安全产品 | 优点 | 缺点 |
Oracle Database Vault | 1、可以防住DBA等特权用户 2、 Oracle内部实现,应用无需改动,安装灵活 3、很好的控制何人、何时、何地可以访问应用程序, | 1、有Oracle版本要求 2、新增权限系统复杂 3、DBA将失数据库相关对像的维护管理能力 4、还没有发行官方稳定版本 5、性能方面需要考虑 |
透明数据加密(TDE) | 1、 能实现数据在存储加密 2、 且上层应用完全透明访问 | 1、功能单一,需要与其他安全策略配合使用 |
Oracle Label Security | 1、 实现数据的行级访问控制 2、 且提供图型化的配置工具 | 1、不能防住DBA对数据的访问 2、且安装时需停启数据数据库实例 3、设置的数据逻辑要求高,实现不灵活 |
虚拟专用数据库(VPD) | 1、 实现数据的行级访问控制,实现逻辑对数据有依赖(即必须有数据过滤条件) 2、 实现不灵活,一般和其他安全策略结合使用 3、 不便于大规模部署 | 1、不能防住DBA对敏感数据的访问 |
安全的应用程序角色 | 将数据库访问控制策略绑定到角色,需要VPD支持 | 1、不能防住DBA对敏感数据的访问 |
细粒度审计 | 1、 实现关于特定条件的审计,如特定时间、IP、列、值 2、 此审计在Oracle内部实现,无需改动应用 | 1、不能防住DBA对敏感数据的访问 |
DBCoffer安全加固 | 1、 能实现数据的存储加密 2、 提供敏感数据的访问审计 3、 能有效防止DBA等特权用户对敏感数据的访问 4、 能提供特定IP、时间对数据的访问控制 5、 提供敏感数据的读写控制 6、 提供界面的逻辑控制,使用方便 7、 对于Oracle常规应用开发接口透明 | 1、 暂不支持行级的访问控制 2、 需要大量测试来验证Oracle的应用透明 3、 外部扩展多,总体逻辑复杂 4、 暂只提供字段级的数据保护,当大规应用时,对性能影响大 5、 由于需求的改变,软件改动大,软件的稳定性有待提高 |
以上纯属于个人实践后的总结,如有相关的指导或想法,希望不佞赐教,欢迎随时来信。
fnxjiabo@foxmail.com