说这些话什么意思呢，其实是想说信息安全和职责分离的事情。

    先说说Database Vault 是什么？官方的说法是“Oracle Database Vault 是一个数据库安全选件，用于防止 DBA 访问应用程序数据，保护数据库结构以防止未经授权的更改，以及通过设置各种访问控制来满足动态、灵活的安全要求。”怎么看着好像是专门防我们DBA干坏事的。DBA有那么坏吗？话说回来，从DBA个人利益的角度来看，这似乎也并不是一件坏事。

    因为一旦发生数据泄露，所有拥有数据访问权限的人都要接受调查，DBA也跑不掉。而且DBA的权限最大，几乎什么问题都能和DBA扯上关系。但是从实际工作内容上来看，DBA是不需要关心具体数据内容的。DBA的责任是维护好整个数据库的运作，保持数据库稳定、高效的运行。至于数据的写入和读取自然有相应的部门和软件系统来负责。这就是说，通过这个新组件Oracle Database Vault 可以实现职责分离的效果。大家可以各负其责，谁都不必为别人的错误和过失而承担责任。

    另一方面，数据安全是企业非常重视的问题。哪怕是同一家企业的不同部门，能够访问的数据内容，有时候都是需要严格控制的。听说还有一系列的合规性法案专门针对内部安全提出了更高的要求，比如：美国的萨班斯法案、健康保险可携性及责任性法案、欧盟的隐私保护法、银行界的巴塞尔协议等等……这些法案，我本人~~~~都不精通。但是我知道，Oracle Database Vault应运而生，这些法案功不可没。通过Oracle Database Vault我们可以对数据安全做严格的控制。甚至可以达到“谁在什么时间在什么地点可以通过什么方式访问哪部分数据”这样的精确度。企业可在个人访问系统时实现所需的职责分离，这是很多法案都有的规定内容，尤其是令上市公司极其头疼的“萨班斯法案”中，在第 404 条款中还进行了专门备注。从这一点也可以看出Oracle推出Database Vault的目的。

    通过域，规则和多因素授权的方式。Oracle Database Vault很好的解决了企业内部控制的要求，把内部威胁降到最低。同时也顺便在合规性方面给予企业大力的支持。对于DBA而言，也可通过职责分离让DBA们不必为别人的过失买单。

    说清楚了Oracle Database Vault能做什么，咱们再看看Oracle Database Vault到底怎样做。

        Database Vault 目前已推出了版本 10.2.0.2，有需要的同学自己去 OTN 下载。 

    通过在Database Vault管理界面中点击realms，我们可以创建一个新域，然后将需要保护的数据添加到域中，不仅如此，为了简化管理，Oracle Database Vault提供了选项直接添加整个模式以一次将模式中的所有对象同时添加进去，这样就限制了只有被授权者和模式拥有者能够访问这些对象，即使DBA角色的用户也无权访问。同时，为了跟踪违规操作，在创建域的时候，Oracle Database Vault提供了各种审计选项，例如审计访问违规的操作，这样，如果DBA或具有sys权限的用户私自查询或更新包含在域中，就会被记录下来。仅通过这个简单选项，就可以将系统管理人员和应用人员进行隔离，防止DBA利用特殊权限违规操作。由于详尽的审计记录，日后有需要时，对于所有的操作都可以做到有迹可查。

    另一个主要的链接Command Rules，它是用来限制执行的SQL语句类型的，包括SELECT, ALTER SYSTEM，各种DDL和DML，详细的可以被命令规则保护的语句类型可以参考Oracle Database Vault文档。例如，在创建命令规则的时候，安全管理员可以在Rule Expression文本框中输入各种合法的可以在where中使用的表达式，例如TO_CHAR(SYSDATE,’HH24′) = ‘12′限制访问时间，或SYS_CONTEXT(‘USERENV’,'SESSION_USER’) != ‘SQL*Plus’等根据会话上下文进行限制，并将这些条件应用于选定的SQL类

