使用ORACLE透明敏感数据保护(TSDP)
目录
芒果英文关于TSDP (2)
限制条件 (2)
使用TSDP的步骤 (2)
需要的权限 (3)
涉及表/视图 (3)
创建TSDP-ODR策略(脱敏效果) (4)
显示效果 (4)
说明 (4)
配置策略 (4)
1. 创建敏感类型 (4)
2. 标识敏感列 (5)
3. 创建TSDP保护策略 (6)
4. 关联策略与类型 (7)
5. 启用策略保护 (7)
6. 删除策略 (8)
创建TSDP-VPD策略(权控效果) (8)
显示效果 (8)
说明 (8)
配置策略 (10)
创建TSDP参数化脱敏策略 (12)
效果 (12)
配置策略 (12)
测试语句如下 (14)
注意: (14)
创建TSDP-TDECE(列加密)策略 (14)
说明 (14)
策略配置 (16)
创建TSDP-Unified Auditing(统一审计)策略 (18)
工业氧气审计效果 (18)
说明 (18)
配置策略 (20)
可能错误 (22)
PLS-00302&PLS-00201:必须声明‘PARENT_SCHEMA’组件 (22)
ORA-45618:未能对一个或多个列强制执行策略 (22)
ORA-00905: missing keyword during CREATE AUDIT POLICY (23)
创建TSDP-FGA审计策略 (23)春天的小动物
参考 (23)
附件一 (24)
关于TSDP
透明敏感数据保护(Transparent Sensitive Data Protection)是一种查找和分类包含敏感列信息的方法。
此功能使您能够在数据库中快速找到包含敏感数据的表列,对这些数据进行分类,然后创建一个策略来保护给定分类的全部数据。例如信用卡号码或社会保险号码。
然后,TSDP策略使用Oracle Data Redaction 或者Oracle Virtual Private Databa 来保护这些敏感数据。TSDP策略作用于特定的数据类型的列上,例如所有包含信用卡信息的NUMBER类型数据列。可以为某一分类的所有数据创建一个统一的TSDP策略,然后根据需要修改此策略即可。也可以导出TSDP策略以在其他数据库中使用。
TSDP策略的好处是巨大的:您可以轻松地在具有许多数据库的大型组织中创建和应用TSDP策略。这使审计人员能够估计TSDP策略所针对的数据的保护。TSDP 对于政府环境特别有用,在这种环境中,您可能有许多具有类似安全限制的数据,并且必须一致地对所有这些数据应用策略。策略可以是对其进行修订、加密、控制对它的访问、审核对它的访问,并在审核跟踪中屏蔽它。如果没有TSDP,则必须逐列配置访问控制策略、列级加密配置和虚拟专用数据库策略。
限制条件
仅支持oracle12c及以上的企业版
不能限制sysdba
使用TSDP的步骤
要在Oracle Data Redaction中使用TSDP,必须遵循以下常规步骤。
1.创建敏感类型以对要保护的列类型进行分类。
例如,您可以创建一个敏感类型,用于对所有社会保险号码或信用卡号码进行分类。要创建敏感类型,请使用DBMS_TSDP_MANAGE.ADD_SENSITIVE_TYPE存储过程或使用Enterpri Manager云控制应用程序数据模型。要在应用程序数据模型的一个操作中添加多个敏感类型,可以使用
DBMS_TSDP_MANAGE.IMPORT_SENSITIVE_TYPES存储过程。
对联纸
2.标识与敏感类型关联的敏感列的列表。穷且益坚不坠青云之志
要确定并生成此列表,可以使用以下任一方法:
* DBMS_TSDP_MANAGE.ADD_SENSITIVE_COLUMN过程单独标识敏感列。
小学语文教学反思
* Oracle Enterpri Manager云控制应用程序数据模型使您能够标识一组敏感列。然后它以XML格式保存敏感列的列表,然后将其导入数据库。
3.如果在步骤2中使用应用程序数据模型,则使用
DBMS_TSDP_MANAGE.IMPORT_DISCOVERY_RESULT过程将敏感列列表从应用程序数据模型导入数据库。
愿疫情
4.通过在定义要使用的数据编校或虚拟专用数据库设置的匿名块中使用DBMS_TSDP_PROTECT.ADD_POLICY策略过程创建TSDP策略。
5.使用DBMS-TSDP-PROTECT.Associate-policy过程将TSDP策略与一个或多个敏感类型关联。
原始数据test2查看为脱敏效果
包的执行权限,使用DBMS_REDACT包的相关参数来创建策略curity_feature设为DBMS_TSDP_PROTECT.REDACT policy_enable_options可指定的参数参考链接
配置策略
1.创建敏感类型
--创建敏感类型
-
-nsitive_type: 敏感类型名称,该名称区分大小写,
--该类型创建后可在DBA_SENSITIVE_COLUMN_TYPES视图查询
幼儿识动物--ur_comment:敏感类型备注
BEGIN
DBMS_TSDP_MANAGE.ADD_SENSITIVE_TYPE (
nsitive_type => 'credit_card_num_type',
ur_comment => 'Type for credit card columns using a number data type');
END;
--删除敏感类型
BEGIN
DBMS_TSDP_MANAGE.DROP_SENSITIVE_TYPE(nsitive_type =>
'credit_card_num_type')
END;
2.标识敏感列
标识敏感列之前,你必须先确认你要保护的敏感列,并且已定义敏感
确定以后,可以使用DBMS_TSDP_MANAGE.ADD_SENSITIVE_COLUMN过程标识敏感列,使用DBMS_TSDP_MANAGE.DROP_SENSITIVE_COLUMN过程取消标识
--添加敏感类型与数据列关联
--schema_name,table_name,columm_name默认为‘%’
BEGIN
DBMS_TSDP_MANAGE.ADD_SENSITIVE_COLUMN(
schema_name => 'TEST1',
table_name => 'TT',
column_name => 'CREDIT_CARD',
nsitive_type => 'credit_card_num_type',
ur_comment => 'Sensitive column addition of
