解决Oracle数据脱敏之道(oracle数据脱敏)


在数据库开发的过程中,为确保安全性,往往需要对数据进行隐私/敏感数据掩码脱敏处理,以确保数据安全,特别是Oracle数据库。遗憾的是,Oracle的基础软件完全没有提供数据脱敏的功能,所以,如何通过Oracle数据库来实现数据脱敏?今天给大家来个实操,让我们一起来学习解决Oracle数据脱敏之道!

建议Oracle数据库脱敏方案有三个过程:一是数据层;二是存储层;三是应用层。

首先来介绍一下数据层,其主要是指数据展示层,也就是将要处理的数据展示出来后,在界面地通过规范的掩码脱敏格式,将要脱敏的数据进行一定规则的混淆,以确保数据安全。下面是一段典型的掩码脱敏代码:

DECLARE

–姓名

vName VARCHAR2(100);

–身份证号码

vId VARCHAR2(20);

BEGIN

–姓名无脱敏要求

SELECT Name INTO vName FROM EMPLOYEE WHERE Id = 123;

–身份证号码进行脱敏

SELECT MaskId(Id) INTO vId FROM EMPLOYEE WHERE Id = 123;

END;

第二个是存储层脱敏,其主要定位于数据库存储层,即对数据库地表结构字段设计数据脱敏处理,如触发器或存储过程,在保存数据前进行增强处理,可以将数据值进行安全的数据脱敏处理,在查询操作时运用类似的规则进行复原处理得到表数据。以下是一段存储过程实现数据脱敏的Example:

CREATE OR REPLACE PROCEDURE MASK_SENSITIVE_DATA_COLUMN

–身份证号码

(in_id IN VARCHAR2)

–输出掩码后字符串

(out_masked OUT VARCHAR2)

IS

BEGIN

–定义变量,保存身份证号前几位

v_front VARCHAR2;

–定义变量,保存身份证号最后几位

v_back VARCHAR2;

BEGIN

SELECT SUBSTR(in_id, 0, 5), SUBSTR(in_id, LENGTH(in_id) – 3, LENGTH(in_id))

INTO v_front, v_back

FROM DUAL;

–将身份证号中间字符掩码

out_masked := v_front || LPAD(‘X’, LENGTH(in_id) – 8, ‘X’) || v_back;

END;

/

最后一个就是APP层的脱敏处理,这个脱敏一般在应用程序层实现,当然例外情况可以采用数据库存储过程来完成,不过在很多上层应用开发语言中都有普遍采用的脱敏函数,例如,Oracle PL/SQL中有maskchars函数,用来实现替换字符,下面是一个简单的例子:

declare

–身份证

v_id varchar2(20):=’123456789012345678′;

begin

–身份证号:—> 1XXXXXX345678

dbms_output.put_line(MASKCHARS(v_id,9,5,’X’));

end;

上面介绍的三类脱敏方案,分别是数据层的界面脱敏,存储层的数据库脱敏以及应用层的脱敏算法,加起来就是我们使用常用的Oracle数据脱敏处理方案。不过,在实际中也要根据实际情况,综合综合考虑,分层处理,确保数据安全,并能够高效灵活的实现数据脱敏处理。