去年12月，Oracle推出了Oracle Data Safe云服务，并支持ADW及Oracle Database Cloud Service。Oracle Data Safe的推出，大大简化了DBA的数据库安全方面的工作，可以轻松地对数据库进行风险评估，找出当前数据库存在的风险，并能够按照国际标准对数据库中的数据进行敏感性检查，在报告中可以提供该数据库是否满足特定的安全要求，这一点对云端数据库特别有用，比如有些规定要求不能将客户的隐私数据运行在公网上，通过Oracle Data Safe可以轻松地识别这些数据，并且可以通过Data Safe内建的功能丰富的数据遮蔽工具，将这些数据进行脱敏。这么好用的数据安全工具如果只能针对ADW或者Oracle Database Cloud Service使用，真的有些可惜，如果能使用在本地数据库，或者用户在Oracle Cloud infrastructure（OCI）计算服务上创建的数据库就好了。Oracle经过对Data Safe的升级，目前已经支持对于本地运行的Oracle数据库以及OCI compute上运行的Oracle Database进行管理。

今天我们就为大家介绍如何使用Data Safe对本地的数据库进行管理。

我们今天使用的环境如下：

• Oracle Data Safe

• 本地数据库：Oracle Database 19c（19.3） on Linux X86

1、为了能让Data Safe能够访问运行在您本地的数据库，首先我们要确认VCN能够与您本地的网络进行通讯。首先，我们登录Oracle Cloud并来到下图所示的网络配置。

找到我们已经创建好的VCN，如下图所示，我们找到一个叫做wx的VCN，接下来我们点击下图中红色的链接查看这个VCN的配置情况。

我们看到这个VCN有两个subnet，我们今天要配置的是private subnet，如下图所示，我们点击下图中红色框所示的链接，对private subnet进行配置。

我们要对这个subnet的安全列表进行配置，点击下图中红色框所示的链接进行配置。确保ingress和Egress中开放了TCP端口，如果您要监控的本地数据库端口为1521，那么只开放1521端口即可，在下面的例子当中，将所有端口都开放了，在生产环境中，请不要这样做。

接下来回到VCN的页面，我们要创建一个网络安全组。在今天的例子当中，给这个安全组起一个名字叫做nsg。

通过点击“Add rule”按钮，为这个安全组添加两条安全规则，如下图所示。确保您的本地网络可以通过TCP协议与Oracle Cloud进行通讯，在今天的例子当中，我们开放了所有的端口，您可以根据自己的需要只开放1521端口。

2、为了让Oracle Data Safe能够访问您本地的数据库，我们需要在Data Safe当中创建一个private endpoints。首先通过左上角的主菜单，来到Data Safe，您可以在下图中，红色框所示的位置，找到创建private endpoints的链接。

在创建private endpoints的时候，选择上一步已经检查过的VCN，比如我们今天使用的VCN叫做wx，然后选择subnet，我们在上一步对private subnet做了设定，这里我们选择之前配置过的private subnet，然后选择network security group，我们在之前创建的network security group的名字叫做nsg，最后点击创建按钮即可。

3、将本地数据库注册到Oracle Data Safe当中

通过观察，大家发现在Target Type当中多了Oracle On-Premises Database和Oracle Database on Compute选项，目前选择这两个项目，下方的连接信息是一样的。今天我们要连接运行在我本地的数据库，所以选择Oracle On-Premises Database。

为了能让Oracle Data Safe操作本地数据库，大家在上面的图中，看到Download Privilege Script链接，大家将将这个脚本下载下来，在本地数据库中，使用管理员身份执行，比如今天我们创建了一个普通用户叫做henry，然后在执行脚本的时候，按照提示对这个用户进行授权。

需要注意的是，当被问到用户名的时候，该用户名是来自DBA_USERS的，请将用户名用大写表示，否则会遇到“用户不存在”的报错讯息。

按照要求填写表格即可，请再次注意：用户名要大写。

注册成功之后，您将看到如下界面。

接下来您就可以按照我们在今年2月份发布的文章Oracle Database 20c与DATA SAFE中的介绍，对您的数据库进行安全评估等操作了。