Oracle 12c新特性--數據編寫(Redaction)

原創 客居天涯 2020-02-23 04:15

Oracle 12c新特性--數據編寫(Redaction) 

 

    在Oracle數據庫中當低權限的用戶查詢列中的敏感數據時,Oracle redaction可以對返回給用戶的數據稍作掩藏,以保證機密數據的安全。對於列中的數據有以下幾種redaction方式:

1.Full redaction.對列中的數據全部redact,number類型的列將全部返回爲0,character類型的列將全部返回爲空格,日期類型返回爲2001-01-01。

2.Partial redaction.對列中的一部分數據進行redact,比如,可以對社會保險號的前幾位設置返回爲*,剩下的幾位保持不變。只有列中的數據爲固定寬度時才能使用這種方式,如果列中存儲的是email地址,每個email地址的寬度不盡相同,此時要使用Regular expressions。

3.Regular expressions. You can use regular expressions to look for patterns of data to redact. For example, you can use regular expressions to redact email addresses, which can have varying character lengths. It is designed for use with character data only.

4.Random redaction. The redacted data presented to the querying user appears as randomly generated values each time it is displayed, depending on the data type of the column.

5.No redaction.This option enables you to test the internal operation of your redaction policies, with no effect on the results of queries against tables with policies defined on them. You can use this option to test the redaction policy definitions before applying them to a production environment.

  不能對sys和system用戶進行數據的redact。因爲他們都有EXP_FULL_DATABASE這個角色,而這個角色又包含了EXEMPT REDACTION POLICY系統權限。同理,也不能直接賦予用戶dba權限,dba自動包含EXP_FULL_DATABASE角色。

 

案例分析:

SQL> create table employee(id number,name varchar2(10),salary number,jobdate date,mobile varchar2(20));

Table created.

SQL> insert into employee values(1,'tom',6000,to_date('01-07-2012','dd-mm-yyyy'),'135-2009-1146');

1 row created.

 SQL> insert into employee values(2,'mary',9000,to_date('01-07-2013','dd-mm-yyyy'),'135-2009-1111');

1 row created. 

SQL> commit;

Commit complete.

SQL> select *from employee;

ID NAME SALARY JOBDATE MOBILE

---------- ---------- ---------- --------- --------------------

1 tom 6000 01-JUL-12 135-2009-1146

2 mary 9000 01-JUL-13 135-2009-1111

 

1、完全編寫

full redaction的驗證(number)

建立編寫策略

SQL> begin dbms_redact.add_policy(

2 object_schema=>'scott',

3 object_name=>'employee',

4 policy_name=>'p1',

5 column_name=>'salary',

6 function_type=>dbms_redact.full,

7 enable=>true,

8 expression=>'1=1');

9 end;

10 /

PL/SQL procedure successfully completed.

SQL> select *from employee;

ID NAME SALARY JOBDATE MOBILE

---------- ---------- ---------- --------- --------------------

1 tom 001-JUL-12 135-2009-1146

2 mary 0 01-JUL-13 135-2009-1111

 

full redaction的驗證(char

SQL> begin dbms_redact.alter_policy(

2 object_schema=>‘scottf',

3 object_name=>'employee',

4 policy_name=>'p1',

5 column_name=>'name',

6 action=>dbms_redact.add_column,

7 function_type=>dbms_redact.full,

8 expression=>'1=1');

9 end;

10 /

PL/SQL procedure successfully completed.

SQL> select *from employee;

ID NAME SALARY JOBDATE MOBILE

---------- ---------- ---------- --------- --------------------

1             0   01-JUL-12 135-2009-1146

2             0   01-JUL-13 135-2009-1111

full redaction的驗證(date)

SQL> begin dbms_redact.alter_policy(

2 object_schema=>'scott',

3 object_name=>'employee',

4 policy_name=>'p1',

5 column_name=>'jobdate',

6 action=>dbms_redact.add_column,

7 function_type=>dbms_redact.full,

8 expression=>'1=1');

9 end;

10 /

PL/SQL procedure successfully completed.

SQL> select *from employee;

ID NAME SALARY JOBDATE MOBILE

---------- ---------- ---------- --------- --------------------

1           0 01-JAN-01 135-2009-1146

2           0 01-JAN-01 135-2009-1111

 

 2、部分編寫

partial redaction的驗證(char

SQL> begin dbms_redact.alter_policy(

2 object_schema=>'scott',

3 object_name=>'employee',

4 policy_name=>'p1',

5 column_name=>'mobile',

6 action=>dbms_redact.add_column,

7 function_type=>dbms_redact.partial,

8 expression=>'1=1',

9 function_parameters=>'VVVFVVVVFVVVV,VVV-VVVV-VVVV,*,1,8');

10 end;

11 /

PL/SQL procedure successfully completed.

