保证Oracle数据库敏感数据的安全前沿技术
Jonathan Intner是数据安全管理厂商Vormetric的解决方案架构师,他将在本月举行的Oracle用户组活动中进行主题演讲。TechTarget网站对Intner进行了采访,就密匙管理以及敏感数据等问题进行了深入的讨论。
什么是加密密匙管理?我们如何合理地进行这一工作?
Intner:密匙管理的定义就是对访问加密数据的密匙进行管理。它包含一些任务,比如密匙转换,合理密匙存储以便需要的时候进行检索。从本质上来将,最关键的就是确保这些密匙和加密数据根据需求进行匹配与分离。
想象这样一个情景,我服务的一个客户负责数据安全,他把密匙以文件的形式存储在同一个服务器上。顾问建议他在备份数据库的同时将这个文件也进行备份。这就好像是你把门锁上了,但是却把钥匙落在了门把手上。如果你将密匙与数据存储在一起,那么它们将有可能被同时访问,这是非常危险的。
他们能做的也许就是把密匙存放在同一个数据库服务器上,但是是在不同的目录中。密匙可以是手动进行备份的,同敏感数据的自动备份过程区分开来。
什么是敏感数据?它们是如何定义的?
Intner:我最开始是做DBA,在刚开始工作的时候我也没法区分什么是敏感数据什么是普通数据。所以我们就看到许多DBA想要保护敏感数据时,能做的就是把所有的数据都保护起来,这其实是行不通的。
一方面,敏感数据是从旁观者角度来说的,而数据的敏感程度取决于如果暴露的话,它对于你的业务将造成怎样的危害。另一方面是从法规条例来说的,一些违反法规的数据也可以视为是敏感数据。
在Oracle数据库中,这些敏感数据通常保存在哪里?
Intner:DBA需要考虑这个问题,敏感数据也许并不是直接存储在Oracle数据库当中的,而是在其他的地方。假定有一个日常报表会记录敏感数据的安全,当你使用ETL方法加载数据到数据库中时,敏感数据往往就会在磁盘上。而在正常情况下的检测问题的时候,敏感数据可能会最后在报警日志或者跟踪文件中,DBA会不容易察觉。