Oracle数据库11g新特性：安全性

核心提示： 如您所见，透明表空间加密以一种相当完美的方式解决了两个问题：它对磁盘上处于静止状态的数据进行加密，Oracle数据库11g新特性：安全性(10)，由于数据管理发生在 SGA 内，因此不会影响性能，使用新参数 ENCRYPTION 执行导出，您还必须指定要使用的算法类型，Data Pump

如您所见，透明表空间加密以一种相当完美的方式解决了两个问题：它对磁盘上处于静止状态的数据进行加密，由于数据管理发生在 SGA 内，因此不会影响性能。

Data Pump 转储文件的加密

Oracle 数据库 10g 引入了用于数据移动的最强大的特性之一：Data Pump，它用于代替原来的导出/导入工具。除了速度更快之外，Data Pump 还具有很多优点，如并行化进程和重新映射表空间。在 Oracle 数据库 11g 中，它还通过一个新参数 ENCRYPTION 来帮助保护转储文件的安全。

转储文件位于数据库和数据库安全领域之外，并且包含潜在的敏感数据。在如今的安全意识环境中，它们构成了一组独特的问题。在一些真正具有安全意识的环境中，DBA 在导出数据后通过第三方实用程序对转储文件进行加密 — 如果导出工作量巨大，这不是一个非常方便的方法。

首先，我们了解一下典型转储文件的易受攻击程度。假设您有一个名为 TRANS 的表，它包含一个名为 COMMENTS 的列。该列中的值为“Transaction Comments”。如果您以正常方式导出该表：

$ expdp scott/tiger tables=trans dumpfile=insec.dmp directory=tmp_dir

检查转储文件以查看该列值是否存在：

$ strings /tmp/insec.dmp | grep Transaction

将出现大量匹配项。转储文件中的数据未加密，处于明文状态。

现在，使用新参数 ENCRYPTION 执行导出。您还必须指定要使用的算法类型。我们将使用 AES 128 位算法。

$ expdp scott/tiger tables=trans dumpfile=sec.dmp directory=
tmp_dir encryption=data_only encryption_algorithm=aes128
Export:Release 11.1.0.5.0 - Beta on Sunday, 22 July, 2007 18:17:30
Copyright (c) 2003, 2007, Oracle.All rights reserved.
Connected to:Oracle Database 11g Enterprise Edition Release 11.1.0.5.0 - Beta
With the Partitioning, Oracle Label Security, OLAP, Data Mining
and Real Application Testing options
Starting "SYS"."SYS_EXPORT_TABLE_01":
　 '/******** AS SYSDBA' tables=scott.insecure_trans dumpfile=
　　sec.dmp directory=tmp_dir encryption=data_only encryption_algorithm=aes128
Estimate in progress using BLOCKS method...
Processing object type TABLE_EXPORT/TABLE/TABLE_DATA
Total estimation using BLOCKS method:64 KB
Processing object type TABLE_EXPORT/TABLE/TABLE
. . exported "SCOTT"."TRANS"　　　　　　　　　　　　　　 16.82 KB　　 200 rows
Master table "SYS"."SYS_EXPORT_TABLE_01" successfully loaded/unloaded
******************************************************************************
Dump file set for SYS.SYS_EXPORT_TABLE_01 is:
/tmp/sec.dmp
Job "SYS"."SYS_EXPORT_TABLE_01" successfully completed at 18:17:44