由於最近發生很多偷盜備份資料的事件,這使得越來越多的人更加關注保護數據備份的重要性了。從銀行、經濟行業、零售商店甚至是IRS中偷出載有數百萬用戶資料的導出數據磁盤,它所造成的損失是無法預測的(資料來源:數據缺口的年表)。 一旦數據離開了Oracle數據庫的安全機制,它就極容易被偷取。在Oracle 10g Release 2(Oracle 10gR2)中,你可以對導出的備份文件進行加密,而不需要使用第三方工具對它進行加密和解密了。在恢復這些備份文件的時候,Oracle會自動對這些數據進行解密。
在Oracle 10gR2中有三種方式可以進行加密操作,它們分別是:transparent (透明的,默認方式)、passWord(憑密碼的)、dual-mode(兩種形式都有)。
Transparent方式
Transparent方式適合於在同一個服務器上進行備份,Oracle Encryption Wallet是Advanced Security option(高級安全選項)的一種,在使用前,必須先對它進行配置。Wallet包含加密/解密信任書。因為默認的方式是transparent方式,你可以把下面的腳本加入到Recovery Manager (恢復管理器RMAN)腳本中:
SET ENCRYPTION ON
PassWord方式
當你需要將備份文件傳送到另外一個站點的時候,PassWord方式就非常有用了,它不需要事先在另一端設置。你可以將下列腳本添加到RMAN備份腳本中:
SET ENCRYPTION ON IDENTIFIED BY 'passWord' ONLY
當備份文件帶有密碼的時候,你就必須提供原始密碼:
SET DECRYPTION IDENTIFIED BY 'passWord'
如果你把密碼遺失了,數據就不能恢復。同樣,為了確保RMAN腳本的安全性,你同樣也可以對它使用密碼保護。
Dual-mode方式
Dual-mode方式既具有透明性又使用了密碼。如果你通常都同一個服務器上進行恢復,但是偶爾也需要把它轉移到沒有安裝Oracle Encryption Wallet的其它服務器上的話,這時候你就可以使用dual-mode這種方式了。這種方式與passWord方式類似,但是在這種方式下,如果備份文件離開了自身的服務器後就需要密碼了:
SET ENCRYPTION ON IDENTIFIED BY 'passWord'
緊記下面三點:第一,由於需要一些額外的開銷,對備份進行加密需要花很長的時間;第二,必須徹底地測試備份腳本和恢復腳本;第三,你需要估計一下加密和解密所花費的時間。