《叱咤风云：GoldenGate企业级运维实战》第10章_GoldenGate的安全特性.docVIP

第10章 GoldenGate的安全特性 GoldenGate软件已经被很多大型企业用于数据容灾。如果用作异地备份容灾，很多是需要通过租用公网的线路进行传输，而这些数据很多都是企业的机密，为了防止机密数据被黑客获取进而损害企业的利益，需要对GoldenGate的安全做一些增强。 除了通过制定操作系统和数据库级别安全防范措施以外，还可以在GoldenGate层面来制定相应的安全策略。在本地可以通过加密trail文件和数据库文件来保护GoldenGate抽取到的数据。在网络传输过程中GoldenGate也可以加密传输的数据，用户可以自己定义key来加密数据，使得黑客就算获取了数据也无法对其解密。 下面来一一介绍着几种保护GoldenGate和数据安全的方法。 加密trail文件 加密extract trail文件非常的简单，只需要在Extract参数文件中加入ENCRYPTTRAIL参数。Extract进程就会对加入参数以后生成的trail文件进行加密。如果生产端trail文件加密，那么在容灾端参数文件中必须加入对应的DECRYPTTRAIL参数解密trail文件再入库。 下面用logdump（查看GoldenGate trial文件的工具）对比一下加密之前和加密以后trail文件中内容的变化。 没加密之前Extract的内容： 示例10-1GGSCI (OE5) 55 view params extma EXTRACT extma userid GoldenGate@orcl1, password GoldenGate setenv (NLS_LANG=AMERICAN_AMERICA.WE8ISO8859P1) GETTRUNCATES REPORTCOUNT EVERY 1 MINUTES, RATE numfiles 50000 DISCARDFILE ./dirrpt/extma.dsc,APPEND,MEGABYTES 50 WARNLONGTRANS 2h,CHECKINTERVAL 3m EXTTRAIL ./dirdat/ma DBOPTIONS ALLOWUNUSEDCOLUMN TRANLOGOPTIONS CONVERTUCS2CLOBS DYNAMICRESOLUTION table scott.* ; 没加密之前Extract trail文件的内容： 示例10-Logdump 55 open ./dirdat/ma000001 Current LogTrail is /opt/GoldenGate/orcl1/dirdat/ma000001 Logdump 56 ghdr on Logdump 57 detail data Logdump 58 ggstoken detail Logdump 59 pos 0 Reading forward from RBA 0 Logdump 60 n Logdump 65 n ___________________________________________________________________ Hdr-Ind : E (x45) Partition : . (x04) UndoFlag : . (x00) BeforeAfter : A (x41) RecLength : 23 (x0017) I/O Time : 2011/03/22 00:09:39.000.000 IOType : 5 (x05) OrigNode : 255 (xff) TransInd : . (x00) FormatType : R (x52) SyskeyLen : 0 (x00) Incomplete : . (x00) AuditRBA : 2 AuditPos : Continued : N (x00) RecCount : 1 (x01) 2011/03/22 00:09:39.000.000 Insert Len 23 RBA 1391 Name: SCOTT.TEST After Image: Partition 4 G b 0000 0005 0000 0001 3100 0100 0a00 0000 066f 7261 | ........1........ora