SQL> select *from employee;

ID NAME SALARY JOBDATEMOBILE

---------- ---------- ---------- --------- --------------------

1 0 01-JAN-01 ***-****-*146

2 0 01-JAN-01 ***-****-*111

 

partial redaction的驗證(number

SQL> alter table employee add num number(38);

Table altered.

SQL> update employee set num=12345 where id=1;

1 row updated.

SQL> update employee set num=67890 where id=2;

1 row updated.

SQL> commit;

Commit complete.

SQL> select *from employee;

ID NAME SALARY JOBDATE MOBILE NUM

---------- ---------- ---------- --------- -------------------- ----------

1 0 01-JAN-01 ***-****-*146 12345

2 0 01-JAN-01 ***-****-*111 67890

SQL> begin dbms_redact.alter_policy(

2 object_schema=>'scott',

3 object_name=>'employee',

4 policy_name=>'p1',

5 column_name=>'num',

6 action=>dbms_redact.add_column,

7 function_type=>dbms_redact.partial,

8 expression=>'1=1',

9 function_parameters=>'9,1,3');

10 end;

11 /

PL/SQL procedure successfully completed.

SQL> select *from employee;

ID NAME SALARY JOBDATE MOBILENUM

---------- ---------- ---------- --------- -------------------- ----------

1 0 01-JAN-01 ***-****-*14699945

2 0 01-JAN-01 ***-****-*11199990

 

partial redaction的驗證(date

SQL> begin dbms_redact.alter_policy(

2 object_schema=>'scott',

3 object_name=>'employee',

4 policy_name=>'p1',

5 column_name=>'jobdate',

6 action=>dbms_redact.drop_column,

7 expression=>'1=1')

8 ;

9 end;

10 /

PL/SQL procedure successfully completed.

SQL> select *from employee;

ID NAME SALARY JOBDATE MOBILE NUM

---------- ---------- ---------- --------- -------------------- ----------

1 0 01-JUL-12 ***-****-*146 99945

2 0 01-JUL-13 ***-****-*111 99990

SQL> begin dbms_redact.alter_policy(

2 object_schema=>'scott',

3 object_name=>'employee',

4 policy_name=>'p1',

5 column_name=>'jobdate',

6 action=>dbms_redact.add_column,

7 function_type=>dbms_redact.partial,

8 expression=>'1=1',

9 function_parameters=>'Md15YHMS');----Md15YHMS:month day year hour minute second

10 end;

11 /

PL/SQL procedure successfully completed.

 SQL> select *from employee;

ID NAME SALARY JOBDATE MOBILE NUM

---------- ---------- ---------- --------- -------------------- ----------

1 0 15-JUL-12***-****-*146 99945

2 0 15-JUL-13 ***-****-*111 99990

 

partial redaction的驗證

SQL> begin dbms_redact.alter_policy(

2 object_schema=>'scott',

3 object_name=>'employee',

4 policy_name=>'p1',

5 column_name=>'mobile',

6 action=>dbms_redact.drop_column);

7 end;

8 /

PL/SQL procedure successfully completed.

 

SQL> begin dbms_redact.alter_policy(

2 object_schema=>'scott',

3 object_name=>'employee',

4 policy_name=>'p1',

5 column_name=>'num',

6 action=>dbms_redact.drop_column);

7 end;

8 /

PL/SQL procedure successfully completed.

 

SQL> select *from employee;

ID NAME SALARY JOBDATE MOBILE NUM

---------- ---------- ---------- --------- -------------------- ----------

1 0 15-JUL-12 135-2009-1146 12345

2 0 15-JUL-13 135-2009-1111 67890

 

SQL> begin dbms_redact.alter_policy(

2 object_schema=>'scott',

3 object_name=>'employee',

4 policy_name=>'p1',

5 column_name=>'mobile',

6 action=>dbms_redact.add_column,

7 function_type=>dbms_redact.random,

8 expression=>'1=1');

9 end;

10 /

PL/SQL procedure successfully completed.

 

SQL> begin dbms_redact.alter_policy(

2 object_schema=>'scott',

3 object_name=>'employee',

4 policy_name=>'p1',

5 column_name=>'num',

6 action=>dbms_redact.add_column,

7 function_type=>dbms_redact.random,

8 expression=>'1=1');

9 end;

10 /

PL/SQL procedure successfully completed.

