1、保證數據庫系統的整體性能沒有明顯下降
眾所周知,數據庫系統的數據處理性能對整個業務系統的整體性能表現有決定性的作用,在某些場合,數據庫必須保證處理能力維持在某個較高水平才能滿足業務需要。另壹方面,數據庫加密系統是壹個對數據庫中數據進行加密保護的應用系統,在數據從業務系統存儲到數據庫時要對數據進行加密,這個過程中明文數據需要被加密成密文,在數據由數據庫中被讀取出來傳遞到業務系統時要對數據進行解密,這個過程中密文需要被解密成明文。加密和解密是個根據壹定的算法邏輯進行循環運算的過程,這個過程對CPU會產生壹定的消耗,會影響數據庫的性能。
數據庫加密系統可以有多種技術路線來實現,業界已經驗證和使用的技術路線包括應用系統加密、前置代理加密、後置代理加密、表空間透明數據加密、文件系統加密和磁盤加密。其中應用系統加密和前置代理加密技術會極大地影響數據庫性能,僅適用於小量數據加密場景;後置代理加密技術在某些場景上也會大幅影響數據庫性能,使用場景有明顯限制;所以,好的數據庫加密系統應該盡量使用後三種技術路線來實現。
2、保證數據安全
保存在數據庫中的數據是用戶的資產,因此,任何壹個數據庫加密系統都需要保證在有密鑰的前提下能夠對由自己加密的數據進行無損解密。因此,壹個好的數據庫加密系統應該具備密鑰備份和恢復功能,以便於在加密機故障不可用時能夠快速搭建新的加密機環境;另外,如果數據庫加密系統提供了獨立的工具或接口來實現加密機故障時用戶數據的解密,則是更好的選擇。
3、應用完全透明
數據庫系統是為業務系統提供數據服務的,壹個好的數據庫加密系統應該對應用系統具備完全的透明性,這種透明性主要表現在:(1)部署數據庫加密系統時,應用系統不需要做任何改造,即使是連接字符串都不需要修改;(2)在部署了數據庫數據庫加密系統後,數據庫內部的存儲過程、用戶自定義函數、觸發器、SQL代碼段等可執行對象及主外鍵關系、各種索引、默認值、Check約束等均可以正常使用,也不需要做任何改變;(3)數據庫自身的外圍管理工具、第三方數據庫工具等在部署數據庫加密系統後仍然可以正常使用。
4、高可用性
數據庫加密系統自身應具備高可用能力,可以以主備或多機的方式提供數據庫加密服務,當其中的壹臺加密機發生故障時,其它加密機應可能快速接管加密服務,保證數據庫系統和用戶業務系統的可用性。