我能否以以下所有陈述都为真的方式设置 Oracle 数据库
a) 某些列,可能所有列都被加密,因此对数据库文件的直接文件访问将不允许攻击者检索任何记录
b) 对于授权用户,加密列被透明地解密,其中授权发生,例如通过具有特定角色或特权
c) 具有执行“正常”管理任务(调整、创建/删除模式对象、重新启动数据库、从数据字典中选择)的适当权限的管理员可以选择表,但只会在加密列中看到加密数据。
如果这是可能的,我该怎么做。如果不可能,我必须至少“接近”这些要求有哪些选择?
a)+b) 似乎可以使用 Oracle 透明数据加密,但我不确定 c)
透明数据加密仅 (a)。它是关于防止由于有人窃取硬盘驱动器或备份,或strings针对 DBF 文件运行而发生的数据泄露。这仍然很有用,因为它可以防止您的系统管理员使用他们的特权操作系统访问来绕过您的所有数据库安全性。
如果您想强制执行 (b) 之类的技术,则适当的技术是虚拟专用数据库 -企业版DBMS_RLS或Oracle Label Security(如果您有附加许可证)。
如果您想实施 (c),您将需要 Oracle 的Database Vault 产品,这也是企业许可证之上的额外收费。
由于 TDE 需要高级安全选项,这些选项相当于 EE 许可证的 75%(*) 附加费。在这种情况下,您不妨破产并购买Audit Vault!
(*) 如果您购买 Label Security,只需 50%。