發行項
04/02/2012

檢查清單：加密機密資料

此檢查清單可協助您確認環境中是否正確使用加密。使用此檢查清單定期稽核您是否搭配 SQL Server Database Engine 使用加密。

資料庫層級

...	說明
	您是否已經使用透明資料加密評估過靜止的加密資料 (從 SQL Server 2008 開始提供 TDE)？提示如需詳細資訊，請參閱＜了解透明資料加密 (TDE)＞。
	您是否使用對稱金鑰加密敏感性資料，並使用非對稱金鑰或憑證保護對稱金鑰？提示如需詳細資訊，請參閱＜加密階層＞。
	您是否已經以密碼保護金鑰，並移除最安全組態的主要金鑰加密？提示如需詳細資訊，請參閱＜CREATE MASTER KEY (Transact-SQL)＞。
	您是否有憑證備份？提示使用金鑰專用的 DDL 陳述式備份服務主要金鑰、資料庫主要金鑰以及憑證。查詢 sys.certificates 的 pvt_key_last_backup_date 資料行。如需詳細資訊，請參閱＜如何：備份服務主要金鑰＞和＜如何：備份資料庫主要金鑰＞。
	您是否已經備份資料庫以備份您的對稱和非對稱金鑰？提示如需詳細資訊，請參閱＜BACKUP (Transact-SQL)＞。

資料表層級

...	說明
	高價值和敏感性資訊 (例如信用卡號) 是否使用加密儲存？提示資料可以使用資料行層級加密進行加密，也可以透過使用加密功能的應用程式功能進行加密。如需詳細資訊，請參閱＜如何：加密資料行＞。
	您是否已經針對資料選取適當的加密演算法？提示從較舊的加密演算法中移開，例如 RC4。如需詳細資訊，請參閱＜選擇加密演算法＞。

透明資料加密

如果您使用的是 TDE，必須適當地保護與備份加密金鑰。

...	說明
	如果您使用憑證來保護資料庫加密金鑰，憑證是否已經備份，而且憑證和私密金鑰檔案的備份是否受到適當的保護？提示如果將加密金鑰備份到抽取式媒體 (CD 或隨身碟)，請將金鑰備份存放在安全的位置，例如可控制存取的安全位置。如果備份到其他硬碟，該電腦必須受到適當的保護。如需詳細資訊，請參閱＜將 TDE 受保護資料庫移動至另一個 SQL Server＞。
	如果您使用可延伸金鑰管理 (EKM) 來保護資料庫加密金鑰，硬體安全性模組上的非對稱金鑰是否受到適當保護並備份？提示如需建議，請洽詢 HSM 廠商。
	您是否保留舊憑證與私密金鑰的備份？提示變更資料庫加密金鑰時，虛擬記錄檔不會使用新的金鑰重新加密。它們仍然以先前的金鑰加密。如果您必須還原加密資料庫的記錄檔備份，則必須擁有所有備份檔案的加密金鑰，否則 SQL Server 將無法讀取檔案。

請參閱

概念

檢查清單：提升 Database Engine 連接的安全性

檢查清單：限制資料的存取權

檢查清單：Database Engine 安全性設定

SQL Server 和資料庫加密金鑰 (Database Engine)

SQL Server 憑證和非對稱金鑰

其他資源

SQL Server 和資料庫加密金鑰的如何主題