# 创建钱包目录
mkdir -p /oracle/admin/fgedudb/wallet
chmod 700 /oracle/admin/fgedudb/wallet

# 配置sqlnet.ora文件
cat > /oracle/product/19c/dbhome_1/network/admin/sqlnet.ora << EOF ENCRYPTION_WALLET_LOCATION = (SOURCE = (METHOD = FILE) (METHOD_DATA = (DIRECTORY = /oracle/admin/fgedudb/wallet) ) ) EOF # 创建钱包并设置主密钥 sqlplus / as sysdba << EOF ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY "MyWalletPassword123!";EXIT;EOF

SQL> CREATE TABLE fgedu.employees (
2 emp_id NUMBER PRIMARY KEY,
3 emp_name VARCHAR2(100),
4 emp_salary NUMBER ENCRYPT,
5 emp_ssn VARCHAR2(11) ENCRYPT USING ‘AES256’,
6 emp_email VARCHAR2(255)
7 );Table created.

SQL> INSERT INTO fgedu.employees VALUES (1, ‘风哥1号’, 10000, ‘123-45-6789’, ‘zhangsan@fgedu.net.cn’);1 row created.

SQL> SELECT * FROM fgedu.employees;EMP_ID EMP_NAME EMP_SALARY EMP_SSN EMP_EMAIL
———- ———— ———- ————- ——————————
1 风哥1号 10000 123-45-6789 zhangsan@fgedu.net.cn

学习交流加群风哥QQ113257174

4.3 对现有表的列进行加密

# 创建测试表
SQL> CREATE TABLE fgedu.customers (
2 customer_id NUMBER PRIMARY KEY,
3 customer_name VARCHAR2(100),
4 credit_card VARCHAR2(16),
5 address VARCHAR2(255)
6 );Table created.

# 插入测试数据
SQL> INSERT INTO fgedu.customers VALUES (1, ‘风哥2号’, ‘1234567890123456’, ‘北京市朝阳区’);1 row created.

# 对现有列进行加密
SQL> ALTER TABLE fgedu.customers MODIFY (credit_card ENCRYPT USING ‘AES256’);Table altered.

# 验证加密状态
SQL> SELECT owner, table_name, column_name, encryption_alg FROM dba_encrypted_columns WHERE owner = ‘FGEDU’;OWNER TABLE_NAME COLUMN_NAME ENCRYPTION_ALG
———- ————— ————— ——————–
FGEDU EMPLOYEES EMP_SALARY AES 192 bits key
FGEDU EMPLOYEES EMP_SSN AES 256 bits key
FGEDU CUSTOMERS CREDIT_CARD AES 256 bits key

SQL> SELECT * FROM fgedu.customers;CUSTOMER_ID CUSTOMER_NAME CREDIT_CARD ADDRESS
———– ————- —————- —————
1 风哥2号 1234567890123456 北京市朝阳区

SQL> SELECT * FROM v$encryption_wallet;WRL_TYPE WRL_PARAMETER STATUS
——— ———————————— ——————–
FILE /oracle/admin/fgedudb/wallet OPEN

风哥提示：列加密对应用程序透明，应用程序不需要修改代码即可访问加密数据。

4.5 备份包含加密列的表

# 使用RMAN备份包含加密列的表
rman target / << EOF BACKUP TABLE fgedu.employees, fgedu.customers;EOF # 验证备份 RMAN> LIST BACKUP OF TABLE fgedu.employees, fgedu.customers;List of Backup Sets
==================

BS Key Type LV Size Device Type Elapsed Time Completion Time
——- —- — ———- ———– ———— ——————–
1 Full 50M DISK 00:00:01 2026-04-01 11:00:00
BP Key: 1, Status: AVAILABLE, Compressed: NO, Tag: TAG20260401T110000
Piece Name: /oracle/backup/rman/backup_set_1_1.bkp
List of Tables in backup set 1
Schema Name: FGEDU
Table Name: EMPLOYEES
Schema Name: FGEDU
Table Name: CUSTOMERS

# 确保钱包处于打开状态
SQL> SELECT * FROM v$encryption_wallet;WRL_TYPE WRL_PARAMETER STATUS
——— ———————————— ——————–
FILE /oracle/admin/fgedudb/wallet OPEN

# 删除测试表
SQL> DROP TABLE fgedu.customers;Table dropped.

# 使用RMAN恢复表
rman target / << EOF RESTORE TABLE fgedu.customers FROM TAG 'TAG20260401T110000';EOF # 验证恢复 SQL> SELECT * FROM fgedu.customers;CUSTOMER_ID CUSTOMER_NAME CREDIT_CARD ADDRESS
———– ————- —————- —————
1 风哥2号 1234567890123456 北京市朝阳区

更多学习教程公众号风哥教程itpux_com

Part05-风哥经验总结与分享

5.1 TDE列加密最佳实践

• 只加密真正敏感的列，避免过度加密
• 使用AES-256加密算法获得最高安全性
• 对不经常查询的敏感列使用列加密
• 避免在加密列上创建过多索引
• 定期备份TDE钱包，确保在数据恢复时能够访问加密数据

5.2 常见问题与解决方案

• 钱包关闭时无法访问加密列：确保钱包处于打开状态，或配置自动登录钱包
• 加密列查询性能下降：考虑使用表空间加密，或优化查询语句
• 加密列上的索引效率低：减少加密列上的索引数量，或使用函数索引
• 加密列迁移困难：使用数据泵导出导入，确保钱包处于打开状态

5.3 风哥建议

在生产环境中实施TDE列加密时，建议：

• 先在测试环境验证加密性能影响
• 对多个敏感列的表，考虑使用表空间加密
• 制定详细的加密实施计划，包括时间安排和回滚方案
• 定期审计加密列的使用情况
• 将TDE与其他安全措施（如VPD、审计）结合使用

from oracle:www.itpux.com