    当然，Oracle Database Vault提供的安全性管理机制应该远远不止这些，否则Oracle应该不会将其作为一个主打安全数据库产品进行宣传。这些方面也许真正用过的人更有体会，更有发言权。如果有什么意见，欢迎在我的博客留言交流。我也很想再深入了解一些Oracle Database Vault。毕竟数据安全是我们每一个人都关注的东西。

没有相关文章

最近看到了一些关于Oracle数据库的Data Masking方面的资料。虽然我用不上，但是觉得这个Pack设计的初衷还是非常体贴某些用户的。虽然说并不是人人都需要，也不是什么特别高深的技术，但是对于某些人来说，终于可以多一些时间回去享受一下老婆孩子热炕头的生活了。 我想Oracle设计Data Masking应该是为了要解决从生产环境的数据向测试环境（或者开发环境）导入时可能会产生的数据内容安全问题。因为在软件开发的最后阶段，是需要一个尽量真实的数据来作为基础测试软件的一系列功能。尤其是企业信息化系统，什么ERP、BI、EPM……这些大型系统实施或开发的时候，对于基础数据的要求很严格。很多时候都是直接克隆生产环境的数据来进行软件系统的测试。这个操作应该是很简单的，比如相同的操作系统把数据文件拷贝过来就可以了。但是随之而来的影响却是深远的。生产数据中，首先它是一个真实的数据，透过数据基本上掌握了整个企业的资料。其次，在这当中包含很多敏感数据，不光是敏感数据，而且还是真实的敏感数据。什么销售额、利润、成本、每个人的工资……完完全全都是纪实版的商业秘密。如果在测试环境中发生了信息泄露问题，那么对于企业数据安全将造成致命的后果。 对于某些企业，已经意识到了这个安全问题。于是自己编写一些脚本在生产数据上做一些更改然后用于开发和测试环境。但是这样做费时费力又难免出错。如果破坏了数据件的完整关系或某种对应关系，会给软件测试和信息化项目实施带来重大的损失。这方面，做ERP、BI、EPM项目实施的朋友们可能深有体会。出于企业数据安全的考虑，企业拿出来用于测试的数据往往会导致这些应用系统的错误甚至崩溃。而且这些信息系统里的数据关系超级错综复杂，搞不好请高人写个脚本，加班费都要花去不少银子，而结果还不一定满意。当你满头大汗的检查信息系统错误的时候，那一堆错误数据可能正隐藏在某个数据表的深处偷笑…… 彻底改善这种状况就是Oracle Database Data Masking出现的一个重要原因。嗯，我想可能也是因为Oracle收购了大量的ERP、BI、EPM软件厂商以后，在实施过程中切实的感受到了这个困难。所以，什么是Data Masking，简单来说就是编脚本的活，现在Oracle帮你干了。即可以保证数据关系的正确和完整，又通过数据转换保护了敏感数据不会外泄。 的功能很好理解：   1.   按照指定的规则进行数据转换，可以通过规则控制最终生成的数据格式。比如某个地区的身份证，其前六位一定是地区的号码，后面八位是出生日期，最后四位可以取随机数，然后配合区分男女性别的规则，就会产生一系列的完全有可能是真实的“虚拟身份证号”。或者某地区的车牌，又或者内部一些单据都可以设定规则来进行转换。 2.   维护数据表间的引用关系：如果数据库系统里存在表之间的引用完整性规定，则转换后的数据自动维持表之间的引用关系，如果系统里本来并不存在引用关系的表（如Siebel的应用并不通过主外键来定义数据的完整性，而是通过自己定义的一个字段来定义完整关系），也可以手工指定数据间的引用关系从而能够使得转换后的数据能够维持原来的引用关系。 3.   通过EM图形界面来定义Data Masking，非常容易理解和上手！     Data Masking 的功能很好理解：       如下图所示：将源数据（上半部分）进行加工转换，在保持原有结构和规则的前提下，以新的数据覆盖原有内容。最终生成用于测试和开发环境的数据（下半部分）

      Data Masking的工作，照我理解应该是这样一个流程。

没有相关文章

没有相关文章