Thứ Sáu, 12 tháng 9, 2025

🛡️ ORACLE DATA REDACTION – GIẢI PHÁP MASKING DỮ LIỆU THỜI GIAN THỰC (TỪ 12C)

1️⃣ TỔNG QUAN GIẢI PHÁP

Oracle Data Redaction là thành phần thuộc Oracle Advanced Security Option từ phiên bản Oracle Database 12c, cho phép che giấu/masking dữ liệu nhạy cảmthời điểm truy vấn SELECT, mà không làm thay đổi dữ liệu vật lý trong bảng.

🎯 Mục tiêu chính:

  • Bảo vệ dữ liệu nhạy cảm như: số CMND, thẻ tín dụng, thu nhập, địa chỉ…

  • Tránh lộ lọt qua các truy vấn trái phép mà vẫn cho phép ứng dụng hoạt động bình thường.

  • Tùy biến theo vai trò, tài khoản, IP, ứng dụng, thời gian…

2️⃣ KIẾN TRÚC GIẢI PHÁP (Text Diagram)

               +-----------------------------+
               |       Ứng dụng người dùng   |
               |  (CRM, App, Billing, ERP...)|
               +-------------+---------------+
                             |
                      Gửi truy vấn SQL
                             ↓
             +-------------------------------+
             |    Oracle SQL Engine Layer     |
             |  [Redaction Policy Evaluation] |
             +-------------------------------+
                             |
    +------------------------+------------------------+
    |                         |                        |
Dữ liệu gốc (VD: số CMND)   Quy tắc REDACT            Người dùng
   trong bảng thật           (DBMS_REDACT)           thấy dữ liệu che

    → 123456789             → Mask: 'XXXXXX'          → XXXXXX

(X là ký tự trắng)

👉 Redaction hoạt động khi dữ liệu được SELECT ra ngoài, không thay đổi giá trị gốc.

3️⃣ ƯU, NHƯỢC ĐIỂM & SO SÁNH

ƯU ĐIỂM

Ưu điểmDiễn giải
Real-time maskingMask tại thời điểm thực thi SELECT
Không làm thay đổi dữ liệu gốcPhù hợp hệ thống cần dữ liệu nguyên bản để tính toán
Không thay đổi ứng dụngDễ triển khai trên hệ thống hiện hữu
Context-awareChe theo user/IP/app/time – rất linh hoạt
Kết hợp với Audit VaultGhi nhận truy cập trái phép

NHƯỢC ĐIỂM

Nhược điểmDiễn giải
Chỉ che SELECT, không che INSERT/UPDATEKhông bảo vệ nếu dùng PL/SQL trick
SYSDBA vẫn thấy dữ liệuPhải kết hợp với Vault/Label Security
Yêu cầu Enterprise Edition + LicenseTăng chi phí bản quyền
Không log truy cập mặc địnhCần bật audit riêng

🔁 SO SÁNH VỚI GIẢI PHÁP KHÁC

Tiêu chíREDACTTDEDLPApp-level Masking
Cấp độSQL runtimeStorage levelNetwork + EndpointApp logic
Mục tiêuChe khi SELECTMã hóa file vật lýPhát hiện rò rỉTùy ứng dụng
Bảo vệ người dùng trái phép
Chống lộ dữ liệu backup
Cấu hình nhanh

4️⃣ HƯỚNG DẪN TRIỂN KHAI CHI TIẾT (STEP-BY-STEP + VÍ DỤ)

🎯 Yêu cầu: Che cột SSN trong bảng CUSTOMERS, chỉ cho user app_owner hoặc DBA thấy rõ, còn lại (user binhtv) bị mask (không nhìn thấy gì).

create user app_owner identified by oracle;
grant connect, resource, dba to app_owner;

alter user app_owner identified by app_owner;

create user binhtv identified by binhtv;
grant connect, resource, select any table to binhtv;

Bước 1 – Tạo bảng và dữ liệu mẫu

CREATE TABLE app_owner.customers (
  id   NUMBER,
  name VARCHAR2(100),
  ssn  VARCHAR2(11)
);

INSERT INTO app_owner.customers VALUES (1, 'Nguyen Van A', '123-45-6789');
INSERT INTO app_owner.customers VALUES (2, 'Tran Thị B',  '234-56-7890');
COMMIT;

Bước 2 – Cấp quyền cần thiết

GRANT EXECUTE ON DBMS_REDACT TO app_owner;
GRANT EXECUTE ON DBMS_REDACT TO binhtv;

Bước 3 – Tạo chính sách redaction

BEGIN
  DBMS_REDACT.ADD_POLICY(
    object_schema   => 'APP_OWNER',
    object_name     => 'CUSTOMERS',
    column_name     => 'SSN',
    policy_name     => 'REDACT_SSN',
    function_type   => DBMS_REDACT.FULL,
    expression      => 'SYS_CONTEXT(''USERENV'', ''SESSION_USER'') <> ''APP_OWNER'''
  );
END;
/

Bước 4 – Kiểm tra kết quả đầu ra

🔍 Khi đăng nhập bằng APP_OWNER hoặc DBA:

SELECT name, ssn FROM app_owner.customers;
-- Kết quả:
-- Nguyen Van A | 123-45-6789
-- Tran Thi B   | 234-56-7890



🔍 Khi đăng nhập bằng thường (ví dụ binhtv):

SELECT name, ssn FROM customers;
-- Kết quả:
-- Nguyen Van A | XXXX-XX-XXXX
-- Tran Thi B   | XXXX-XX-XXXX

✅ Đúng như mong đợi: Chỉ APP_OWNER hoặc DBA thấy rõ dữ liệu thật, còn lại bị che.

