今天继续为您介绍Oracle数据库选件。将为您带来两个和安全相关的数据库选件。
无论是甲骨文大学的课程,还是我们为客户举办的甲骨文技术日,我们都会为您介绍有关数据恢复的主题,其中一种不太常用的方式就是通过将数据文件拷贝到其他主机,并进行数据库重建与恢复。这种看似方便的恢复方式其实存在很大的安全隐患。当时就有客户和学员提出问题:“如果我们的数据文件被非法拷贝,那么不就存在数据泄露的风险吗?”。答案是肯定的,这样的确会造成数据泄露。但我当时就对这个问题进行了解释。在Oracle 10gR2的版本中,我们引入了Oracle数据库透明数据加密的技术,简称TDE。这种加密对于应用程序是透明的,换句话说,启用了这种加密技术,您的应用程序无需做出任何修改。表空间中的数据文件是通过秘钥进行加密的,即便有人将表空间中的数据文件拷贝走,在没有秘钥的情况下,也无法进行数据恢复,从而杜绝了因拷贝数据文件造成的数据泄露风险。那么有人会问,数据库中有那么多秘钥,如果秘钥丢失了该怎么办?别担心,Oracle有另外一个安全选件,叫做秘钥保险库,可以帮助您安全地保管秘钥,它将您的数据与秘钥分开保存,从而方便您使用秘钥的同时,进一步升级您的数据库安全级别。
今天为您介绍的第二个数据库安全选件是Oracle数据编纂。这个看起来让人觉得很陌生的选件,他实现的功能其实很好理解也非常有用。比如我们经常给银行或其他的客服中心打电话,为了验证我们的身份,对方经常会询问我的社会保险号后四位或者预留的移动电话后四位。当时我就有一个疑问,如果他同时知道了我的社会保险号和移动电话号码,我的身份很可能就会被冒用,这存在很大的个人资料外泄的风险。后来询问了业内人士,他告诉我,客服中心是无法看到完整的号码的,他们只能看到后四位。之前这种技术是通过应用程序来实现的,比如客服系统读取数据库的时候,需要通过应用程序进行转换和遮蔽,将敏感信息遮蔽掉。但这有一个问题,如果有人拿着客服中心的数据库登录密码,这样就可以看到完整的信息,我们的资料就有外泄的风险。有没有一种技术,无需在数据库外面对数据进行加工,而是在数据库内部直接根据用户的权限不同,对数据完成遮蔽的动作呢?Oracle的数据编纂就可以轻松实现这个功能。它是数据库的原生技术,因此无需应用程序的介入。而且如果搭配后面要为您介绍的数据库堡垒选件,可以为数据编纂再加一层防护罩,将数据库中的客户信息安全提升到更高的级别。通过数据编纂,数据在数据库中只需要保存一份,不同用户登录后,将看到不同形式的数据。比如,高级别的管理者登录后,可以看到数据的全貌,而低级别的数据库用户登录后,只能看到编纂后的结果,以手机号为例,高级管理者可以看到我的完整手机号,而呼叫中心用户登录数据库只能看到(213)XXX-7003这样的格式。
今天的内容就为您介绍到这里,感谢您的阅读,祝您有美好的一天。
相关链接:
编辑:殷海英
