13.oracle dba视频9.57g附赠经典辅助学习database security

1、目标数据安全完成本章后，你应该能够:实现透明数据加密 (TDE)用加密列使用TDE描述数据泵加密识别恢复管理器的成分 (RMAN)加密备份定义虚拟私有数据库(VPD)的基本概念应用一个列级别的VPD策略数据1数据21实现TDE1. 创et ：自动创建或者用Oracle Wallet 管理器.例如 sqlnet.ora数据6ENCRYPTION_WALLET_LOCATION= (SOURCE=(METHOD=FILE)(METHOD_DATA=(DIRECTORY=/opt/oracle/product/10.2.0/db_1/)TDE 步骤WalletMaster keyColumn key

2、s清除数据加密数据SELECT|INSERT|UPDATE| CREATE TABLEALTER TABLE数据5外部安全模块NameSalCardAddressFV&)=#&( $ ”#| * (” !?&| #|_ “ENCRYPTION_PASSWORD = 用户名和的Wallets支持Wallets 现在比更重要:你能在Wallets用户名和口令，而不仅仅是在命令行里提供.批处理作业:在列出操作系统进程时保护用户名和安装使用:sqlnet.ora里的WALLET_LOCATIONmkstore 应用程序数据11connect /db_connect_string透明数据加密:注意事项你

3、不能加密SYS的表格LONG 和 LOB 数据类型不支持.支持的加密算法有: 3DES168AES128AES192AES256NO SALT 必须被用在加密索引字段.TDE 对索引的等价搜索起作用表达式赋值前加密数据必须最佳实践: 备份 wallet.数据10现有表格和 TDE添加加密列加密未加密的列禁用字段加密添加或移除 salt:改变密钥和加密算法:数据9ALTER TABLE emp REKEY USING 3DES168;ALTER TABLE emp MODIFY (_name ENCRYPT NO SALT);ALTER TABLE emp MODIFY (_name DECRY

4、PT);ALTER TABLE emp MODIFY (_name ENCRYPT);ALTER TABLE emp ADD (VARCHAR2(11) ENCRYPT);CREATE TABLE emp (_name VARCHAR2(128),last_name VARCHAR2(128),emNUMBER ENCRYPT NO SALT,salary NUMBER(6) ENCRYPT USING 3DES168, comm NUMBER(6) ENCRYPT);ALTER SYSTEM SET ENCRYPTION WALLET OPENIDENTIFIED BY ;ALTER SYS

5、TEM SET ENCRYPTION KEY IDENTIFIED BY ;RMAN 加密备份: 概览透明模式安装TDE DP RMAN VPD1. 创et: 自动或者用 Oracle Wallet 管理器.备份的三种加密模式:透明模式:需要 Oracle Wallet最适合的备份/恢复，在同一位置还原操作是默认加密模式模式:需要你提供适合还原备份双重模式:可以使用 Oracle Wallets 或者2. 在你的实例中打开 wallet :3. 在你的实例中设置密钥:4. 配置 RMAN 来使用加密:5. 备份和恢复不发生改变6.配置会被临时覆盖适合本地和的备份还原数据1314数据3数据的需求

6、TDEDP RMAN VPD案例:员工: 保护薪水和提成率 (用于这章剩余部分)网上: 保护帐户权限网上商店: 提供个人购物篮主机: 只允许客户查看自己的数据适用于Oracle和Oracle Portal数据18RMAN-加密备份: 注意事项镜像拷贝备份文件不能被加密.COMPATIBLE 至少要设置在 10.2.0.V$RMAN_ENCRYPTION_ALGORITHMS 包含了加密算法只能在企业版Oracle 数据库中使用备份加密每个新的加密备份使用一个新的密钥可以使用多通道磁盘系能任何时候更改主密钥不影响透明加密备份数据17CONFIGURE ENCRYPTION ALGORITHM a

7、lgorithmnameSET ENCRYPTION ALGORITHM algorithmname双重模式安装创et:自动或者用 Oracle Wallet 管理器.在你的实例中打开 wallet :设置RMAN会话来使重加密不改变备份命令如果需要，通过使用来设置你的RMAN会话来你的备份不改变恢复命令数据16SET DECRYPTION IDENTIFIED BY password1 , password2, passwordnSET ENCRYPTION ON IDENTIFIED BY passwordALTER SYSTEM SET ENCRYPTION WALLET OPEN ID

8、ENTIFIED BY ;模式安装设置你的RMAN会话来启用口令加密设置你的 RMAN :备份命令不发生改变.设置RMAN会话来口令加密备份不改变恢复命令数据15SET DECRYPTION IDENTIFIED BY password1, password2, passwordnSET ENCRYPTION ON IDENTIFIED BY password ONLYSET ENCRYPTION OFFCONFIGURE ENCRYPTION FOR DATABASE ONALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY ;ALTER SYSTEM

9、SET ENCRYPTION WALLET OPEN IDENTIFIED BY ;虚拟私有数据库: 概览定义和术语的使用虚拟私有数据库(VPD) 包括:Fine-grained acs control (FGAC): 函数的使用 细粒控制 (FGAC)Application context应用上下文: 对于请求的属性和值 上下文安全请求VPD 运用策略向SQL语句添加条件用来保护敏感信息用安全数据缓存来保护用户和服务Application attributes应用属性: 用于 fine-grained访问策略VPD 提供行级别的控制请求特征在式定义了细粒策略使用请求上下文的方数据19数据20

10、4总结在这课中你应该学会以下内容:执行透明数据的加密使用带有加密的TDE描述数据泵的加密识别RMAN加密备份的结构定义虚拟私有数据库的基本原理应用列级别的VPD策略数据24创建列级别策略授予权限.创建函数请求对象的策略数据23BEGINdbms_rls.add_policy(object_schema = hr, object_name = employees,policy_name = hr_policy, function_schema =hr, policy_function = hrsec,sement_types =select,insert, sec_relevant_cols=mis_pct);END;/列级别 VPD: 案例语句不一定被重写考虑到保护EMPLOYEES表中SALARY列和EMPLOYEES列的策略. 细粒控制应该是:不需要如此的搜索请求强制下列的请求数据22SQL SELECT * FROM employees;SQL SELECT last_name, salary2 FROM employees;SQL SELECT last_name FROM employees;虚拟私有数据库: 特性列级别