 

SQL> select *from employee;

 ID NAME SALARY JOBDATEMOBILENUM

---------- ---------- ---------- --------- -------------------- ----------

1 0 15-JUL-12 )3;&xt]Y1;C.! 9903

2 0 15-JUL-13 "Rf(LML)*Zn0T 18940

 

SQL> select *from employee;

ID NAME SALARY JOBDATEMOBILE NUM

---------- ---------- ---------- --------- -------------------- ----------

1 0 15-JUL-12 NHP*iNGYVPX2q 8443

2 0 15-JUL-13 pA,s<

 

用戶可以對employee表進行dml操作,但是不能基於employee表進行ctas操作。如下:

SQL> insert into employee values(3,'mouse',10000,to_date('01-08-2013','dd-mm-yyyy'),'135-2009-1126',12345);

1 row created.

SQL> commit; 

Commit complete.

SQL> select * from employee;

ID NAME SALARY JOBDATE MOBILE NUM

---------- ---------- ---------- --------- -------------------- ----------

1 0 15-JUL-12

2 0 15-JUL-13 @adG3r.LHilO; 20119

3 0 15-AUG-13 T]@7MM(2eH?U 9883

SQL> create table test as select * from employee;

create table test as select * from employee

*

ERROR at line 1:

ORA-28081: Insufficient privileges - the command references a redacted object.

 

3、修改policy使得其他用戶可以訪問到真實數據

當前用戶是test

SQL> show user

USER is "TEST"

SQL> select *from ysf.employee;

ID NAME SALARY JOBDATE MOBILE NUM

---------- ---------- ---------- --------- -------------------- ----------

1 0 15-JUL-12 =!'<[j9.E)/Dc 12012

2 0 15-JUL-13 b6JNe.`?j>RVm 44494

3 0 15-AUG-13 /.v~m-Gt76~'u 4632

 

SQL> begin dbms_redact.alter_policy(

2 object_schema=>'ysf',

3 object_name=>'employee',

4 policy_name=>'p1',

5 action=>dbms_redact.modify_expression,

6 expression=>'SYS_CONTEXT(''USERENV'',''SESSION_USER'') != ''TEST''');

7 end;

8 /

PL/SQL procedure successfully completed.

 

SQL> select *from ysf.employee;

ID NAME SALARY JOBDATE MOBILE NUM

---------- ---------- ---------- --------- -------------------- ----------

1 tom 6000 01-JUL-12 135-2009-1146 12345

2 mary 9000 01-JUL-13 135-2009-1111 67890

3 mouse 10000 01-AUG-13 135-2009-1126 12345

讓test用戶看到真實數據的話,在policy中不能只針對某一列,這樣的話不會生效。

 

4、查看redaction信息:

8:00:04 SYS@ orcl> select * from redaction_policies

OBJECT_OWN OBJECT_NAME          POLICY_NAME          EXPRESSION           ENABLE  POLICY_DESCRIPTION
---------- -------------------- -------------------- -------------------- ------- --------------------------------------------------
SCOTT      employee                  p1                   SYS_CONTEXT('USERENV YES

                                                     ','SESSION_USER') !=
                                                      'TOM'
Elapsed: 00:00:00.00

18:04:28 SYS@ orcl>col COLUMN_NAME for a20
18:04:47 SYS@ orcl>col FUNCTION_PARAMETERS for a40
18:05:02 SYS@ orcl>select object_owner,object_name,column_name,function_type,function_parameters
  2*  from redaction_columns

OBJECT_OWN OBJECT_NAME          COLUMN_NAME          FUNCTION_TYPE               FUNCTION_PARAMETERS
---------- -------------------- -------------------- --------------------------- ----------------------------------------
SCOTT      employee                   JOBDATE              PARTIAL REDACTION           Md15YHMS
SCOTT      employee                 NUM                  PARTIAL REDACTION           9,1,3
SCOTT      employee                   MOBILE               PARTIAL REDACTION           VVVFVVVVFVVVV,VVV-VVVV-VVVV,*,1,8
SCOTT     employee                  NAME                 FULL REDACTION
SCOTT      employee                   SALARY               FULL REDACTION

17:18:14 SCOTT@ orcl>select * from t1;

        ID NAME           SALARY JOBDATE   MOBILE                      NUM
---------- ---------- ---------- --------- -------------------- ----------
         1 tom              6000 01-JUL-12 135-2009-1146             12345
         2 mary             9000 01-JUL-13 135-2009-1111             67890

Elapsed: 00:00:00.02

以上文章內容參考部分網友的內容,在這裏一併感謝!

