敏感數據保護功能提供了哈希、遮掩、替換、變換、加密五類脫敏算法,您可以基于某個內置的脫敏算法自定義不同的脫敏規則,從而形成靈活、多樣的脫敏策略。敏感數據保護功能中內置了一個全遮掩的脫敏規則,如果您需要其他的脫敏方式,可以參考本文新增或調整脫敏規則。
前提條件
您的系統角色為管理員、DBA和安全管理員。查看操作,請參見查看我的系統角色。
注意事項
對于已開啟安全托管的實例,在字段配置脫敏算法后,您需要申請半脫敏權限,才可以看到使用脫敏算法后的數據。如果您沒有該敏感字段的權限,則只能看到全脫敏的數據。申請半脫敏權限的操作,請參見管理訪問控制權限。
新增脫敏算法后,您需要將目標敏感字段的脫敏算法調整為新算法,新算法才可生效。
新增脫敏算法
登錄數據管理DMS 5.0。
單擊控制臺左上角的
圖標,選擇。說明若您使用的是非極簡模式的控制臺,在頂部菜單欄中,選擇。
選擇脫敏算法頁簽,單擊新增脫敏算法。
在新增算法面板中,選擇并配置一種脫敏算法。
系統內置的5種脫敏算法:
算法類型
算法名稱
說明
哈希
MD5
一種被廣泛使用的密碼散列函數,可以產生出一個128位(16字節)的散列值。
SHA1
一種密碼散列數,可以生成一個被稱為消息摘要的160位(20字節)散列值。
SHA256
使用的哈希值長度是256位。
HMAC
基于Hash函數和密鑰進行消息認證。
遮掩
全遮掩
對整個數據進行脫敏。
例如,對手機號碼1381111****進行全遮掩,設置遮掩字符串為***********,則脫敏結果為***********。
固定位置遮掩
對字段的固定位置進行脫敏處理。
例如,對IP地址192.168.255.254的第2段號碼進行遮掩,設置遮掩字符串為***,遮掩位置為
(5,7),則脫敏結果為192.***.255.254。固定字符遮掩
對字段的固定字符進行脫敏處理。
例如,對郵箱username@example.com中的example進行遮掩,設置遮掩字符串為*******,待遮掩字符串為example,則脫敏結果為username@*******.com。
替換
映射替換
將目標字符串替換為設置的字符串。
說明多個字符串之間用半角逗號(,)分開。
目標字符串中的字符串數量需要與替換字符串中的字符串數量相等。
例如,將字符串abcd中的ab替換為mn,設置目標字符串為ab,替換字符串為mn,則脫敏結果為mncd。
隨機替換
將字段的固定位置,替換為設置的隨機字符。
例如,對郵箱username@example.com中的username進行隨機替換,設置替換位置為
(1,8),隨機字符為abc,其中的一個脫敏結果為acbbbbac@example.com。說明如果隨機字符的個數大等于2,脫敏結果不唯一,是隨機的。
變換
數字取整
保留小數點前第幾位。
例如,原始數據為1234.12,設置保留小數點前第2位,則脫敏結果為1230。
日期取整
日期取整級別。
例如,原始數據為2021-10-14 15:15:30,設置日期取整級別為hour,則脫敏結果為2021-10-14 15:00:00。
字符位移
字符串循環左移幾位。
例如,原始數據為345678,設置字符串左移位數為2,則循環左移后的脫敏結果為567834。
加密
DES
采用DES算法進行加密,密鑰長度為8個字符,脫敏結果為16個字符。
AES
一種比DES安全的加密方式,密鑰長度為16個字符,脫敏結果為32個字符。
AES加密-增強型
AES加密方式,不限制密鑰長度,脫敏結果為32個字符。
解密
AES解密
通過AES加密后,使用AES解密進行解密。
AES解密-增強型
通過AES加密-增強型加密后,使用AES解密-增強型進行解密。
模擬測試。
輸入原始數據。
單擊測試。
查看脫敏結果是否符合預期。
例如,脫敏算法為變換,脫敏規則為字符串左移2位,原始數據為345678,字符串循環左移2位后的結果為567834,查看脫敏結果是否符合預期。
單擊提交。
說明敏感數據默認的脫敏規則為系統內置的DEFAULT,如果您需要將新增的脫敏規則應用于敏感數據,請參見管理敏感數據。
新增脫敏算法后,您需要在敏感數據資產中將目標字段的脫敏算法調整為新算法,以使該算法生效。
調整字段的脫敏算法
登錄數據管理DMS 5.0。
單擊控制臺左上角的
圖標,選擇。說明若您使用的是非極簡模式的控制臺,在頂部菜單欄中,選擇。
在頁面下方的實例列表區域,找到并單擊目標實例右側的敏感數據列表。
在字段管控頁簽下,選中需要調整脫敏算法的字段。
單擊頁面左上角的調整脫敏算法。
在請選擇脫敏算法對話框中,選擇自定義的脫敏算法并單擊保存。關于自定義脫敏算法,請參見管理脫敏算法。
說明系統默認的脫敏算法為DEFAULT,如果您需要將脫敏算法重置為DEFAULT,在右側操作列中,單擊重置脫敏算法。