1.1、TDE 透明数据加密TDE (Transparent Data Encryption透明数据加密)是 Oracle 数据库提供的 ** 静态数据加密 (Data-at-Rest Encryption)** 技术自 10gR2 版本引入旨在保护存储在磁盘、备份磁带等介质上的数据文件防止物理存储设备被盗或数据文件被非法直接访问时的数据泄露。1.1.1、核心概念与 透明 含义TDE 的核心机制是数据写入磁盘前自动加密数据读取到内存时自动解密整个过程对 SQL 引擎、应用程序和授权用户完全透明透明 具体体现在应用程序无需任何代码修改继续使用标准 SQL 查询授权用户正常访问数据看不到加密过程数据库管理系统自动处理所有加密操作不影响索引效率不改变 DBA 日常运维习惯1.1.2、两层密钥体系架构TDE 采用分层密钥管理系统来平衡安全性和性能这是其最核心的设计第一层主加密密钥 (Master Encryption Key)整个 TDE 密钥体系的根密钥用于加密 / 解密第二层的表密钥或表空间密钥存储在数据库外部的安全模块中 (如 Oracle Wallet、Oracle Key Vault、HSM 硬件安全模块或 OCI KMS)Oracle可以根据安全策略定期轮换且轮换时无需重新加密所有数据第二层数据加密密钥表密钥 (Table Key)用于列级加密每个包含加密列的表有一个表密钥存储在数据字典中表空间密钥 (Tablespace Key)用于表空间加密每个加密表空间有一个表空间密钥存储在对应数据文件的头部这些密钥使用主密钥加密后存储只有当主密钥可用时才能被解密使用1.1.3、两种主要加密类型Oracle TDE 提供两种加密粒度满足不同场景需求1. 表空间加密 (TDE Tablespace Encryption)Oracle 推荐使用的方式加密整个表空间其中创建的所有对象 (表、索引、LOB 等) 都会自动加密利用批量加密和缓存技术性能开销更低 (约 5%-8%)支持加密重做日志、归档日志和 RMAN 备份适用于表中多个列包含敏感数据或需要保护整个表的场景2. 列级加密 (TDE Column Encryption)仅加密表中的特定敏感列 (如信用卡号、身份证号)灵活性高但管理开销大对索引列加密时需要使用NO SALT参数会降低安全性主要用于遗留系统或特定合规需求1.1.4、主要优势防止物理数据泄露即使硬盘被盗或备份磁带丢失没有主密钥也无法读取数据Oracle满足合规要求帮助满足 PCI DSS、GDPR、《数据安全法》、《个人信息保护法》等法规的加密要求应用零修改无需更改应用程序代码降低实施成本和风险全面数据保护加密数据文件、重做日志、归档日志和备份文件与 Oracle 生态系统无缝集成支持 RMAN、Data Pump、Data Guard、多租户架构等1.1.5、局限性与注意事项仅保护静态数据无法防御内存攻击、SQL 注入或越权查询数据在内存中是明文形式性能开销加解密过程会占用 CPU 资源尤其在大表扫描或 LOB 字段操作时影响明显密钥管理至关重要如果主密钥丢失所有加密数据将永久无法恢复表空间密钥不可轮换只能通过将数据移动到新的加密表空间来间接更换原生不支持国密算法不符合国内信创和等保对国密算法的要求1.2、表空间级加密推荐-- Step 1: 创建 Keystore 目录 -- mkdir -p /u01/app/oracle/wallet -- Step 2: 创建 Keystore12c 使用 Keystore 替代 Wallet ADMINISTER KEY MANAGEMENT CREATE KEYSTORE /u01/app/oracle/wallet IDENTIFIED BY Keystore!Pass#2026; -- Step 3: 打开 Keystore ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED BY Keystore!Pass#2026; -- Step 4: 创建主加密密钥 ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY Keystore!Pass#2026 WITH BACKUP USING backup_20260516; -- Step 5: 验证 Keystore 状态 SELECT * FROM V$ENCRYPTION_WALLET; -- Step 6: 创建加密表空间 CREATE TABLESPACE secure_ts DATAFILE /u01/oradata/secure_ts01.dbf SIZE 10G ENCRYPTION USING AES256 DEFAULT STORAGE(ENCRYPT); -- Step 7: 迁移业务表到加密表空间 ALTER TABLE hr.employees MOVE TABLESPACE secure_ts; ALTER TABLE hr.departments MOVE TABLESPACE secure_ts; -- 验证加密状态 SELECT TABLESPACE_NAME, ENCRYPTED FROM DBA_TABLESPACES; -- 查看加密算法 SELECT * FROM V$ENCRYPTED_TABLESPACES;1.3、列级加密-- 列级加密适用于少量敏感列 ALTER TABLE hr.employees ADD (ssn_enc RAW(200)); UPDATE hr.employees SET ssn_enc DBMS_CRYPTO.ENCRYPT( UTL_RAW.CAST_TO_RAW(ssn), DBMS_CRYPTO.ENCRYPT_AES256 DBMS_CRYPTO.CHAIN_CBC DBMS_CRYPTO.PAD_PKCS5, HEXTORAW(0123456789ABCDEF0123456789ABCDEF) ); -- 注意列级加密后不能直接索引需要使用 TDE 列加密 -- TDE 列加密透明支持索引 ALTER TABLE hr.employees MODIFY (ssn ENCRYPT USING AES256); -- 查看加密列 SELECT OWNER, TABLE_NAME, COLUMN_NAME, ENCRYPTION_ALG FROM DBA_ENCRYPTED_COLUMNS;实例数据文件泄露防护——TDE 全库加密S — Situation场景企业数据库服务器硬盘送修时可能被拷贝数据文件数据文件是明文存储的。T — Task任务对所有敏感表空间启用 TDE 加密。A — Action行动1、创建 Keystore 并配置自动登录2、创建加密表空间使用 AES2563、将业务表迁移到加密表空间4、配置密钥定期轮换策略。R — Result结果所有敏感数据表空间完成加密。即使数据文件被拷贝也无法解密。通过信息安全团队验收。
