使用SQL*Plus 保护数据安全的方法

我们的管理主要集中在对如下情况的管理：开发者使用SQL*Plus 在客户端和数据库之间的开发环境下移动敏感数据。在不需要购买非常昂贵的Oracle高级安全选项的前提下，您对处理这个问题的方法有什么建议吗？

此问题提交于2004年11月19日

高级安全选项是加密数据库网络传输的最好的，也是最简单的方式。它是一个附加选项，也需要一些资金，所以你的情况并不是很罕见。

最好的可供选择的方法就是使用SSH通道。基本配置是你创建一个从客户端到服务器的通道。客户端终点有一个特定的端口号（例如说，9000）。服务器终点是你的数据库监听器端口（1521）。你可通过如下的命令建立起一个通道：

ssh -L 9000:dbserver:1521 someuser@dbserver

一旦通道开启，在任何数据库连接是活动的时候，都必须持续运行。通过通道监听本地客户端机器的端口9000，改变你的tnsnames.ora 文件中的有关客户端的条目，如下所示：

dbname.world =
  (DESCRIPTION=
    (ADDRESS=(PROTOCOL=TCP)(HOST=client-hostname)(PORT=9000))
    (CONNECT_DATA=(SERVICE_NAME=dbname.world))
  )

然后，你就可以使用这个别名连接到数据库了。与此同时，所有的网络传输都在SSH通道（是加密通道）内经过网络进行发送。

从Windows客户端到Unix主机，你可以使用客户机上的PuTTY作为SSH客户端。如果你的数据库服务器是Windows操作系统，你就可以使用Cygwin来创建一个SSH服务器进程，这样你就可以连接到Windows主机上了。