近年來，伴隨資料洩露事件頻發，人們對於資料庫安全的重視程度與日俱增。在政府、機關部委、金融、能源等行業的資訊保安建設中，資料庫審計、資料庫防火牆等安全裝置紛紛被定義為“必需品”，然而部署於網路層的安全裝置終究鞭長莫及，面對來自儲存層的資料檔案洩密，依然無能為力。

在對資料庫的縱深安全防護體系中，儲存層加密作為資料庫“底線防守”的最有效手段，從儲存層對敏感資料進行有效加密保護。這樣，從根本上解決了諸如資料檔案竊取、高許可權特權使用者直接登入資料庫主機批量檢索篡改資料等安全問題。

目前大多數資料在內部儲存是以明文方式儲存的，這種情況下，一旦資料被有意無意的帶出內部環境，將面臨洩密風險；另一方面，內部高許可權使用者對於資料的訪問許可權過高，同樣存在資料被惡意利用的風險。

在資料安全治理體系中針對這種情況，建議建立資料加密機制，將重要資料在資料庫中進行加密方式儲存，無論受到外部***導致“***”，還是內部人員惡意攜帶資料檔案，在未得到授權的情況下 都無法對資料內容進行提取或破解。

資料內部儲存安全

資料加密技術中的加密演算法既要支援我國密碼管理機構認定的加密演算法，也要支援國際先進的密碼演算法。需要支援對資料庫指定列或表進行加密，保證敏感資料以密文形式儲存的同時兼顧效能不受大的影響，從而實現資料儲存層的安全加固。

資料儲存加密技術還需要支援透明加密解密，以保障使用者的加密成本最小化和執行效率最大化。透明的資料加密有兩層含義：一是對應用系統透明，即使用者或開發商無需對應用系統進行任何改造；二是對有密文訪問許可權的使用者顯示明文資料，且加、解密過程對使用者完全透明。

資料儲存加密技術還需要支援三權分立，這在我國的等保規定中是有明確要求的。對於常規資料庫管理賬戶要求增設資料安全管理員（DSA;Data Security Administrator）。DSA和DBA相互獨立，共同實現對敏感欄位的存取控制，實現責權一致。DBA實現對普通欄位一般性訪問許可權控制，DSA實現對敏感欄位的加密脫密處理和密文訪問許可權控制。該功能需要在資料加密儲存的基礎上，實現密文訪問許可權體系，對資料庫使用者進行強制訪問控制，有效防止特權使用者對敏感資料的非法訪問。

資料庫加密技術作為資料庫安全的最後一道鐵閘，其自身的安全性和容災機制應該具有充分的保障，能夠具備與資料庫的資料整合儲存、RAC支援、雙機熱備、應急模式、多程序冗餘、透明故障切換、資料錯誤忽略、備份恢復等技術，從而提供與資料庫相當的高可用支援和異常故障處理能力，使使用者感到既安全，又安心，加密後的整套資料庫環境仍然可以安全高效的執行。