RMAN 安全与加密,核心是对备份集 / 镜像副本在生成时即加密,防止备份文件在传输、异地存储或云存储中被窃取、篡改或勒索软件攻击;恢复时必须持有密钥 / 密码 / 钱包才能解密,全程不落明文。
1、做 RMAN 加密原因
核心风险
- 备份文件丢失 / 被盗:磁带、磁盘、云对象存储被非法获取
- 合规要求:等保、金融 / 医疗 / 政务数据必须加密存储
- 内部泄露:运维人员越权访问备份
- 勒索攻击:加密备份可防止攻击者直接篡改 / 勒索数据
能力边界
- RMAN 加密只加密备份数据,不加密原库数据(原库用 TDE)
- 加密发生在备份 I/O 流中,边备份边加密,无额外落地明文
- 支持:备份集(BackupSet)、镜像副本(ImageCopy)、归档日志备份
2、RMAN 加密的三种模式
透明加密(Transparent Mode,推荐生产)
- 依赖 Oracle Wallet(密钥仓库),TDE 主密钥存在钱包里
- 特点:配置后自动加密 / 解密,无需手动输密码;钱包不对外,安全性最高
- 前提:企业版 + 高级安全选项(ASO)+ 配置并打开 Wallet
口令加密(Password Mode,临时 / 异地)
- 仅靠口令短语加密,不依赖钱包
- 特点:简单、无需 Wallet;但每次备份 / 恢复必须输密码,密码泄露即失效
- 适用:临时备份、异地恢复、无 TDE 环境
双模式(Dual Mode,灵活)
- 同时支持钱包自动解密 + 口令解密
- 特点:本地用钱包自动解密,异地用口令解密;兼顾安全与灵活
3、加密算法与许可
支持算法(AES 系列)
查看支持算法:SELECT * FROM V$RMAN_ENCRYPTION_ALGORITHMS;
- AES128(默认):平衡安全与性能
- AES192:更高安全
- AES256:最高安全(23ai 默认 AES-256-XTS)
许可要求
- 企业版:透明加密需 Advanced Security Option(ASO)
- 云备份服务:RMAN 加密免费,无需 ASO
- 标准版:仅支持 口令加密,无透明加密
4、安全最佳实践
密钥管理
- 钱包文件权限:600,属主 oracle,禁止其他用户访问
- 钱包定期轮换:每 90 天更新 TDE 主密钥
- 钱包离线存储:生产库不长期在线,备份后离线保存
备份策略
- 核心库:透明加密 + 压缩(LOW/MEDIUM)+ 备库备份
- 异地 / 云备份:双模式加密,本地钱包、异地口令
- 禁止:明文备份、弱口令(长度≥12,含大小写 / 数字 / 符号)
常见错误与规避
- ORA-19924:Wallet 未打开 → 备份前执行
ALTER SYSTEM SET ENCRYPTION WALLET OPEN... - ORA-19913:解密失败 → 密码 / 算法不匹配、钱包不一致
- 备份未加密:
SET ENCRYPTION必须在BACKUP前执行
实例:备份文件泄露事件后的安全加固
**S --- Situation(场景):**某企业备份服务器被入侵,攻击者获取了多个 RMAN 备份集文件。由于备份未加密,攻击者可以直接读取数据库内容,导致数据泄露。
**T --- Task(任务):**在不影响备份恢复效率的前提下,对所有备份启用加密。
A --- Action(行动):
1、创建 Oracle Wallet 并配置自动登录:
ADMINISTER KEY MANAGEMENT CREATE KEYSTORE IDENTIFIED BY "WalletPass123!";
ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY "WalletPass123!" WITH BACKUP;
2、启用全库加密:
CONFIGURE ENCRYPTION FOR DATABASE ON;
CONFIGURE ENCRYPTION ALGORITHM 'AES256';
3、验证加密生效:
BACKUP VALIDATE DATABASE; -- 确认加密备份可正常恢复
4、将 Wallet 文件存储在独立于备份的安全位置。
**R --- Result(结果):**所有新备份自动使用 AES-256 加密。加密对备份性能影响约 5-10%,可接受。后续即使备份文件泄露,也无法在没有 Wallet 密码的情况下解密。