提高數據庫安全性的十一項技術

數據庫不應成為危及安全和隱私的“切入口”，基礎加密、哈希函數、同態加密等技術可以幫助降低數據庫安全風險并確保合規性。

數據庫中含有大量個人信息，甚至包含一些敏感信息，為管理這些數據的公司帶來了不少麻煩。現在，復雜的工具和技術使得數據庫開發人員可以通過保持信息的私密性來整體提升數據庫的安全性。

這些解決方案主要取決于對數學的巧妙應用。例如，一些最簡單的機制看起來只是現代版本的密碼，本質上是經典解碼輪的數字版本。其他更復雜的擴展，也進一步推動數學提供更多的靈活性和功能性。許多在實驗室中試驗了幾十年的技術想法最終得到了研發和應用，成為了現實。

這些算法正在成為鞏固業務關系和確保準確“無欺詐”工作流程的基礎。這些方法使公司可以更輕松地向客戶提供個性化服務，同時保護他們的隱私。此外，這些方法還能夠在不妨礙服務交付的情況下更好地遵守管理數據流的法規。

以下是讓數據庫變得更安全、更簡單的11 種工具和技術：

01 基礎加密

有時候，最簡單的解決方案就足夠了。現代加密算法用一把鑰匙加密數據，因此只有擁有鑰匙的人才能讀取數據。許多數據庫可以使用AES等標準加密數據。這些解決方案最能防止硬件丟失(也可能是被盜)的情況，因為如果沒有正確的加密密鑰，數據仍然是安全的。

但是，這種基礎加密并非一勞永逸的方法。如果攻擊者能夠侵入計算機，對稱加密算法對運行中的計算機的保護程度也是有限的。攻擊者可以找到允許數據庫處理合法操作的相同密鑰。許多數據庫提供了對“靜止”信息進行加密的選項。

02 差分隱私

這種技術以不同的方式部署數學。它沒有將信息鎖定在數字保險箱中，而是添加了精心調整的噪音量，以使其難以確定哪條記錄對應哪個特定的數據個體。如果噪聲數值正常，那么便不會影響整體統計數據，如平均值。也就是說，如果您從數據集中的年齡隨機增加或減少幾年，平均年齡將保持不變，但這樣一來可能很難通過年齡尋找到特定個人。

該解決方案的效用各不相同。最好將數據集發布給想要研究數據的不受信任的合作伙伴，通常是通過計算數據平均值和數據集的大小。在某種程度上來說，許多算法添加噪聲做得很好，因為他們不會扭曲許多聚合的統計數據。目前，了解哪些機器學習算法仍然可以很好地處理失真位是一個非常活躍的研究領域。

03 哈希函數

這些計算有時被稱為“消息驗證代碼”或“單向函數”，它將大文件歸結為較小的數字，從而使其實際上幾乎無法逆轉。給定一個特定的結果或代碼，找到將生成該特定代碼的文件將花費太長時間。

哈希函數是區塊鏈的重要組成部分，它以一種可跟蹤和識別篡改的方式將它們應用于數據的所有更新中。這可以防止加密貨幣交易中的欺詐行為，并且許多人正在將這些技術應用于需要確保數據一致的其他數據庫。添加哈希函數可以幫助企業應對數據合規性挑戰。

美國國家標準與技術研究院(NIST)的安全散列算法(SHA)是廣泛使用的標準集合。一些早期版本(如SHA-0和SHA-1)具有已知的漏洞，但較新的版本(如SHA-2和SHA-3)則被認為非常安全。

04 數字簽名

像RSA或DSA這樣的數字簽名算法算是更為復雜的計算，它將散列函數的篡改檢測特性與帶有認證信息的特定個人或機構相結合。它們依賴一個只有責任方知道的秘密密鑰。例如，加密貨幣將財富的所有權與知道正確密鑰的人聯系起來。跟蹤個人責任的數據庫可以包括驗證特定交易的數字簽名。

05 SNARK

簡明的非交互式知識論證(SNARK)是一種更為復雜的數字簽名版本，可以證明復雜的個人信息而不會泄露信息本身。這種技巧依賴于更復雜的數學，有時被稱為“零知識證明”(ZKP)。

包含SNARK和其他類似證明的數據庫可以保護用戶的隱私，同時確保自己合規性。例如，一個非常簡單的例子可能就是數字駕駛執照，它可以證明一個人的年齡能夠飲酒而又不會透露他們具體的出生日期。一些人正在研究將該技術應用于疫苗護照。

SNARK和其他非交互式證明同樣屬于研究熱門。使用各種編程語言的數十種算法實現也為新項目奠定了良好的基礎。

06 同態加密

處理使用傳統加密算法鎖定的數據的唯一方法是對其進行解密，這個過程可以將其暴露給任何有權訪問計算機進行工作的人。同態加密算法旨在使對加密信息進行計算而無需對其進行解密成為可能。最簡單的算法允許進行一次算術運算，例如將兩個加密數字相加。更復雜的算法可以進行任意計算，但速度通常要慢得多。為特定問題尋找最有效的方法也是一個熱門的研究領域。

07 “聯邦”處理

一些開發人員將他們的數據集拆分成更小的部分，有時甚至出奇得小，然后將它們分發到許多獨立的計算機中。有時這些位置會被打亂，因此無法預測哪臺計算機將保存哪條記錄。該解決方案主要用于軟件包，這些軟件包旨在通過并行運行搜索或分析算法來加速所謂的大數據工作。最初的目的是速度，但也可能導致增加攻擊彈性的副作用。

08 全分布式數據庫

如果將一個數據集拆分成幾塊可以保護隱私，那么為什么不是十億塊或更多塊呢?更常見的解決方案是將數據直接存儲在創建和使用的位置。用戶的智能手機通常具有大量額外的計算力和存儲空間。如果幾乎不需要集中分析和處理功能，那么避免將其傳送到云服務器處理速度會更快、更具成本效益。

09 合成數據

一些研究人員正在通過隨機生成新值來創建純合成的數據集，但其方式遵循相同的模式并且在統計上基本相同。

10 中介和代理人

一些研究人員正在構建工具來限制數據收集，并在存儲數據之前對數據進行預處理。

11 無數據

無狀態計算是大部分網絡的基礎，當以盡可能少的記錄保存方式重新構建工作時，許多高效驅動器都能夠發揮效用。在某些極端情況下，如果合規性允許，并且用戶愿意接受極少(甚至沒有)得個性化服務時，刪除數據庫可以最大程度地保護用戶隱私。