Bước 5 – Xoá hoặc sửa chính sách nếu cần

-- Xoá:
BEGIN
  DBMS_REDACT.DROP_POLICY(
    object_schema => 'APP_OWNER',
    object_name   => 'CUSTOMERS',
    policy_name   => 'REDACT_SSN'
  );
END;
/

-- Sửa: chỉ được DROP rồi ADD lại

5️⃣ KẾT LUẬN TỔNG HỢP

Thành phầnTóm tắt
🎯 Giải phápOracle Data Redaction là giải pháp masking runtime, ngăn lộ thông tin nhạy cảm khi SELECT
🔍 Cơ chế hoạt độngDựa trên chính sách context-aware, mask dữ liệu tại SQL engine
Lợi ích chínhKhông thay đổi app, bảo vệ dữ liệu SELECT, che theo người dùng, IP…
Hạn chếKhông chống SYSDBA, không thay thế encryption, cần license riêng
📦 Khuyến nghị kết hợpRedaction + Audit Vault + TDE + Role Separation + Firewall DB
=============================
Website không chứa bất kỳ quảng cáo nào, mọi đóng góp để duy trì phát triển cho website (donation) xin vui lòng gửi về STK 90.2142.8888 - Ngân hàng Vietcombank Thăng Long - TRAN VAN BINH
=============================
Nếu bạn không muốn bị AI thay thế và tiết kiệm 3-5 NĂM trên con đường trở thành DBA chuyên nghiệp hay làm chủ Database thì hãy đăng ký ngay KHOÁ HỌC ORACLE DATABASE A-Z ENTERPRISE, được Coaching trực tiếp từ tôi với toàn bộ bí kíp thực chiến, thủ tục, quy trình của gần 20 năm kinh nghiệm (mà bạn sẽ KHÔNG THỂ tìm kiếm trên Internet/Google) từ đó giúp bạn dễ dàng quản trị mọi hệ thống Core tại Việt Nam và trên thế giới, đỗ OCP.
- CÁCH ĐĂNG KÝ: Gõ (.) hoặc để lại số điện thoại hoặc inbox https://m.me/tranvanbinh.vn hoặc Hotline/Zalo 090.29.12.888
- Chi tiết tham khảo:
https://bit.ly/oaz_w
=============================
2 khóa học online qua video giúp bạn nhanh chóng có những kiến thức nền tảng về Linux, Oracle, học mọi nơi, chỉ cần có Internet/4G:
- Oracle cơ bản: https://bit.ly/admin_1200
- Linux: https://bit.ly/linux_1200
=============================
KẾT NỐI VỚI CHUYÊN GIA TRẦN VĂN BÌNH:
📧 Mail: binhoracle@gmail.com
☎️ Mobile/Zalo: 0902912888
👨 Facebook: https://www.facebook.com/BinhOracleMaster
👨 Inbox Messenger: https://m.me/101036604657441 (profile)
👨 Fanpage: https://www.facebook.com/tranvanbinh.vn
👨 Inbox Fanpage: https://m.me/tranvanbinh.vn
👨👩 Group FB: https://www.facebook.com/groups/DBAVietNam
👨 Website: https://www.tranvanbinh.vn
👨 Blogger: https://tranvanbinhmaster.blogspot.com
🎬 Youtube: https://www.youtube.com/@binhguru
👨 Tiktok: https://www.tiktok.com/@binhguru
👨 Linkin: https://www.linkedin.com/in/binhoracle
👨 Twitter: https://twitter.com/binhguru
👨 Podcast: https://www.podbean.com/pu/pbblog-eskre-5f82d6
👨 Địa chỉ: Tòa nhà Sun Square - 21 Lê Đức Thọ - Phường Mỹ Đình 1 - Quận Nam Từ Liêm - TP.Hà Nội

=============================
cơ sở dữ liệu, cơ sở dữ liệu quốc gia, database, AI, trí tuệ nhân tạo, artificial intelligence, machine learning, deep learning, LLM, ChatGPT, DeepSeek, Grok, oracle tutorial, học oracle database, Tự học Oracle, Tài liệu Oracle 12c tiếng Việt, Hướng dẫn sử dụng Oracle Database, Oracle SQL cơ bản, Oracle SQL là gì, Khóa học Oracle Hà Nội, Học chứng chỉ Oracle ở đầu, Khóa học Oracle online,sql tutorial, khóa học pl/sql tutorial, học dba, học dba ở việt nam, khóa học dba, khóa học dba sql, tài liệu học dba oracle, Khóa học Oracle online, học oracle sql, học oracle ở đâu tphcm, học oracle bắt đầu từ đâu, học oracle ở hà nội, oracle database tutorial, oracle database 12c, oracle database là gì, oracle database 11g, oracle download, oracle database 19c/21c/23c/23ai, oracle dba tutorial, oracle tunning, sql tunning , oracle 12c, oracle multitenant, Container Databases (CDB), Pluggable Databases (PDB), oracle cloud, oracle security, oracle fga, audit_trail,oracle RAC, ASM, oracle dataguard, oracle goldengate, mview, oracle exadata, oracle oca, oracle ocp, oracle ocm , oracle weblogic, postgresql tutorial, mysql tutorial, mariadb tutorial, ms sql server tutorial, nosql, mongodb tutorial, oci, cloud, middleware tutorial, docker, k8s, micro service, hoc solaris tutorial, hoc linux tutorial, hoc aix tutorial, unix tutorial, securecrt, xshell, mobaxterm, putty
Sửa bài viết
Sửa bài viết By lúc Sửa bài viết
Labels: ,

ĐỌC NHIỀU
Trần Văn Bình - Oracle Database Master