OracleAdvancedSecurity透明数据加密最佳实践
Oracle 白皮书—透明数据加密最佳实践
Oracle 白皮书
2012 年7 月
Oracle Advanced Security
透明数据加密最佳实践
Oracle 白皮书—透明数据加密最佳实践
引言1
重要概念1
SPARC T4 和Intel 提供的硬件加密加速3
在Oracle Enterprise Manager 中管理透明数据加密3
透明数据加密和Oracle Database Vault 4
透明数据加密密钥架构4
密钥生成和备份4
密钥交换/轮换5
TDE 钱包管理5
目录和文件权限5
避免意外删除TDE 钱包6
(本地)自动打开式钱包与加密钱包7
强钱包口令7
了解有关钱包口令的拆分8
更改钱包口令9
同一个主机上的多个数据库9
TDE 表空间加密10
经过TDE 表空间加密认证的管理软件10
将应用程序数据移至加密表空间10
Oracle Database 11gR1 中的表空间重新设定密钥限制 11
TDE 列加密12
经过TDE 列加密认证的Oracle 管理软件12
Oracle 白皮书—透明数据加密最佳实践
识别敏感列13
加密索引列13
减少存储开销14
加密GB 级表和TB 级表中的列15
禁用并重新启用透明数据加密15
TDE 表空间加密还是TDE 列加密?15
加密数据的明文副本16
查证17
Oracle Data Guard17
物理备用数据库17
逻辑备用数据库18
Oracle Streams 18
Active Data Guard 18
Oracle 透明数据加密和Oracle GoldenGate 19
Oracle GoldenGate 和具有 (本地)自动打开式钱包的TDE 19
Oracle 透明数据加密和Oracle RMAN19
Real Application Clusters (RAC) 20
Oracle RAC 中的Oracle Wallet 管理20
使用ACFS 访问控制保护Oracle Wallet 21
Oracle 数据库机24
Exadata 数据库云服务器24
Oracle 白皮书—透明数据加密最佳实践
引言
本文介绍使用 Oracle Advanced Security 透明数据加密 (TDE) 的最佳实践。Oracle
Advanced Security TDE 能够对存储介质上的敏感应用程序数据进行加密,且该操作对
应用程序本身是完全透明的。TDE 负责处理与私有及公有数据的隐私和安全要求(如
PCI 和California SB1386)有关的加密需求。Oracle Advanced Security TDE 列加密是
在 Oracle Database 10g 第 2 版中引入的,支持对包含信用卡号或社会保险号的应用程
序表列进行加密。Oracle Advanced Security TDE 表空间加密是在 Oracle Database
11gR1 中引入的。
重要概念
主加密密钥 — 对用于列加密和表空间加密的辅助数据加密密钥进行加密的加密密钥。
主加密密钥是Oracle Advanced Security 双层密钥架构的一部分。
统一的主密钥— 在 Oracle Database 11g 第2 版中,首次执行重新设定密钥操作后会生
成统一的主加密密钥。统一的主密钥可轻松重新设定(轮换)。
表密钥— 有时称为列密钥,该密钥用于对指定表中的一个或多个特定列进行加密。表
密钥是在Oracle Database 10g 第2