OCP培训资料数据库安全性.ppt

2、t,姓名,薪金,信用卡,地址,JFV,10000,A0023,Rognes,20000,B1524,10000,C2568,30000,D1483,20000,E0732,40000,F3456,明文数据,加密数据,ALTER TABLE,主密钥,SELECT|INSERT|UPDATE|CREATE TABLE,列密钥,实施透明数据加密,创建 Wallet：自动创建或使用 Oracle Wallet Manager 创建。,sqlnet.ora 条目示例：,ENCRYPTION_WALLET_LOCATION=(SOURCE=(METHOD=FILE)(METHOD_DATA=(DIRECT

3、ORY=/opt/oracle/product/10.2.0/db_1/wallet),实施透明数据加密,2.在实例中设置主密钥：3.在实例（将来）中打开 Wallet：4.创建包含加密列的表：,ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY;,ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY;,CREATE TABLE emp(first_name VARCHAR2(128),last_name VARCHAR2(128),empID NUMBER ENCRYPT NO SALT,salar

4、y NUMBER(6)ENCRYPT USING 3DES168,comm NUMBER(6)ENCRYPT);,实施透明数据加密完整注释页,现有表和 TDE,添加加密列：加密未加密列：禁用列加密：添加或删除 salt：更改密钥和加密算法：,ALTER TABLE emp ADD(ssn VARCHAR2(11)ENCRYPT);,ALTER TABLE emp MODIFY(first_name ENCRYPT);,ALTER TABLE emp MODIFY(first_name DECRYPT);,ALTER TABLE emp MODIFY(first_name ENCRYPT NO

5、SALT);,ALTER TABLE emp REKEY USING 3DES168;,透明数据加密：注意事项,不能加密 SYS 所拥有的表。不支持 LONG 和 LOB 数据类型。支持的加密算法有：3DES168 AES128 AES192 AES256 必须使用 NO SALT 加密索引列。TDE 使用索引执行等式搜索。必须先解密加密数据，然后再执行表达式求值。最佳方案提示：备份 Wallet。,Wallet 对用户名和口令的支持,Wallet 现在可以持有多个证书：用户名和口令可以存储在 Wallet 中，而不必通过命令行提供。批处理作业处理：操作系统上列出进程时防止公开用户名和口令使

6、用以下方法设置：sqlnet.ora 中的 WALLET_LOCATION mkstore 实用程序,connect/db_connect_string,数据泵和透明数据加密,在导出和导入期间，使用您自己提供的列密钥：对于外部表也是如此：,ENCRYPTION_PASSWORD=,TDE DP RMAN VPD,CREATE TABLE emp_ext(first_name,last_name,empID,salary ENCRYPT IDENTIFIED BY xIcf3T9u)ORGANIZATION EXTERNAL(TYPE ORACLE_DATAPUMP DEFAULT DIRECT

7、ORY D_DIR LOCATION(emp_ext.dat)REJECT LIMIT UNLIMITEDas select*from employees;,RMAN 加密备份：概览,备份有以下三种加密模式：透明模式：需要 Oracle Wallet 最适合在同一位置执行的日常备份和还原操作是默认加密模式口令模式：需要提供口令最适合在远程位置还原的备份双重模式：可以使用 Oracle Wallet 或口令最适合在本地和远程还原的备份,TDE DP RMAN VPD,透明模式设置,1.创建 Wallet：自动创建或使用 Oracle Wallet Manager 创建。2.在实例中打开

8、 Wallet：3.在实例中设置主密钥：4.将 RMAN 配置为使用透明加密：5.备份或恢复命令不会发生更改。6.可以暂时覆盖永久配置：,ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY;,ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY;,CONFIGURE ENCRYPTION FOR DATABASE ON,SET ENCRYPTION OFF,口令模式设置,1.将 RMAN 会话设置为使用口令加密：2.备份命令不会发生更改。3.将 RMAN 会话设置为解密用口令加密的备份：4.恢复命令不

9、会发生更改。,SET ENCRYPTION ON IDENTIFIED BY password ONLY,SET DECRYPTION IDENTIFIED BY password1,password2,passwordn,双重模式设置,1.创建 Wallet：自动创建或使用 Oracle Wallet Manager 创建。2.在实例中打开 Wallet：3.将 RMAN 会话设置为使用双模式加密：4.备份命令不会发生更改。5.如果需要，请将 RMAN 会话设置为使用口令解密备份：6.恢复命令不会发生更改。,SET ENCRYPTION ON IDENTIFIED BY password,S

10、ET DECRYPTION IDENTIFIED BY password1,password2,passwordn,ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY;,RMAN 加密备份：注意事项,不能加密映像副本备份。COMPATIBLE 必须至少设置为 10.2.0。V$RMAN_ENCRYPTION_ALGORITHMS 包含可能的加密算法列表。备份加密只适用于 Oracle Database 企业版。每个新的加密备份使用一个新加密密钥。可以通过使用多个通道提高磁盘性能。可以随时更改主密钥，而不会影响以透明方式加密的备份。,SET

11、 ENCRYPTION ALGORITHM algorithmname,CONFIGURE ENCRYPTION ALGORITHM algorithmname,数据私密性的需要,示例：雇员：保护薪金与佣金百分比（在本课的后面部分使用）联机银行业务：保护帐户访问 Web 商店：提供个人购物篮 Web 主机：只允许各顾客查看其自己的数据用于 Oracle SalesO 和 Oracle Portal,TDE DP RMAN VPD,术语定义和用法,细粒度访问控制(FGAC)：使用函数应用程序上下文：保留用户身份并用作应用程序属性和值的安全数据高速缓存应用程序属性：由详细访问策略使用,虚拟专

12、用数据库：概览,虚拟专用数据库(VPD)包括：详细访问控制(FGAC)安全应用程序上下文 VPD 使用策略向 SQL 语句添加保护敏感数据的条件。VPD 提供行级访问控制。应用程序属性在应用程序上下文中定义，由详细访问策略使用。,虚拟专用数据库：功能,列级 VPD 根据所访问的安全列实施行级访问控制。通过定制，可以定义静态和非静态策略。使用共享策略，可以将一个策略与多个对象相关联。策略类型可以为 INDEX。策略谓词文本字符串的大小可以为 32 KB。,列级 VPD：示例,并不总是重写语句。考虑使用策略来保护 EMPLOYEES 表的 SALARY 和 COMMISSION_PCT 列。详细访

13、问控制(FGAC)：对于此查询，其并不需要：对于以下这些查询，则是强制的：,SQL SELECT last_name FROM employees;,SQL SELECT*FROM employees;,SQL SELECT last_name,salary 2 FROM employees;,创建列级策略,授予权限创建函数将策略应用于对象,BEGIN dbms_rls.add_policy(object_schema=hr,object_name=employees,policy_name=hr_policy,function_schema=hr,policy_function=hrsec,statement_types=select,insert,sec_relevant_cols=salary,commission_pct);END;/,小结,在本课中，您应该已经学会如何：实施透明数据加密对加密列使用 TDE 描述数据泵加密确定 RMAN 加密备份的组件定义虚拟专用数据库的基本概念应用列级 VPD 策略,练习概览：使用 Oracle 数据库安全性,本练习包含以下主题：通过创建加密 Wallet 和加密密钥实施 TDE 对加密列使用 TDE,完整注释页,

展开阅读全文