理的基本技术路线是使用“视图”+“触发器”+“扩展索引”+“外部调用”的方式实现数据加密，同时保证应用完全透明。该方案的核心思想是充分利用数据库自身应用定制扩展能力，分别使用其触发器扩展能力、索引扩展能力、自定义函数扩展能力以及视图等技术来满足数据存储加密，加密后数据检索，对应用无缝透明等最主要需求。后置代理方案的核心目标包括：a、实现在数据库中敏感数据的按列加密；b、对应用提供透明的加密数据访问；c、为加密数据提供高效的索引访问；d、实现独立于数据库的权限控制；e、调用国产的加密算法。 目前在国内安华金和的数据库加密产品是最成熟的，已经广泛应用于运营商、中央部委等大型系统上。

1、性能：在我们决定加密数据时，需要考虑的一个最大问题是，其性能影响如何？而对这个问题的回答只能是“视方案而定”。在我们的经验中，透明加密执行起来很好，它对数据库的性能影响一般从5%到8%不等。本地数据库对象加密对性能的影响可达到15%到20%。所以，企业必须根据自己的配置状况和性能要求考虑好此问题。 2、操作：如果你要加密介质，最好能够保证在需要时能够及时从此介质恢复。这就要求你经常测试磁带。同样道理，如果你使用密钥轮换来满足监管要求，就应当试这个过程的操作过程和方式，并测试你的厂商如何处理生产环境中的新密钥和老密钥。你最好按照计划来进行，而不要在怀疑某个加密密钥遭受破坏后才去测试。 3、复杂程度：加密系统都很复杂。你必须考虑加密引擎在哪里，它如何加密数据及加密哪些数据，哪些数据不加密，怎样提供密钥等等。作为一位数据库管理员，你需要认识到这种复杂程度并保证自己完全理解加密系统如何工作，特别是在你要证实加密能够正确地满足合规要求时，这尤其重要。　　加密的复杂性不仅体现在部署方面，还体现在实施阶段。有人认为加密只不过是一个简单的数学公式问题，甚至还有人说，“咱能自己搞定！”。此言差矣。许多很有才的安全专家都在建设自己的加密系统时栽了跟头。不要去建立自己的安全加密系统。否则，轻则造成不安全，重则会丢失所有数据。所以，你应当采用一种经过检查的可信的加密产品。 4、密钥管理：你需要一个密钥管理系统来保护密钥。管理员不能将密钥存储到数据库中，也不能将密钥存放到磁盘上。企业应当将密钥管理规划到预算和操作计划中。