全部產品
Search
文件中心

Data Management:敏感性資料管理

更新時間:Dec 05, 2024

如果您有對敏感性資料進行管控和脫敏的需求,可以使用Data Management的Sensitive Data Discovery and Protection功能對資料庫進行掃描,識別、脫敏和管理敏感性資料。

背景資訊

通過Sensitive Data Discovery and Protection功能,可協助企業及時有效地發現與識別敏感性資料資產,避免敏感性資料濫用,有效保護企業的敏感性資料資產,防止資料泄露造成企業經營資損或者罰款。Sensitive Data Discovery and Protection結構圖如下圖所示:

結構圖

支援的資料庫

  • 關係型資料庫:

    • MySQL系列:RDS MySQLPolarDB MySQL版、其他來源MySQL

    • SQL Server系列:RDS SQL Server、其他來源SQL Server

    • PostgreSQL系列:RDS PostgreSQLPolarDB PostgreSQL版、其他來源PostgreSQL

    • MariaDB系列:RDS MariaDB、其他來源MariaDB

    • PolarDB PostgreSQL版(相容Oracle)

    • PolarDB分布式版

    • OceanBase

    • Oracle

    • DB2

    • 達夢資料庫

    • Lindorm:Lindorm_CQL、Lindorm_SQL

    • OpenGauss

  • 資料倉儲:

    • AnalyticDB for MySQL

    • AnalyticDB for PostgreSQL

    • DLA(Data Lake Analytics)

    • ClickHouse

    • MaxCompute

    • Hologres

    • Hive

注意事項

  • Sensitive Data Discovery and Protection功能僅對在DMS管理的資料庫生效,對應用程式介面等其他端不生效。

  • 使用Sensitive Data Discovery and Protection功能不影響來源資料庫的資料。例如,對在DMS管理的RDS MySQL資料庫資料進行脫敏,脫敏效果僅在DMS可見,不影響您的來源資料庫資料。

功能特性

  • 提供敏感性資料資產大盤,解決企業敏感性資料分布的統一納管問題。

  • 資料自動化掃描。

    • 自訂資料掃描觸發周期。

    • 自動識別企業敏感性資料並對敏感性資料進行分類分級,解決企業資產中的敏感性資料及時發現、有效管理的問題。

    • 內建和自訂分類分級模板,完善業務精細化分類管理模型,可以使用最小授權原則管理敏感性資料。

  • 敏感性資料脫敏管理。

    • 通過內建和自訂的方式提供靈活的脫敏演算法管理,實現不同情境、不同欄位的差異化脫敏,解決最細粒度授權、最小範圍敏感性資料接觸問題。

    • 提供脫敏規則、識別規則的測試環境。

    • 管理員和應用對脫敏資料地訪問。

  • 對敏感性資料進行使用監控、異常審計與預警,解決敏感性資料地異常使用與資料泄露的溯源問題。

名詞解釋

  • 安全層級:根據儲存業務的資料性質差異,部分欄位如手機號碼、社會安全號碼碼等屬于敏感資料,常規查詢資料時此類欄位的值不應展現。根據資料的敏感程度,將資料分為3個安全層級:

    • 低敏感:對應DMS的原分類為內部。低敏感層級的欄位值會以明文展示。安全協同管控模式的資料預設為低敏感。

    • 中敏感:對應DMS的原分類為敏感。中敏感等級的欄位值會在脫敏後進行展示。

    • 高敏感:對應DMS的原分類為機密,敏感程度高於中敏感。高敏感層級的欄位值會在脫敏後進行展示。

    說明

    設定安全層級後,對使用資料的影響:

    • SQL Console中查詢資料時,對無許可權的中敏感、高敏感欄位顯示為星號(*)或者按自訂的方式顯示。

    • 查詢、匯出、變更資料時,需要單獨申請中敏感、高敏感欄位的許可權。

    • 匯出、變更資料時,如果資料涉及中敏感、高敏感欄位,DBA、管理員可設定不同的審批次程序。

  • 識別規則:包含系統內建的行業、法案等識別規則,同時支援使用者按需自訂基於中繼資料和資料內容的識別規則。

  • 資料分類:根據各類法案、法規進行資料分類,同時支援使用者新增資料分類。

    • 一級分類:例如個人資訊、公司資訊、位置資訊等。

    • 二級分類:例如手機號、郵箱、銀行卡等。

  • 脫敏演算法:目前支援的脫敏演算法為雜湊、遮掩、替換、變換和加密,使用者可基於內建脫敏演算法靈活配置新的脫敏規則。

  • 脫敏策略:在為選定的敏感欄位配置脫敏規則後形成一個脫敏策略。

使用流程

  1. 開通Sensitive Data Discovery and Protection

  2. 執行個體綁定分類分級模板

  3. 配置掃描任務

  4. 查看掃描到的敏感欄位

  5. 管理敏感性資料

  6. 敏感性資料審計