WEB开发网
开发学院数据库Oracle 使用Oracle的TDE特性加密 阅读

使用Oracle的TDE特性加密

 2010-01-27 16:10:55 来源:WEB开发网   
核心提示:列表2要快速执行对现有数据进行加密的过程,只需在对其进行加密之前删除列的底层索引,使用Oracle的TDE特性加密(4),然后再重建索引,注:本文的模拟环境中使用了 CREATE INDEX 语句,我要向 Tom Kyte 表示谢意,因为此处的一些工作是修改我在 Asktom 站点找到的内容查询,在实际的设置中,可考虑

列表2 要快速执行对现有数据进行加密的过程,只需在对其进行加密之前删除列的底层索引,然后再重建索引。 

注:本文的模拟环境中使用了 CREATE INDEX 语句。在实际的设置中,可考虑使用Oracle数据库的 DBMS_METADATA 实用程序包来生成 CREATE INDEX 语句,您可以使用这些语句在完成数据加密之后重新创建索引。

总之,在列加密之后重建索引的新策略可留出更多时间来处理整个过程中最具挑战性的问题,这将在下一部分中进行说明。

删除未加密数据的虚副本

Oracle 和底层主机操作系统使用优化的算法来更新数据块中的数据,目的是最大程度地减少降低性能的磁盘 I/O。在对现有列数据进行加密的特定情况下,通常发生的一件事是Oracle将加密的列数据写入到新数据块并且只是将之前未加密的值占用的空间标记为未使用。换句话说,Oracle 不会尝试清除较旧的未加密数据。只要所讨论的系统持续遇到大量更新活动,您就有理由确信当重用块空间时Oracle将最终覆盖较旧的未加密数据。但是考虑到我的客户正在准备进行合规性审计,我必须确保在加密过程之后立即擦除未加密的敏感数据。

进行了很多研究之后,我在Oracle技术网上发现了一个 FAQ 以及一个网志,该网志确认这一特定问题并提供了有关解决该问题的一些基本想法。一般的想法是将包含之前未加密数据的所有段移动到新的表空间(以及数据文件),然后使用一个操作系统实用程序删除旧数据文件。但该做法听起来容易,做起来难。事实是,在安全删除旧表空间及其数据文件之前,您很有可能需要移动大量段以及包含敏感数据的段。

为了使这一可能费时费力且易于出错的过程自动进行,我将一些脚本放在一起,以帮助我构建完成这一切所需的 DDL 语句。这里,我要向 Tom Kyte 表示谢意,因为此处的一些工作是修改我在 Asktom 站点找到的内容查询。列表 3 显示了我使用的整个过程的一个示例。

Enter password:
Connected.
SQL> -- Create new tablespaces for data and index segments
SQL> CREATE TABLESPACE data_002 DATAFILE SIZE 1G;

Tablespace created.

SQL> CREATE TABLESPACE indx_002 DATAFILE SIZE 500M;

Tablespace created.

SQL> -- Generate a script to move existing segments to new tablespaces
SQL> COL ORDER_COL1 NOPRINT;
SQL> COL ORDER_COL2 NOPRINT;
SQL> SET HEADING OFF;
SQL> SET VERIFY OFF;
SQL> SET ECHO OFF;
SQL> SELECT DECODE( segment_type, 'TABLE' , segment_name, table_name ) order_col1,
2 DECODE( segment_type, 'TABLE', 1, 2 ) order_col2,
3 'ALTER ' || segment_type || ' ' || LOWER(owner) || '.' || LOWER(segment_name) ||
4 DECODE( segment_type, 'TABLE', ' MOVE ', ' REBUILD ' ) ||
5 'TABLESPACE ' || LOWER(DECODE( segment_type, 'TABLE' , '&&NEW_DATA_TBS' , '&&NEW_INDX_TBS' )) || ';'
6 FROM dba_segments,
7 (SELECT table_name, index_name FROM dba_indexes WHERE tablespace_name = UPPER('&&OLD_INDX_TBS'))
8 WHERE segment_type in ( 'TABLE', 'INDEX' )
9 AND segment_name = index_name (+)
10 AND tablespace_name IN (UPPER('&&OLD_DATA_TBS'), UPPER('&&OLD_INDX_TBS'))
11 AND owner = UPPER('&&OWNER')
12 ORDER BY 1, 2;
Enter value for new_data_tbs: data_002
Enter value for new_indx_tbs: indx_002
Enter value for old_indx_tbs: indx_001
Enter value for old_data_tbs: data_001
Enter value for owner: app_001

