Oracle Data Redaction 核心功能​

一、Oracle Data Redaction 核心功能
Data Redaction 是 Oracle 数据库（12c 及以上版本）的高级安全特性，用于在查询返回结果时动态改写敏感数据，而无需修改底层存储的数据。

其主要特点包括：
1 实时动态改写
在 SQL 执行结果的最后阶段（返回客户端前）应用改写策略。
2 透明性
不影响数据存储格式、数据类型或后端约束（如触发器、外键）。
3 精细控制
基于用户会话、应用程序上下文等条件触发策略。

五种改写类型
类型 适用场景 示例效果 支持数据类型
FULL 全字段改写 数字→0，字符→空格，日期→2001-01-01 所有类型
PARTIAL 部分遮蔽（固定长度） 123-45-6789 → ***-**-6789 字符、数字
REGEXP 基于正则表达式匹配的遮蔽 邮箱 test@example.com → ****@****.com 仅字符类型
RANDOM 生成随机值替换原数据 数字 1000 → 8392 所有类型
NONE 测试策略逻辑（无实际改写） 显示原始数据，用于策略验证 所有类型


-- 创建测试用户及表
CREATE USER demo_user IDENTIFIED BY demo_pass;
GRANT CONNECT, RESOURCE TO demo_user;
CREATE TABLE demo_user.employees (
employee_id NUMBER,
full_name VARCHAR2(50),
ssn VARCHAR2(11) -- 格式: 000-00-0000
);
INSERT INTO demo_user.employees VALUES (1, 'Alice Smith', '123-45-6789');
COMMIT;



-- 添加策略
BEGIN
DBMS_REDACT.ADD_POLICY(
object_schema => 'DEMO_USER',
object_name => 'EMPLOYEES',
column_name => 'SSN',
policy_name => 'REDACT_SSN',
function_type => DBMS_REDACT.PARTIAL,
function_parameters => 'VVVFVVFVVVV,VVV-VV-VVVV,*,1,5', -- 关键：长度均为11
expression => 'SYS_CONTEXT(''USERENV'', ''SESSION_USER'') != ''HR_ADMIN'''
);
END;
/

-- 普通用户查询
SELECT ssn FROM demo_user.employees;
-- 结果：***-**-6789

-- HR_ADMIN 用户查询
SELECT ssn FROM demo_user.employees;
-- 结果：123-45-6789（原始数据）




-- 在现有策略中新增（EMPLOYEE_ID）列随机遮蔽
BEGIN
DBMS_REDACT.ALTER_POLICY(
object_schema => 'DEMO_USER',
object_name => 'EMPLOYEES',
policy_name => 'REDACT_SSN',
action => DBMS_REDACT.ADD_COLUMN,
column_name => 'EMPLOYEE_ID',
function_type => DBMS_REDACT.RANDOM
);
END;
/
查询
SQL> select * from demo_user.employees;

EMPLOYEE_ID FULL_NAME SSN
----------- -------------------------------------------------- -----------
4 Alice Smith ***-**-6789

SQL> select * from demo_user.employees;

EMPLOYEE_ID FULL_NAME SSN
----------- -------------------------------------------------- -----------
2 Alice Smith ***-**-6789


-- 修改策略
BEGIN
DBMS_REDACT.ALTER_POLICY(
object_schema => 'DEMO_USER',
object_name => 'EMPLOYEES',
policy_name => 'REDACT_SSN',
action => DBMS_REDACT.MODIFY_COLUMN,
column_name => 'SSN',
function_type => DBMS_REDACT.RANDOM
);
END;
/

查询
select * from demo_user.employees;

EMPLOYEE_ID FULL_NAME SSN
----------- -------------------------------------------------- -----------
7 Alice Smith -ku,/2Y85s}