SQL Server 2008企业版中的数据库加密(5)

3、Windows文件加密

Windows根据它安装的是那个版本，提供了两个粒度文件保护。在大多数的Windows 2000发布版本和后来的版本(包括Windows Vista)中，可以使用文件加密系统(EFS)。EFS在文件级加密数据。BitLocker是一个新技术，它在空间级加密数据。它在Windows Vista Enterprise Edition、Windows Vista Ultimate Edition和Windows Server 2008的所有版本中都可用。

3. 1、文件加密系统

EFS是Windows 2000中推出的一个文件加密特性。像SQL Server中的加密一样，EFS依赖于Windows Cryptographic API(CAPI)。文件和文件夹都可以标记为已加密的，尽管加密实际上只发生在文件级。每一个文件都由一个单独的文件加密密钥(FEK)进行加密，就像在TDE中每一个数据库用一个单独的DEK加密一样。FEK由用户的证书保护，和证书怎样保护DEK类似。EFS证书指派给一个用户，而概念上来讲TDE证书是一个服务器级的对象。可用多个证书来加密FEK，这使得不止一个用户可以访问文件。当使用EFS和SQL Server时，数据库服务器服务帐户必须具有访问文件加密密钥来加密任何数据库文件的权限，以便它可以读取这个文件。这不能作为一种访问控制的形式——无论登陆帐户怎样，服务帐户是用来读取数据库文件的。

3. 2、与TDE相比较

作为一个操作系统级别的加密特性，EFS具有一些优点。TDE只限于数据库文件，而EFS允许非数据库和甚至是文件夹级别的加密，这使得它可以进行更广泛的加密。密钥管理提取到操作系统，这使得用户可以利用Windows证书存储。如果密钥丢失了，那EFS会提供一个数据恢复路径，而TDE现在还没有类似的解决方案。

EFS与TDE相比的缺点，主要是在性能和管理方面。EFS不是旨在高并发的随机访问(它不支持prefetch或异步I/O)。因此，I/O操作可能会成为瓶颈并连续执行。虽然这在一般情况下影响很小，但它已经成为了关注数据库使用的一个原因。EFS要求在操作系统级的文件管理权限，而这是数据库管理员可能不具有的。因为保护是由EFS进行的，所以分离数据库、备份数据库或添加文件组可能就不受保护，如果这些文件是放在EFS所不保护的地方的话。还有，EFS的执行可能随着版本发布而改变。这通常不是问题，因为EFS主要用在一个单独的计算机上用于一个单独的用户，但是它也是需要考虑的。

3. 3、TDE的推荐用法

EFS最好用在数据库只被少量用户使用的移动PC、桌面或工作站上。由于性能考虑，EFS一般不推荐与TDE一起使用，尽管没有什么阻止EFS和TDE一起使用(或者一般情况下与SQL Server一起使用)。当性能不是问题和当希望进行深度防范的时候，EFS和TDE一起使用就是一个可行的选择。EFS还可以用来代替TDE进行文件组级别的粒度。还有，因为它在文件夹级别进行保护，所以EFS可以用来保护一些当数据写到磁盘上去的特殊情况。在性能是一个主要考量的情况下，不推荐EFS和SQL Server一起使用。

3. 4、BitLocker驱动盘加密

BitLocker是在Windows Vista Enterprise Edition、Windows Vista Ultimate Edition和Windows Server 2008的所有版本中所包含的一个空间加密特性。默认情况下，如果有可用的可信平台模块(TPM)，那么BitLocker利用它来提供导入完整性保护。

3. 5、BitLocker和EFS

EFS和BitLocker的比较超出了本篇文章要讨论的范围，因为它们都是复杂的技术，需要讲述很多细节，没有办法在这里一一介绍到。一般情况下，EFS旨在保护用户数据，而BitLocker 旨在保护空间和系统数据。在Microsoft SQL Server 性能方面，BitLocker 的磁盘读写延迟较低，没有EFS所具有的并发问题。

3. 6、与TDE相比较

BitLocker和TDE都是主要保护脱机攻击。BitLocker进行空间级保护，所以当服务器是联机状态时，空间是开放状态，尽管没有解密。像EFS一样，BitLocker具有一个数据恢复机制，而TDE现在还没有这个机制。使用BitLocker的优势在于易于管理、提取密钥管理和透明性。缺点是这个保护只扩展到空间保护。分离或备份数据库到一个不受EFS或BitLocker保护的不同空间上会引起文件失去现在所具有的任何保护。BitLocker的其它缺点是保护的宽度。因为整个空间都是开放的，任何具有可访问磁盘上文件的计算机访问权限的用户都可以以文本形式访问这些数据。和TDE类似的，BitLocker依赖于访问控制的其它机制(例如TDE所使用的数据库权限和BitLocker所使用的Windows文件权限)。而使用EFS，数据库管理员可能不具有管理BitLocker所必要的权限。

3. 7、TDE的推荐用法

BitLocker没有与EFS相关的类似性能考量，所以推荐你采用TDE和BitLocker进行深度防范。正如在之前讨论的，存在内存可能被写到磁盘的情况，例如休眠或崩溃转储。此外，其它的特性可能写到TDE外的磁盘上。BitLocker可用于减轻这些状况程度。

4、总结

那些找寻数据库级别加密的人们在SQL Server和Windows中有很多选择。这些选择不是相互排斥的。在SQL Server和Windows中可用的不同加密级别可以用来提供深度防范和更好的全面安全保护。透明数据加密提供了良好的易于管理、易于使用、良好的性能和安全性。TDE还提供了一个全面防范，因为数据库会保持加密，即使它移到另一个地方去。备份和快照不需要服务器管理员提供支持就受到保护。EFS和BitLocker无论是和TDE结合使用还是作为单独的加密系统都是有效的解决方案。TDE不是为了替代这些解决方案。单元级加密提供了更多的细粒度控制，包括要牺牲性能、易于使用和管理的显示密钥管理。BitLocker和EFS在TDE不提供崩溃转移或休眠文件时提供保护(如果保护系统空间或系统文件夹)。BitLocker和EFS(以及更受限的单元级加密)可以用来保护系统数据库(master、model、resource和msdb)，而TDE现在还不能做到。EFS一般更有效，因为TDE只能用在SQL Server 2008企业版或SQL Server 2008开发者版本，而BitLocker只在Windows Vista Enterprise、Windows Vista Ultimate或Windows Server 2008中可用。

责任编辑：碧海蓝天 TEL：（010）68476606】