Jonathan Intner是数据安全管理厂商Vormetric的解决方案架构师，他将在本月举行的Oracle用户组活动中进行主题演讲。TechTarget网站对Intner进行了采访，就密匙管理以及敏感数据等问题进行了深入的讨论。

什么是加密密匙管理?我们如何合理地进行这一工作?

Intner：密匙管理的定义就是对访问加密数据的密匙进行管理。它包含一些任务，比如密匙转换，合理密匙存储以便需要的时候进行检索。从本质上来将，最关键的就是确保这些密匙和加密数据根据需求进行匹配与分离。

想象这样一个情景，我服务的一个客户负责数据安全，他把密匙以文件的形式存储在同一个服务器上。顾问建议他在备份数据库的同时将这个文件也进行备份。这就好像是你把门锁上了，但是却把钥匙落在了门把手上。如果你将密匙与数据存储在一起，那么它们将有可能被同时访问，这是非常危险的。

他们能做的也许就是把密匙存放在同一个数据库服务器上，但是是在不同的目录中。密匙可以是手动进行备份的，同敏感数据的自动备份过程区分开来。

什么是敏感数据?它们是如何定义的?

Intner：我最开始是做DBA，在刚开始工作的时候我也没法区分什么是敏感数据什么是普通数据。所以我们就看到许多DBA想要保护敏感数据时，能做的就是把所有的数据都保护起来，这其实是行不通的。

一方面，敏感数据是从旁观者角度来说的，而数据的敏感程度取决于如果暴露的话，它对于你的业务将造成怎样的危害。另一方面是从法规条例来说的，一些违反法规的数据也可以视为是敏感数据。

在Oracle数据库中，这些敏感数据通常保存在哪里?

Intner：DBA需要考虑这个问题，敏感数据也许并不是直接存储在Oracle数据库当中的，而是在其他的地方。假定有一个日常报表会记录敏感数据的安全，当你使用ETL方法加载数据到数据库中时，敏感数据往往就会在磁盘上。而在正常情况下的检测问题的时候，敏感数据可能会最后在报警日志或者跟踪文件中，DBA会不容易察觉。

(责任编辑：闫小琪)