Шифрование данных для приложений

Шифрование данных для приложений или просто шифрование данных - Программный интерфейс, позволяющий приложениям включать в себя код для шифрования и дешифрования отдельных элементов данных (таких как определенные свойства класса), поскольку они хранятся и получаются с диска.

Шифрование данных обеспечивает средство шифрования данных приложения на более мелком уровне детализации, чем базы данных в целом; оно используется для важных элементов данных, чьё раскрытие должно быть предотвращено. Например, записи о клиентах могут исключительно зашифровать поле кредитной карты; записи пациента могут исключительно зашифровать поля, которые отображают результаты испытаний (например, для тестирования на ВИЧ); или запись, которая включает в себя номер социального страхования может исключительно зашифровать это поле.

Шифрование данных доступно программно (через API), а не через Management Portal. Потому что оно доступно через API, вы можете использовать его в коде приложения. У вас есть возможность использовать шифрование данных с помощью шифрования базы данных (хотя не требуется использовать оба).

Блочный уровень шифрования базы данных

Блочный уровень шифрования базы данных, также известный просто как шифрование базы данных - Набор инструментов, позволяющий создание и управление базами данных, в которых зашифрованы все данные. Такие базы данных управляются через Management Portal

Для защиты целых баз данных, которые содержат конфиденциальную информацию, Caché поддерживает шифрование базы данных на уровне блоков (или, для краткости, шифрования базы данных). Шифрование базы данных это технология, которая позволяет создавать и управлять базами данных, которые, как единое целое, зашифрованы; этот способ использует средства управления ключами для поддержки своей деятельности.

 

Виды шифрования баз данных в Cache

Caché поддерживает два вида шифрования баз данных:

· Администратор безопасности может определить один или более файлов CACHE.DAT, которые требуется шифровать. После этого все содержимое этих файлов шифруется, включая все индексы.

· Разработчики приложений могут использовать системные функции для шифрования / дешифрования данных, которые затем могут быть переданы или сохранены в БД. Этот способ может применяться для шифрования важных данных, чтобы защитить их от пользователей, имеющих доступ лишь к содержимому базы данных только для чтения, но не имеющих ключа.

По умолчанию в Caché данные шифруются с применением AES (Advanced Encryption Standard) – симметричного алгоритма, использующего ключи длиной 128, 192 или 256 бит. Ключи шифрования хранятся в защищенной области памяти. Caché предоставляет все необходимые возможности для управления ключами шифрования.

В июне 2003 года Агентство национальной безопасности США постановило, что шифр AES является достаточно надёжным, чтобы использовать его для защиты сведений, составляющих государственную тайну.

Журналы также могут быть зашифрованы.

 

Шифрование базы данных

Три основных компонента Oracle Streams:

1. Создание key file

2. Активация ключа(ключей) из key file

3. Создание базы шифруемой базы данных

 

Capture(фоновый процесс)

Сбор осуществляется двумя способами:

· Неявный сбор. Серверный процесс сбора собирает DML и DDL события в исходной базе данных непосредственно из журналов (redo log), либо с помощью горячего "раскапывания" (hot mining), либо, при необходимости, из архивных журналов (archive log). После извлечения данных процесс сбора форматирует их в Logical Change Record (LCR) и помещает в область распространения для дальнейшей обработки. Процесс сбора может фильтровать LCRы по заданным правилам. Таким образом буду собираться изменения только заданных объектов.

Явный сбор. Позволяет приложению явным образом сгенерировать сообщение и поместить его в область хранения. Эти сообщения могут быть отформатированы как LCR (дает возможность автоматически применить их процессом применения (apply process), либо как пользовательские сообщения, предназначенные для потребления другим пользовательским приложением.

 

Capture:

· работает на стороне исходной БД

· работают на основе правил;

· просматривает средствами LogMiner журналы повтора и архив;

· выбирает из журналов изменения в исходной БД;

· формирует логическую запись об изменении, Logical Change Record (LCR);

· помещает LCR в качестве события в очередь Streams Advanced Queuing (SAQ).(фоновый процесс)

 

Apply (фоновый процесс)

· Находится на стороне целевой Б

· Работает на основе прави

· Выбирает изменения(LCR) из очереди на целевой базе данных

· Применяет изменения на целевой БД.

 

Правила(rules)

Capture: определяют перечень данных, которые собираются capture и очередь для записи изменений(LCR) в исходной базе данных.

Propagation: определяет очередь в исходной базе данных с изменениями и очередь в целевой базе данных для применения изменений.

Apply: определяют входную очередь и перечень объектов, подлежащих изменению с изменениями(LCR).