数据库凭据加密的保护对象是"用于访问数据库的认证信息"(如用户名、密码、连接串),目的是防止这些认证凭据本身被泄露。透明数据加密(TDE)的保护对象是"数据库中存储的业务数据文件",通过对数据库数据文件和日志文件进行透明加密,防止存储介质被盗或非法拷贝导致的数据泄露。
凭据加密通常在应用层或凭据管理服务层完成,加密后的凭据以密文形式存储于配置文件、环境变量或凭据管理系统中,数据库实例本身不一定感知凭据的存在形态。 TDE 则在数据库引擎层或操作系统驱动层实现,对上层应用完全透明,应用代码无需改造,数据库在写入磁盘时自动加密、读取时自动解密。
凭据加密主要应对的威胁包括:硬编码凭据被上传至代码仓库(如 GitHub)、配置文件被非法读取、内部人员越权获取数据库密码等。 TDE 主要应对的威胁包括:数据库服务器硬盘被盗、备份文件泄露、操作系统层恶意拷贝数据库文件等静态数据窃取行为。两者在纵深防御体系中互为补充,而非相互替代。
等保2.0 三级要求对重要配置信息(含数据库凭据)进行加密存储,这直接对应凭据加密的合规要求。 TDE 则更多对应"数据存储加密"和"商用密码应用安全性评估"中的相关要求。在实际测评中,两项能力通常需要同时具备才能通过完整检查。