Oracle 数据库安全性 — 透明数据加密

Oracle 数据库 10g 第 2 版透明数据加密（包含在 Oracle Advanced Security中）通过在将敏感数据写至磁盘时以透明方式对其进行加密，而后在用户读取该数据时进行解密，简化了敏感数据的加密。不必对显示信用卡号以便工作人员进行近一步处理的应用程序进行修改，授权用户一般不会注意到数据已在存储介质上进行了加密。

只需简单的 5 个步骤，您的敏感数据就会受到透明数据加密的保护。

数据加密不应用作访问控制的替代项，存储加密的数据并不会在存储介质上提供额外的保护层。这有助于在发生介质遭窃时保护诸如信用卡号之类的敏感数据。松懈的物理防范、拙劣的操作系统配置或备份过程可能会造成介质遭窃。

至于向后兼容性，Oracle 数据库 10g 第 2 版仍然附带了 DBMS_OBFUSCATION_TOOLKIT 以及更新、更强大的 DBMS_CRYPTO 程序包。

⁽¹⁾ 用于向后兼容性，请勿使用。
⁽²⁾ 内部使用，不适用于开发人员。

程序包特性	DBMS_OBFUSCATION_TOOLKIT （Oracle8i 和 Oracle9i）	DBMS_CRYPTO （Oracle 10g 和 10g R2）	透明数据加密 （Oracle 10g R2 高级安全性选件）
加密算法	DES, 3DES	DES, 3DES, AES, RC4, 3DES_2KEY(1)	3DES, AES (128, 192, 和 256 位)
填充形式	无受支持项	PKCS5, zeroes	PKCS5(2)
密码分组链接模式	CBC	CBC, CFB, ECB, OFB	CBC(2)
加密散列算法	MD5	SHA-1, MD4(1), MD5(1)	SHA-1(2)
密钥散列 (MAC) 算法	无受支持项	HMAC_MD5, HMAC_SH1	n/a
加密伪随机数生成器	RAW, VARCHAR2	RAW, NUMBER, BINARY_INTEGER	n/a
数据库类型	RAW, VARCHAR2	RAW, CLOB, BLOB	除以下各项之外的所有项：OBJ., ADT, LOB

California Senate Bill 1386 (SB 1386) 要求您在在加密密钥已泄露的情况下不加密个人可识别的信息或加密 PII 时需通知客户，但并未指定所需的加密方法。该文档重点介绍了针对 SB-1386 合规性的最佳实践。