如果您接觸了SQL Server 2008，那就可能知道其新的加密功能：透明數(shù)據(jù)加密(TDE)。第 一眼看上去TDE給人的感覺就像是數(shù)據(jù)庫加密的圣杯 - 所有人都在期待的加密解決方案。

　　雖然說沒有一種單獨的安全控制機制可以保護好一切，但是TDE的誕生已經是近乎完美了。

　　采用透明數(shù)據(jù)加密，整個數(shù)據(jù)庫(MDFs，tempdb，等等)對磁盤的讀取和寫入都作了解密/加密的處理，而不需要重寫應用程序或生成自定義 的加密和解密的代碼。在許多情況下，開發(fā)人員沒有利用數(shù)據(jù)庫加密特性來修改應用程序的選擇，，因此TDE有可能會開辟一個全新的領域。

　　透明數(shù)據(jù)加密的另外一個優(yōu)點是，由于數(shù)據(jù)庫已經被加密過了，因此數(shù)據(jù)庫備份也就自動的被加密了。在風險緩解方面，這也是一種優(yōu)勢。但是，這種方 式會增加對存儲空間的需求，因為對加密數(shù)據(jù)的壓縮還不能夠達到理想的程度。如果把數(shù)據(jù)提供給在線備份的訪問接口，可能會遇到額外的打擊。雖然這不是一個大 問題，但也需要做一些考慮。

　　在SQL Server 2008中另外一個不錯的增強功能是可擴展的密鑰管理;它將使您能夠使 用已存在的第三方密鑰管理應用程序去幫助SQL Server在企業(yè)級進行適當配置。

　　在這一層面上處理安全問題，系統(tǒng)發(fā)生故障時就會引入數(shù)據(jù)恢復的風險。而且，SQL Server 2008存儲數(shù)據(jù)庫加密密鑰(DEK)在系統(tǒng)的引導記錄里面，可以使用該數(shù)據(jù)庫服務主密鑰或硬 件安全模塊(HSM)如智能卡或USB存儲設備進行后續(xù)恢復。

　　所以，我們是否應該把目光放到去利用SQL Server 2008這些新功能的優(yōu)勢上和那些已被采用的、先進的數(shù)據(jù)庫加密技術上呢?這當然是值得考慮的 ——尤其是對于那些小部門，他們進行升級和推出新方案的負擔較小。但不要冒失地選擇SQL Server的加密。這是常識 – 連微軟也承認 - SQL Server 2008數(shù)據(jù)庫加密會給服務器增加很多處理開銷。不幸的是，我認為正是這個事情讓很多DBA在 加密的道路上走了很多彎路，甚至讓我們停滯不前。不過，如果你用了正確的方式，這將不會有什么問題;所以要提前做好計劃和功課。

　　我認為，我們已經把數(shù)據(jù)庫加密的野馬打倒在地。業(yè)務所面對的威脅，應該說已經提供了充足的理由去加密你們在業(yè)務上最為珍視的財富。火上澆油的行 為在國家法律上是不被允許的，在這方面加密數(shù)據(jù)卻被常常的赦免。這些法律的內在和它的本身應該作為一個巨大的動力去加密那些讓人感覺合情合理的地方。

　　SQL Server 2008的數(shù)據(jù)庫加密技術雖然不是傳說中的萬靈丹，但是當其它的防護措 施都失效的時候，它卻提供了一個強壯的保護層。 它是真正值得考慮的，現(xiàn)在還不去做，還要等到什么時候呢?