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

SQL 語法快速入門

--數據操作SELECT --從數據庫表中檢索數據行和列INSERT --向數據庫表添加新數據行DELETE --從數據庫表中刪除數據行UPDATE --更新數據庫表中的數據--數據定義CREATE TABLE --創建一個數據庫表D

雄牛 2020-07-08 12:18:30

獲取指定字段的首字母,並按照字母排序

Select ELT(INTERVAL(CONV(HEX(left(CONVERT(areaName USING gbk),1)),16,10),

lpz283929516 2020-07-08 07:40:38

創建完Oracle數據庫,但是用系統用戶sys或者sysdba無法登陸sqlplus

系統用戶sys或者sysdba無法登陸sqlplus 運行->cmd,輸入sqlplus /nolog 回車。輸入conn /as sysdba 回車。create tablespace user_data  datafile '/o

lpz283929516 2020-07-08 07:40:36

MySQL服務重啓後,MySQL 5.7 InnoDB AUTO_INCREMENT計數器被重置

幾天前,系統在重啓後,bug頻出,發現是新增時主鍵衝突,很奇怪的現象,最後發現原來是mysql的“bug”,在MySQL 5.7和更早版本中,當重新啓動MySQL服務時,每個表上的AUTO_INCREMENT值將重新初始化爲:MAX(id

彧卿丶 2020-07-08 01:45:52

分佈式數據訪問

基本需求 可擴展 Memcached和DB可以動態添加,不需要修改程序和重啓任何服務 可監控 系統可以監控集羣中某個節點是否異常,資源佔用情況,緩存命中率如何,系統當前壓力,且當壓力到達一個閥值時提供異常報警機制,有詳細的錯誤日誌

lzz313 2020-07-07 23:23:23

選擇合適的數據庫

這部分在NoSQL精粹這本書的混合持久化到選擇合適的數據庫,即第13章到第15章描述的非常好。推薦大家閱讀下。一個經典的使用場景是:在一個購物網站類似的系統中:使用鍵值對數據庫來存儲購物車和會話數據,使用文檔數據庫來存儲已完成的訂單使用庫

一直往前不要停 2020-07-07 17:43:28

Oracle 12C Study--RMAN新特性-基於表時間點恢復

Oracle 12C Study--RMAN新特性-基於表時間點恢復       在Oracle數據庫中,對於用戶因DDL(drop或truncate)等誤操作,引起的數據丟失;一般可以通過基於數據庫的時間點不完全恢復和基於表空間的時間

客居天涯 2020-07-07 11:31:07

Oracle 12c Study之--Enterprise Manager Cloud Control Install

Oracle 12c Study之--Enterprise Manager Cloud Control Install 系統環境:RedHat EL6.4(64) Oracle:   Oracle 11.2.0.3.0 EMCC:  

客居天涯 2020-07-07 11:31:07

sql對已有表結構修改小總結

1、 以下是對主鍵描述的刪除和添加操作 其中 “ action”是我的表名 “ID” 爲我主鍵的列名 注意點 : 1.1、要想刪除某一列的主鍵描述,若當前主鍵列有自增長屬性,需要將該列的自增長屬性去掉,可以使用modify 字段對

小小卡尔 2020-07-06 22:38:15

explain都不懂,還說會SQL調優?

mysql中的explain命令可以用來查看sql語句是否使用了索引,用了什麼索引,有沒有做全表掃描。可以幫助我們優化查詢語句。 explain出來的信息有10列,文章主要介紹type、key、Extra這幾個字段。 演示中涉及到的表結構

kevin_zhuzj 2020-07-05 21:48:29

hibernate自動生成uuid策略下手動指定id

hibernate自動生成uuid策略下手動指定id 最近項目需要進行數據遷移 , 原有系統的數據需要原樣遷移至新系統. 新系統使用的是註解配置的hibernate,主鍵id是自動生成的uuid. 於是問題來了 , 原數據的id

coder_小康 2020-07-05 09:59:14

【轉載】分頁存儲過程

在確定了第三種分頁方案後,我們可以據此寫一個存儲過程。大家知道SQL SERVER的存儲過程是事先編譯好的SQL語句,它的執行效率要比通過WEB頁面傳

pengbincn 2020-07-04 21:57:29

【轉載】深入淺出理解索引結構

(一)深入淺出理解索引結構         實際上,您可以把索引理解爲一種特殊的目錄。微軟的SQL SERVER提供了兩種索引:聚集索引(clustered index,也稱聚類索引、簇集索引)和非聚集索引(nonclustered in

pengbincn 2020-07-04 21:57:29

【轉載】sql server中分佈式 鏈接服務器和遠程登錄映射

由於業務邏輯的多樣性 經常得在sql server中查詢不同數據庫中數據 這就產生了分佈式查詢的需求 現我將開發中遇到的幾種查詢總結如下: 1.acc

pengbincn 2020-07-04 21:57:29

sql server是先寫日誌還是數據

我們知道SQL是在內存緩存區中對日誌和數進行操作,然後再寫入物理介質上。內存中的日誌緩衝區與數據緩衝區是獨立管理的。那麼日誌和數據到底是誰先寫入物理介質?還是寫入順序無關緊要呢?   一、什麼是WAL   sql server2000與對

NETZHOU 2020-07-04 12:16:14