当前位置:  数据库>oracle

Oracle Database 12c Data Redaction介绍

    来源: 互联网  发布时间:2017-06-25

    本文导语: 什么是Data Redaction Data Redaction是Oracle Database 12c的高级安全选项之中的一个新功能,Oracle中国在介绍这个功能的时候,翻译为“数据编纂”,在EM12c R3的中文界面中,这个功能被翻译成“数据编写”,我认为后一个翻译更贴切。 在...

什么是Data Redaction

Data Redaction是Oracle Database 12c的高级安全选项之中的一个新功能,Oracle中国在介绍这个功能的时候,翻译为“数据编纂”,在EM12c R3的中文界面中,这个功能被翻译成“数据编写”,我认为后一个翻译更贴切。

在12c发布前,某次以“数据库安全”为题目的技术交流中,有一个客户问我们,Oracle数据库里面能不能实现这么一个功能:符合条件的用户可以看到表里面的所有数据,而另外一些人(业务权限低的用户)虽然能查询表,但是某些敏感数据全部用星号替换。我当时的想法是在11g中没有能够完全满足这个客户需求的功能。

现在12c的Data Redaction就可以完全满足上面提到的客户的需求了。所以如果用一句话概括:Data Redaction就是根据策略(条件)原地(Oracle用了on-the-fly这个词)改写数据,以保护敏感数据。

Data Redaction和Database Vault都能保护敏感数据,他们的不同就是,在配置了Database Vault的环境中,如果访问不符合策略,会报错,提示没有足够的权限。而在Data Redaction环境中,符合策略的访问,会看到被改写的(星号遮蔽,随机转换)数据。另外,Database Vault还能限制特权用户,而Data Redaction对DBA用户无效。

Data Redaction配置

Data Redaction的配置是通过系统系统的PL/SQL包来实现的,简单的说,就是使用这些PL/SQL包定义“数据改写”策略,策略中要定义的内容有:

l 敏感数据所对应的SCHEMA,表,列

l 数据编写生效的条件

l 数据编写所使用的方式以及对应的参数

这些工作都可以使用PL/SQL包来完成,也可以使用EM12c通过web页面来配置。下面我们就以EM12c举例说明。

如果使用图形界面配置“数据改写”,需要使用EM12c R3(Oracle Enterprise Manager Cloud Control 12c Release 3),EM Express中没有对应的功能(11g的DBControl在12c 名字变为EM Express,界面用ADF从新实现的,但是功能似乎更少了)。

1. 登录EM12c,进入数据库实例的主页。我这里使用的是一个PDB(Pluggable Database),因为这个里面有示例数据,在CDB(Container Database)中配置的方法是一样的,需要进入CDB的主页进行操作。

2. 点击“管理”-〉“安全性”-〉“Oracle Data Redaction”,如果没有配置数据库的身份证明,系统会提示输入身份证明,我这里用的是SYS用户。

3. 进入“数据改写”页面,创建策略

选择方案(SCHEMA),希望改写的表,策略名:

修改策略表达式,也就是策略的生效条件,我在这里选择的是数据库会话用户为SCOTT。

在进行下一步之前,我们先要确认敏感数据的格式。在本例中,我们希望将HR用户下的EMPLOYEES表中的PHONE_NUMBER列进行改写。这个列的数据形式如下图所示:

假设我们希望将电话号码全部用*号代替,只保留前3位。

点击页面下方的“对象列”区域的“添加”,在弹出窗口中添加敏感数据列及编写方式,在界面上也有简单的示例,如图所示:

因为要保留前3个电话号码,所以从第4个字符开始改写,全部需改写的字符是10个,中间的“.”不算,所以“直到”第10个字符。

4. 测试策略:

使用SQL*PLUS登录HR用户,可以查看所有数据。

使用SCOTT用户登录,查看到的是这个样子:

如果我们把策略生效的条件改为“会话用户为HR”,那么即使HR是这个表的OWNER,也只能看到改写后的数据:

其他类型的策略表达式

现实环境中,许多应用都是使用一个数据库用户登录的,所以数据改写的生效条件也可以是根据Client端信息或应用程序信息进行判断。当然,在应用程序中,必须要设置相关的CONTEXT。注意,如果应用的用户拥有DBA权限,数据改写就无效了。

