背景信息

通過(guò)敏感數(shù)據(jù)保護(hù)功能，可幫助企業(yè)及時(shí)有效地發(fā)現(xiàn)與識(shí)別敏感數(shù)據(jù)資產(chǎn)，避免敏感數(shù)據(jù)濫用，有效保護(hù)企業(yè)的敏感數(shù)據(jù)資產(chǎn)，防止數(shù)據(jù)泄露造成企業(yè)經(jīng)營(yíng)資損或者罰款。敏感數(shù)據(jù)保護(hù)結(jié)構(gòu)圖如下圖所示：

支持的數(shù)據(jù)庫(kù)

• 關(guān)系型數(shù)據(jù)庫(kù)：

  • MySQL系列：RDS MySQL、PolarDB MySQL版、其他來(lái)源MySQL

  • SQL Server系列：RDS SQL Server、其他來(lái)源SQL Server

  • PostgreSQL系列：RDS PostgreSQL、PolarDB PostgreSQL版、其他來(lái)源PostgreSQL

  • MariaDB系列：RDS MariaDB、其他來(lái)源MariaDB

  • PolarDB PostgreSQL版（兼容Oracle）

  • PolarDB分布式版

  • OceanBase

  • Oracle

  • DB2

  • 達(dá)夢(mèng)數(shù)據(jù)庫(kù)

  • Lindorm：Lindorm_CQL、Lindorm_SQL

  • OpenGauss

• 數(shù)據(jù)倉(cāng)庫(kù)：

  • AnalyticDB for MySQL

  • AnalyticDB for PostgreSQL

  • DLA（Data Lake Analytics）

  • ClickHouse

  • MaxCompute

  • Hologres

  • Hive

注意事項(xiàng)

• 敏感數(shù)據(jù)保護(hù)功能僅對(duì)在DMS管理的數(shù)據(jù)庫(kù)生效，對(duì)應(yīng)用程序接口等其他端不生效。

• 使用敏感數(shù)據(jù)保護(hù)功能不影響源數(shù)據(jù)庫(kù)的數(shù)據(jù)。例如，對(duì)在DMS管理的RDS MySQL數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行脫敏，脫敏效果僅在DMS可見(jiàn)，不影響您的源數(shù)據(jù)庫(kù)數(shù)據(jù)。

功能特性

• 提供敏感數(shù)據(jù)資產(chǎn)大盤(pán)，解決企業(yè)敏感數(shù)據(jù)分布的統(tǒng)一納管問(wèn)題。

• 數(shù)據(jù)自動(dòng)化掃描。

  • 自定義數(shù)據(jù)掃描觸發(fā)周期。

  • 自動(dòng)識(shí)別企業(yè)敏感數(shù)據(jù)并對(duì)敏感數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)，解決企業(yè)資產(chǎn)中的敏感數(shù)據(jù)及時(shí)發(fā)現(xiàn)、有效管理的問(wèn)題。

  • 內(nèi)置和自定義分類(lèi)分級(jí)模板，完善業(yè)務(wù)精細(xì)化分類(lèi)管理模型，可以使用最小授權(quán)原則管理敏感數(shù)據(jù)。

• 敏感數(shù)據(jù)脫敏管理。

  • 通過(guò)內(nèi)置和自定義的方式提供靈活的脫敏算法管理，實(shí)現(xiàn)不同場(chǎng)景、不同字段的差異化脫敏，解決最細(xì)粒度授權(quán)、最小范圍敏感數(shù)據(jù)接觸問(wèn)題。

  • 提供脫敏規(guī)則、識(shí)別規(guī)則的測(cè)試環(huán)境。

  • 管理人員和應(yīng)用對(duì)脫敏數(shù)據(jù)地訪問(wèn)。

• 對(duì)敏感數(shù)據(jù)進(jìn)行使用監(jiān)控、異常審計(jì)與預(yù)警，解決敏感數(shù)據(jù)地異常使用與數(shù)據(jù)泄露的溯源問(wèn)題。

名詞解釋

• 安全級(jí)別：根據(jù)存儲(chǔ)業(yè)務(wù)的數(shù)據(jù)性質(zhì)差異，部分字段如手機(jī)號(hào)碼、身份證號(hào)碼等屬于敏感數(shù)據(jù)，常規(guī)查詢數(shù)據(jù)時(shí)此類(lèi)字段的值不應(yīng)展現(xiàn)。根據(jù)數(shù)據(jù)的敏感程度，將數(shù)據(jù)分為3個(gè)安全級(jí)別：

  • 低敏感：對(duì)應(yīng)DMS的原分類(lèi)為內(nèi)部。低敏感級(jí)別的字段值會(huì)以明文展示。安全協(xié)同管控模式的數(shù)據(jù)默認(rèn)為低敏感。

  • 中敏感：對(duì)應(yīng)DMS的原分類(lèi)為敏感。中敏感等級(jí)的字段值會(huì)在脫敏后進(jìn)行展示。

  • 高敏感：對(duì)應(yīng)DMS的原分類(lèi)為機(jī)密，敏感程度高于中敏感。高敏感級(jí)別的字段值會(huì)在脫敏后進(jìn)行展示。

  說(shuō)明

  設(shè)置安全級(jí)別后，對(duì)使用數(shù)據(jù)的影響：

  • SQL Console中查詢數(shù)據(jù)時(shí)，對(duì)無(wú)權(quán)限的中敏感、高敏感字段顯示為星號(hào)（*）或者按自定義的方式顯示。

  • 查詢、導(dǎo)出、變更數(shù)據(jù)時(shí)，需要單獨(dú)申請(qǐng)中敏感、高敏感字段的權(quán)限。

  • 導(dǎo)出、變更數(shù)據(jù)時(shí)，如果數(shù)據(jù)涉及中敏感、高敏感字段，DBA、管理員可設(shè)置不同的審批流程。

• 識(shí)別規(guī)則：包含系統(tǒng)內(nèi)置的行業(yè)、法案等識(shí)別規(guī)則，同時(shí)支持用戶按需自定義基于元數(shù)據(jù)和數(shù)據(jù)內(nèi)容的識(shí)別規(guī)則。

• 數(shù)據(jù)分類(lèi)：根據(jù)各類(lèi)法案、法規(guī)進(jìn)行數(shù)據(jù)分類(lèi)，同時(shí)支持用戶新增數(shù)據(jù)分類(lèi)。

  • 一級(jí)分類(lèi)：例如個(gè)人信息、企業(yè)信息、位置信息等。

  • 二級(jí)分類(lèi)：例如手機(jī)號(hào)、郵箱、銀行卡等。

• 脫敏算法：目前支持的脫敏算法為哈希、遮掩、替換、變換和加密，用戶可基于內(nèi)置脫敏算法靈活配置新的脫敏規(guī)則。

• 脫敏策略：在為選定的敏感字段配置脫敏規(guī)則后形成一個(gè)脫敏策略。

使用流程

1. 開(kāi)通敏感數(shù)據(jù)保護(hù)

2. 實(shí)例綁定分類(lèi)分級(jí)模板

3. 配置掃描任務(wù)

4. 查看掃描到的敏感字段

5. 管理敏感數(shù)據(jù)

6. 敏感數(shù)據(jù)審計(jì)