ALTER TABLE app_001.transactions MOVE TABLESPACE data_002;
ALTER INDEX app_001.transactions_pk REBUILD TABLESPACE indx_002;
ALTER INDEX app_001.transactions_ndx1 REBUILD TABLESPACE indx_002;

SQL> SET HEADING ON;
SQL> SET VERIFY ON;
SQL> SET ECHO ON;
SQL> -- execute script output
SQL> ALTER TABLE app_001.transactions MOVE TABLESPACE data_002;

Table altered.

SQL> ALTER INDEX app_001.transactions_pk REBUILD TABLESPACE indx_002;

Index altered.

SQL> ALTER INDEX app_001.transactions_ndx1 REBUILD TABLESPACE indx_002;

Index altered.

SQL> -- Check for any unusable indexes
SQL> SELECT owner, index_name, tablespace_name
2 FROM dba_indexes
3 WHERE STATUS = 'UNUSABLE';

no rows selected

SQL> -- Gather new schema stats
SQL> EXEC dbms_stats.gather_schema_stats('app_001');

PL/SQL procedure successfully completed.

SQL> -- Check for remaining segments in old tablespaces
SQL> SELECT distinct owner
2 FROM dba_segments
3 WHERE tablespace_name IN (UPPER('&&OLD_DATA_TBS'), UPPER('&&OLD_INDX_TBS'));
old 3: WHERE tablespace_name IN (UPPER('&&OLD_DATA_TBS'), UPPER('&&OLD_INDX_TBS'))
new 3: WHERE tablespace_name IN (UPPER('data_001'), UPPER('indx_001'))

no rows selected

SQL> -- Check for users assigned to old tablespaces
SQL> SELECT username, default_tablespace FROM dba_users
2 WHERE default_tablespace IN (UPPER('&&OLD_DATA_TBS'), UPPER('&&OLD_INDX_TBS'));
old 2: WHERE default_tablespace IN (UPPER('&&OLD_DATA_TBS'), UPPER('&&OLD_INDX_TBS'))
new 2: WHERE default_tablespace IN (UPPER('data_001'), UPPER('indx_001'))

USERNAME DEFAULT_TABLESPACE
------------------------------ ------------------------------
APP_001 DATA_001

SQL> -- Assign new default tablespaces for users, as necessary
SQL> ALTER USER app_001
2 DEFAULT TABLESPACE data_002;

User altered.

SQL> -- List the data file names of old tablespaces
SQL> COL tablespace_name FOR A15;
SQL> COL file_name FOR A70;
SQL> SET LINES 100;
SQL> SELECT tablespace_name, file_name
2 FROM dba_data_files
3 WHERE tablespace_name IN (UPPER('&&OLD_DATA_TBS'), UPPER('&&OLD_INDX_TBS'));
old 3: WHERE tablespace_name IN (UPPER('&&OLD_DATA_TBS'), UPPER('&&OLD_INDX_TBS'))
new 3: WHERE tablespace_name IN (UPPER('data_001'), UPPER('indx_001'))

TABLESPACE_NAME FILE_NAME
--------------- ----------------------------------------------------------------------
DATA_001 /data01/oracle/db001/datafile/o1_mf_data_001_4m081w7m_.dbf
INDX_001 /data01/oracle/db001/datafile/o1_mf_indx_001_4m082l4q_.dbf

SQL> -- Drop old tablespaces, but keep data files in place
SQL> DROP TABLESPACE data_001
2 INCLUDING CONTENTS KEEP DATAFILES;

Tablespace dropped.

SQL> DROP TABLESPACE indx_001
2 INCLUDING CONTENTS KEEP DATAFILES;

Tablespace dropped.

SQL> -- Shred/remove old data files
SQL> HOST shred -n 200 -z -u /data01/oracle/db001/datafile/o1_mf_data_001_4m081w7m_.dbf
SQL> HOST shred -n 200 -z -u /data01/oracle/db001/datafile/o1_mf_indx_001_4m082l4q_.dbf

上一页  1 2 3 4 5 6  下一页

Tags:使用 Oracle TDE

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接