Oracle 透明数据加密未解密访问

Question

我能否以以下所有陈述都成立的方式设置 Oracle 数据库

a) 某些列（可能是所有列）都已加密，以便对数据库文件的直接文件访问不会允许攻击者检索任何记录

b)加密列对于授权用户透明地解密，其中授权发生，例如通过具有一定的角色或权限

c) 具有执行“正常”管理任务的适当权限的管理员（调整、创建/删除模式对象、重新启动数据库、从数据字典）可以选择表，但只能看到加密列中的加密数据。

如果这是可能的，我该怎么做。如果不可能，我必须采取哪些选择才能至少“接近”这些要求？

a)+b) 似乎可以使用 Oracle 透明数据加密，但我不确定 c)

Answer 1

透明数据加密仅执行 (a)。它是为了防止由于有人窃取硬盘或备份或针对 DBF 文件运行字符串而发生数据泄露。这仍然很有用，因为它可以防止您的系统管理员使用其特权操作系统访问来绕过所有数据库安全性。

如果您想强制实施类似 (b) 的技术，则适当的技术是虚拟专用数据库 - DBMS_RLS< /a> 与企业版或 Oracle Label Security（如果您有额外的）执照。

如果您想实现 (c)，您将需要 Oracle 的 Database Vault 产品，这又是企业许可证之外的额外收费。

由于 TDE 需要高级安全选项，这些选项相当于 EE 许可证的 75%(*) 附加费。在这种情况下，您不妨孤注一掷，购买 Audit Vault

(*) 如果您购买 Label Security，则只需 50%。