Windows Server 2008之数据安全（2）

Server 2008 FILESTREAM 数据类型使大型的二进制数据，像文档和图片等可以直接存储到一个NTFS文件系统中;文档和图片仍然是数据库的主要组成部分，并维护事务的一致性。

FILESTREAM 使传统的由数据库管理的大型二进制数据可以作为单独的文件存储在数据库之外，它们可以通过使用一个NTFS流API进行访问。使用NTFS流API使普通文件操作可以有效的执行，同时提供所有丰富的数据库服务，包括安全和备份。

事务的NTFS也能够和MS DTC（Distributed Transaction Center）通讯。如此，可以使应用程序由数据库调用组成，也包括文件系统的操作（比如文档管理系统）。该事务功能基于SMB 2.0（服务器消息模块）协议建立，因此可以将一个分布式的文件操作包含到一个事务中。

TDE：

SQL Server 2008中的透明数据加密(TDE)，可以选择同SQL Server 2005中一样使用单元级的加密，或者是使用TDE进行完全数据库级加密、或者是由Windows提供的文件级加密。

它旨在为整个数据库提供静态保护而不影响现有的应用程序。对数据库进行加密，传统上都会涉及复杂的应用程序改动，例如修改表schemas、删除函数和明显的性能下降。

TDE简单地加密了所有东西，所有的数据类型、键、索引，等等这些可以完全使用而不必牺牲安全或泄漏磁盘上的信息。

TDE是文件级的，它和两个Windows特性类似：文件加密系统(EFS)和驱动盘加密。

TDE没有替代单元级加密、EFS或BitLocker。TDE适用于大量加密，它可以满足调整遵从性或公共数据安全标准。

TDE在数据文件或备份文件会被访问和拷贝时保护数据。当对硬件安全模块的支持和它结合起来，TDE就提供了一个有效的保护存储在桌上电脑中数据库里的数据的方法。此加密确保了当计算机丢失或被盗时，如果没有相应的安全硬件模块，就打不开数据库。为了更好的保护数据，Windows Server 2008提供了增强的Microsoft BitLocker驱动加密技术，可以使用它来加密计算机里所有的硬件磁盘。

SQL Server 2008进一步扩展了这个能力，通过支持加密数据库连接，为数据在网络上传输时提供保护，而且还提供新的、强大的显示数据加密(TDE)功能。TDE加密数据库和备份文件中的数据而不必对访问这个数据的客户端应用程序做任何改动。

小结：

SQL Server 2008和Windows Server 2008结合在一起，提供了一个在安全、遵从性和高有效性方面非常引人注目的解决方案，通过一个强大的验证机制提供了一个安全的平台，这个验证机制将Windows验证和SQL Server集成在一起。