Oracle Database 12c Data Redaction介绍

什么是Data Redaction

Data Redaction是Oracle Database 12c的高级安全选项之中的一个新功能,Oracle中国在介绍这个功能的时候,翻译为“数据编纂”,在EM12c R3的中文界面中,这个功能被翻译成“数据编写”,我认为后一个翻译更贴切。

在12c发布前,某次以“数据库安全”为题目的技术交流中,有一个客户问我们,Oracle数据库里面能不能实现这么一个功能:符合条件的用户可以看到表里面的所有数据,而另外一些人(业务权限低的用户)虽然能查询表,但是某些敏感数据全部用星号替换。我当时的想法是在11g中没有能够完全满足这个客户需求的功能。

现在12c的Data Redaction就可以完全满足上面提到的客户的需求了。所以如果用一句话概括:Data Redaction就是根据策略(条件)原地(Oracle用了on-the-fly这个词)改写数据,以保护敏感数据。

Data Redaction和Database Vault都能保护敏感数据,他们的不同就是,在配置了Database Vault的环境中,如果访问不符合策略,会报错,提示没有足够的权限。而在Data Redaction环境中,符合策略的访问,会看到被改写的(星号遮蔽,随机转换)数据。另外,Database Vault还能限制特权用户,而Data Redaction对DBA用户无效。

Data Redaction配置

Data Redaction的配置是通过系统系统的PL/SQL包来实现的,简单的说,就是使用这些PL/SQL包定义“数据改写”策略,策略中要定义的内容有:

l 敏感数据所对应的SCHEMA,表,列

l 数据编写生效的条件

l 数据编写所使用的方式以及对应的参数

这些工作都可以使用PL/SQL包来完成,也可以使用EM12c通过web页面来配置。下面我们就以EM12c举例说明。

如果使用图形界面配置“数据改写”,需要使用EM12c R3(Oracle Enterprise Manager Cloud Control 12c Release 3),EM Express中没有对应的功能(11g的DBControl在12c 名字变为EM Express,界面用ADF从新实现的,但是功能似乎更少了)。

1. 登录EM12c,进入数据库实例的主页。我这里使用的是一个PDB(Pluggable Database),因为这个里面有示例数据,在CDB(Container Database)中配置的方法是一样的,需要进入CDB的主页进行操作。

2. 点击“管理”-〉“安全性”-〉“Oracle Data Redaction”,如果没有配置数据库的身份证明,系统会提示输入身份证明,我这里用的是SYS用户。

clip_image002

3. 进入“数据改写”页面,创建策略

clip_image004

选择方案(SCHEMA),希望改写的表,策略名:

clip_image006

修改策略表达式,也就是策略的生效条件,我在这里选择的是数据库会话用户为SCOTT。

clip_image008

在进行下一步之前,我们先要确认敏感数据的格式。在本例中,我们希望将HR用户下的EMPLOYEES表中的PHONE_NUMBER列进行改写。这个列的数据形式如下图所示:

clip_image010

假设我们希望将电话号码全部用*号代替,只保留前3位。

点击页面下方的“对象列”区域的“添加”,在弹出窗口中添加敏感数据列及编写方式,在界面上也有简单的示例,如图所示:

clip_image012

因为要保留前3个电话号码,所以从第4个字符开始改写,全部需改写的字符是10个,中间的“.”不算,所以“直到”第10个字符。

clip_image014

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/228048a4d202e901acadd151bc9fb8c1.html