如果您有對敏感性資料進行管控和脫敏的需求,可以使用Data Management的Sensitive Data Discovery and Protection功能對資料庫進行掃描,識別、脫敏和管理敏感性資料。
背景資訊
通過Sensitive Data Discovery and Protection功能,可協助企業及時有效地發現與識別敏感性資料資產,避免敏感性資料濫用,有效保護企業的敏感性資料資產,防止資料泄露造成企業經營資損或者罰款。Sensitive Data Discovery and Protection結構圖如下圖所示:
支援的資料庫
關係型資料庫:
MySQL系列:RDS MySQL、PolarDB MySQL版、其他來源MySQL
SQL Server系列:RDS SQL Server、其他來源SQL Server
PostgreSQL系列:RDS PostgreSQL、PolarDB PostgreSQL版、其他來源PostgreSQL
MariaDB系列:RDS MariaDB、其他來源MariaDB
PolarDB PostgreSQL版(相容Oracle)
PolarDB分布式版
OceanBase
Oracle
DB2
達夢資料庫
Lindorm:Lindorm_CQL、Lindorm_SQL
OpenGauss
資料倉儲:
AnalyticDB for MySQL
AnalyticDB for PostgreSQL
DLA(Data Lake Analytics)
ClickHouse
MaxCompute
Hologres
Hive
注意事項
Sensitive Data Discovery and Protection功能僅對在DMS管理的資料庫生效,對應用程式介面等其他端不生效。
使用Sensitive Data Discovery and Protection功能不影響來源資料庫的資料。例如,對在DMS管理的RDS MySQL資料庫資料進行脫敏,脫敏效果僅在DMS可見,不影響您的來源資料庫資料。
功能特性
提供敏感性資料資產大盤,解決企業敏感性資料分布的統一納管問題。
資料自動化掃描。
自訂資料掃描觸發周期。
自動識別企業敏感性資料並對敏感性資料進行分類分級,解決企業資產中的敏感性資料及時發現、有效管理的問題。
內建和自訂分類分級模板,完善業務精細化分類管理模型,可以使用最小授權原則管理敏感性資料。
敏感性資料脫敏管理。
通過內建和自訂的方式提供靈活的脫敏演算法管理,實現不同情境、不同欄位的差異化脫敏,解決最細粒度授權、最小範圍敏感性資料接觸問題。
提供脫敏規則、識別規則的測試環境。
管理員和應用對脫敏資料地訪問。
對敏感性資料進行使用監控、異常審計與預警,解決敏感性資料地異常使用與資料泄露的溯源問題。
名詞解釋
安全層級:根據儲存業務的資料性質差異,部分欄位如手機號碼、社會安全號碼碼等屬于敏感資料,常規查詢資料時此類欄位的值不應展現。根據資料的敏感程度,將資料分為3個安全層級:
低敏感:對應DMS的原分類為內部。低敏感層級的欄位值會以明文展示。安全協同管控模式的資料預設為低敏感。
中敏感:對應DMS的原分類為敏感。中敏感等級的欄位值會在脫敏後進行展示。
高敏感:對應DMS的原分類為機密,敏感程度高於中敏感。高敏感層級的欄位值會在脫敏後進行展示。
說明設定安全層級後,對使用資料的影響:
SQL Console中查詢資料時,對無許可權的中敏感、高敏感欄位顯示為星號(*)或者按自訂的方式顯示。
查詢、匯出、變更資料時,需要單獨申請中敏感、高敏感欄位的許可權。
匯出、變更資料時,如果資料涉及中敏感、高敏感欄位,DBA、管理員可設定不同的審批次程序。
識別規則:包含系統內建的行業、法案等識別規則,同時支援使用者按需自訂基於中繼資料和資料內容的識別規則。
資料分類:根據各類法案、法規進行資料分類,同時支援使用者新增資料分類。
一級分類:例如個人資訊、公司資訊、位置資訊等。
二級分類:例如手機號、郵箱、銀行卡等。
脫敏演算法:目前支援的脫敏演算法為雜湊、遮掩、替換、變換和加密,使用者可基於內建脫敏演算法靈活配置新的脫敏規則。
脫敏策略:在為選定的敏感欄位配置脫敏規則後形成一個脫敏策略。