Oracle 透明数据加密未解密访问

Question

我能否以以下所有陈述都为真的方式设置 Oracle 数据库

a) 某些列，可能所有列都被加密，因此对数据库文件的直接文件访问不会允许攻击者检索任何记录

b) 对授权用户透明地解密加密列，在授权发生时，例如通过拥有某种角色或特权

c) 具有执行“正常”管理任务(调整、创建/删除架构对象、重新启动数据库、从数据字典中选择)的适当权限的管理员可以选择表，但只能看到加密列中的加密数据。

如果这是可能的，我该怎么做。如果不可能，我必须至少“接近”这些要求的选项是什么？

a)+b) 似乎可以使用 Oracle 透明数据加密，但我不确定 c)

Answer 1

透明数据加密只做 (a)。这是关于防止由于有人偷了硬盘驱动器或备份，或运行 strings 而发生的数据泄露。针对 DBF 文件。这仍然很有用，因为它可以防止您的系统管理员使用他们的特权操作系统访问来绕过您的所有数据库安全性。

如果您想强制执行类似 (b) 的操作，适当的技术是虚拟专用数据库 - DBMS_RLS使用企业版或 Oracle Label Security如果您有额外的许可证。

如果你想实现 (c) 你将需要 Oracle 的 Database Vault product ，这也是企业许可证之上的一项额外收费。

由于 TDE 需要高级安全选项，这些选项相当于 EE 许可证的 75%(*) 附加费。在这种情况下，您不妨破产购买Audit Vault还有!

(*) 如果您购买 Label Security，则只有 50%。