oracle 數(shù)據(jù)安全組件TDE介紹
最近數(shù)據(jù)泄露案例頻繁發(fā)生�����,數(shù)據(jù)安全越來越被各大公司和企業(yè)所重視�����,不但要從管理上進行防范�����,從技術(shù)層面也需要嚴格控制。我研究了下與oracle相關(guān)的數(shù)據(jù)安全的產(chǎn)品和功能���,歸類如下:
本文主要介紹TDE(Transparent Data Encryption)TDE透明數(shù)據(jù)加密允許用戶對各個表列或整個表空間進行加密���。當用戶向加密的列中插入數(shù)據(jù)時,透明數(shù)據(jù)加密會自動對該數(shù)據(jù)加密����。當用戶選擇該列時,數(shù)據(jù)將自動解密���。選擇完畢后���,數(shù)據(jù)將重新加密。- 所有步驟可以使用SQL命令或者圖形界面完成���。
- 對數(shù)據(jù)庫功相關(guān)能透明(rman�、壓縮等)��,不需要額外操作����。
1. 創(chuàng)建“wallet”目錄以及指定位置
默認情況下���,錢夾創(chuàng)建于ORACLE_BASE/admin/ORACLE_SID/wallett目錄下�����。如果沒有�����,則手工創(chuàng)建���。也可以修改該目錄路徑���,但需要在sqlnet.ora文件進行配置。可以看到���,設置完wallet密碼后�,wallet默認就是打開的�����。需要注意的是wallet的密碼一旦生成之后���,每次數(shù)據(jù)庫重啟之后���,都必須使用命令顯式打開�。并且wallet一旦打開之后�,在數(shù)據(jù)庫實例關(guān)閉之前會一直處于打開狀況,除非顯式的通過close命令關(guān)閉��。1. 加密列方法
舉例測試����,有一張表ttt上有個字段已經(jīng)加密。關(guān)閉wallet��,包含加密列的查詢失敗�����。ALTER TABLE ttt ADD (aaa VARCHAR2(128) ENCRYPT);ALTER TABLE ttt MODIFY (USER_ID ENCRYPT);ALTER TABLE ttt MODIFY (USER_ID DECRYPT);? BINARY_DOUBLE ? BINARY_FLOAT ? CHAR ? DATE ? INTERVAL DAY TO SECOND ? INTERVAL YEAR TO MONTH ? LOBs (Internal LOBs and SECUREFILE LOBs Only) ? NCHAR ? NUMBER ? NVARCHAR2 ? RAW ? TIMESTAMP (includes TIMESTAMP WITH TIME ZONE and TIMESTAMP WITH LOCAL TIME ZONE) ? VARCHAR21. 當列加密的字段類型不在支持范圍內(nèi)�,可以使用表空間加密。
在加密表空間內(nèi)創(chuàng)建的表都具備加密特性�����。2. 在加密表空間內(nèi)創(chuàng)建表關(guān)閉wallet��,無法查詢加密表��。wallet密碼可以通過orapki命令進行修改
orapki wallet change_pwd -wallet wallet_location[-oldpwd password ] [-newpwd password]wallet密碼也可以通過圖形界面修改���,不做示例了�。使用SQL 創(chuàng)建的wallet 的問題是不能自動登陸���,這樣我們在關(guān)閉wallet或者重啟實例后��,都需要手動的來open wallet�����。不過Oracle 提供了wallet 自動登陸功能����,可以在創(chuàng)建后使用owm(Oracle wallet manager)來修改。
在oracle用戶終端輸入own命令調(diào)出gui界面���,使用owm工具修改�。TDE可以對也可以對expdp���,rman,compress等功能適用����,這里就不一一測試了。使用場景更偏向于數(shù)據(jù)的安全�。隱藏敏感數(shù)據(jù),不被人知曉����,更多的時候是防止數(shù)據(jù)庫上的數(shù)據(jù)文件以及備份被”偷竊“之后的數(shù)據(jù)泄密����。
使用場景�����,可以對一些敏感數(shù)據(jù)進行加密(信用卡和帳戶號碼����、地址�����、姓名和個人身份號碼(駕駛證�,身份證)),或者對關(guān)鍵數(shù)據(jù)進行加密�����,如薪水�����、研究結(jié)果、客戶信息等��。如需要對外鍵列中的數(shù)據(jù)進行加密����,或者需要除 B-TREE 樹外的索引,又或者需要對列級TDE 不支持的數(shù)據(jù)類型進行加密�,可選擇表空間級別加密。
更多精彩干貨分享
點擊下方名片關(guān)注
IT那活兒
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/129794.html
