【IT168 专稿】SQL Server 2014 CTP2之后公布了一项针对备份的特性，那就是原生备份加密。考虑到之前网络上造成很大影响的数据库泄漏事件，本质上都是由于数据库备份泄漏给第三方导致的。SQL Server 2014的原生数据备份功能能够在备份被盗、且没有加密证书的情况下限制使用，这有效的解决了上述数据泄漏问题。

　　一、备份加密的局限性

　　在SQL Server 2014之前，如果希望实现对备份的加密，会通过如下两种方式实现：

　　· 使用透明数据加密(TDE)来加密整个数据库，同时备份和事务日志也会被加密;

　　· 使用第三方备份加密工具。

　　首先来谈一下使用透明数据加密，如果仅仅是为了对备份加密，使用TDE有点过于大材小用，因为使用TDE会导致数据库本身和日志被加密，对CPU带来额外开销。此外，使用TDE加密过的数据库如果使用备份压缩，压缩比率会非常低。如果使用SQL Server 2014的原生备份加密，则无需对整个数据库进行加密，备份仅仅在被写入磁盘之前被加密。原生备份加密如果结合备份压缩功能，则会先进行压缩再加密，从而得到非常高的压缩比率。

　　其次使用第三方备份加密工具需要额外的费用，并且在执行过程中也会有比较繁琐的操作成本。当需要对Azure中的备份进行加密时，将会变得非常繁琐。而使用原生备份加密可以直接对Azure中的备份进行加密，从而对OFF-SITE备份提供了额外的安全性。

　　二、原生数据加密的实现流程

　　在SQL Server 2014 企业版、BI版、标准版中包括了原生数据加密功能。使用备份加密需要有二个先决条件：

　　存在证书或非对称密钥;

　　选择备份加密算法。

　　下面使用原生数据加密对备份加密，首先建立证书：

　　CREATE CERTIFICATE BackupCertificate
　　WITH SUBJECT = 'Backup Encryption Certificate';
　　GO

　　建立完成后，直接使用证书进行备份加密：

　　BACKUP DATABASE TestBK TO DISK =
　　'C:\Test_Encrypted.bak'
　　WITH COMPRESSION,
　　ENCRYPTION
　　(ALGORITHM = AES_256, SERVER CERTIFICATE = BackupCertificate);

　　结果如图1所示。在图1中，注意到SQL Server给出了提示信息要备份证书以及证书的私钥，否则数据将无法使用。通常在非常好的实践中，当证书创建时就应该备份，数据安全永远是第一位的。

▲图1.提示备份证书私钥

　　在图1中，注意到备份指定的加密算法是AES_256算法。SQL Server 2014提供了四种对备份加密的算法，分别是AES128、AES196、AES256和三重DES算法。

　　在SQL Server 2014的Management Studio中也对原生备份加密提供了GUI的支持，如图2所示。

▲图2.GUI对原生备份加密的GUI支持