我们使用SQL*PLUS模拟应用使用同一个数据库用户,利用CONTEXT实现数据改写。(实际上是不同应用用户,使用不同的CONTEXT。)

我们使用HR登录,将MODULE手工设置成“HRMS”。

当我们MODULE设置为其他值时(模拟切换不同类型的应用用户),则数据改写策略不生效。

APEX环境下的例子

在安装了APEX环境的数据库中,配合APEX使用数据改写也非常简单,利用APEX的PL/SQL表达式写法,引用应用用户名,以下是例子:

其他用户登录应用效果:

Test_user1登录应用的效果:


    
 
 

您可能感兴趣的文章:

  • Oracle 数据库(oracle Database)Select 多表关联查询方式
  • Oracle EBS R12 支持 Oracle Database 11g
  • Oracle数据库(Oracle Database)体系结构及基本组成介绍
  • 所有的Oracle9 i Database选件在Linux上都可用
  • Oracle 数据库(oracle Database)性能调优技术详解
  • Oracle 2010年7月更新修复多个Oracle Database安全漏洞
  • Oracle 9i DataBase 支持 P4 吗?
  • Oracle Database Lite
  • 有人在fedora 10下安装 oracle database 11g,没有呀?提供个安装步骤
  • 谁那里有《Oracle Database 10g完全参考手册》中文版的电子书啊?发给我好吗
  • Linux下启动Oracle database EM及isqlplus等命令
  • 在Linux中安裝Oracle Database 10g時切換root帳戶時出現﹕-bash: eth0 commond not found,這是怎么 回事?各位大仙的幫一下
  • Oracle Database 建立与查询 Sequence
  • Oracle Database 11g Release 2 For Linux发布
  • 在Oracle下创建database link两种方法
  • DBA 在Linux下安装Oracle Database11g数据库图文教程
  •  
    本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
    本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。












  • 相关文章推荐
  • Oracle 12c发布简单介绍及官方下载地址
  • Oracle 系统变量函数介绍
  • Oracle 10g和Oracle 11g网格技术介绍
  • Oracle中SQL语句连接字符串的符号使用介绍
  • ORACLE数据库常用字段数据类型介绍
  • oracle 数据泵导入导出介绍
  • Oracle 12c的九大最新技术特性介绍
  • Oracle解锁的方式介绍
  • 占用一下,小弟想到深圳发展,有一年JAVA开发经验,熟悉oracle数据库,哪位在深圳的兄弟帮忙介绍个工作,我的QQ:9182647,谢谢了!
  • oracle中UPDATE nowait 的使用方法介绍
  • oracle 创建表空间详细介绍
  • 哪位大哥能介绍一下在redhat7.2下安装oracle9i的过程和细节问题,只要有用,小弟另有送分
  • Oracle中PL/SQL中if语句的写法介绍
  • oracle 重置sys密码的方法介绍
  • Oracle中存取控制介绍
  • oracle中截断表的使用介绍
  • oracle异常(预定义异常,自定义异常)应用介绍
  • oracle sequence语句重置方介绍
  • oracle表空间中空表统计方法示例介绍
  • Oracle round()函数与trunc()函数区别介绍
  • Oracle认证基本介绍:获得OCP认证的好处
  • oracle 11g最新版官方下载地址
  • 在linux下安装oracle,如何设置让oracle自动启动!也就是让oracle那个服务自动启动,不是手动的
  • 如何设置让Oracle SQL Developer显示的时间包含时分秒
  • 请问su oracle 和su - oracle有什么不同?
  • oracle中如何把表中具有相同值列的多行数据合并成一行
  • 虚拟机装Oracle R12与Oracle10g
  • ORACLE日期相关操作
  • Oracle 数据库开发工具 Oracle SQL Developer
  • ORACLE中DBMS_RANDOM随机数生成包
  • SCO unix下安装oracle,但没有光盘,请大家推荐一个oracle下载站点(unix版本的)。谢谢!!!!


  • 站内导航:


    特别声明:169IT网站部分信息来自互联网,如果侵犯您的权利,请及时告知,本站将立即删除!

    ©2012-2021,,E-mail:www_#163.com(请将#改为@)

    浙ICP备11055608号-3