背景信息

通過敏感數(shù)據(jù)保護(hù)功能，可幫助企業(yè)及時有效地發(fā)現(xiàn)與識別敏感數(shù)據(jù)資產(chǎn)，避免敏感數(shù)據(jù)濫用，有效保護(hù)企業(yè)的敏感數(shù)據(jù)資產(chǎn)，防止數(shù)據(jù)泄露造成企業(yè)經(jīng)營資損或者罰款。敏感數(shù)據(jù)保護(hù)結(jié)構(gòu)圖如下圖所示：

支持的數(shù)據(jù)庫

• 關(guān)系型數(shù)據(jù)庫：

  • MySQL系列：RDS MySQL、PolarDB MySQL版、其他來源MySQL

  • SQL Server系列：RDS SQL Server、其他來源SQL Server

  • PostgreSQL系列：RDS PostgreSQL、PolarDB PostgreSQL版、其他來源PostgreSQL

  • MariaDB系列：RDS MariaDB、其他來源MariaDB

  • PolarDB PostgreSQL版（兼容Oracle）

  • PolarDB分布式版

  • OceanBase

  • Oracle

  • DB2

  • 達(dá)夢數(shù)據(jù)庫

  • Lindorm：Lindorm_CQL、Lindorm_SQL

  • OpenGauss

• 數(shù)據(jù)倉庫：

  • AnalyticDB for MySQL

  • AnalyticDB for PostgreSQL

  • DLA（Data Lake Analytics）

  • ClickHouse

  • MaxCompute

  • Hologres

  • Hive

注意事項

• 敏感數(shù)據(jù)保護(hù)功能僅對在DMS管理的數(shù)據(jù)庫生效，對應(yīng)用程序接口等其他端不生效。

• 使用敏感數(shù)據(jù)保護(hù)功能不影響源數(shù)據(jù)庫的數(shù)據(jù)。例如，對在DMS管理的RDS MySQL數(shù)據(jù)庫數(shù)據(jù)進(jìn)行脫敏，脫敏效果僅在DMS可見，不影響您的源數(shù)據(jù)庫數(shù)據(jù)。

功能特性

• 提供敏感數(shù)據(jù)資產(chǎn)大盤，解決企業(yè)敏感數(shù)據(jù)分布的統(tǒng)一納管問題。

• 數(shù)據(jù)自動化掃描。

  • 自定義數(shù)據(jù)掃描觸發(fā)周期。

  • 自動識別企業(yè)敏感數(shù)據(jù)并對敏感數(shù)據(jù)進(jìn)行分類分級，解決企業(yè)資產(chǎn)中的敏感數(shù)據(jù)及時發(fā)現(xiàn)、有效管理的問題。

  • 內(nèi)置和自定義分類分級模板，完善業(yè)務(wù)精細(xì)化分類管理模型，可以使用最小授權(quán)原則管理敏感數(shù)據(jù)。

• 敏感數(shù)據(jù)脫敏管理。

  • 通過內(nèi)置和自定義的方式提供靈活的脫敏算法管理，實現(xiàn)不同場景、不同字段的差異化脫敏，解決最細(xì)粒度授權(quán)、最小范圍敏感數(shù)據(jù)接觸問題。

  • 提供脫敏規(guī)則、識別規(guī)則的測試環(huán)境。

  • 管理人員和應(yīng)用對脫敏數(shù)據(jù)地訪問。

• 對敏感數(shù)據(jù)進(jìn)行使用監(jiān)控、異常審計與預(yù)警，解決敏感數(shù)據(jù)地異常使用與數(shù)據(jù)泄露的溯源問題。

名詞解釋

• 安全級別：根據(jù)存儲業(yè)務(wù)的數(shù)據(jù)性質(zhì)差異，部分字段如手機(jī)號碼、身份證號碼等屬于敏感數(shù)據(jù)，常規(guī)查詢數(shù)據(jù)時此類字段的值不應(yīng)展現(xiàn)。根據(jù)數(shù)據(jù)的敏感程度，將數(shù)據(jù)分為3個安全級別：

  • 低敏感：對應(yīng)DMS的原分類為內(nèi)部。低敏感級別的字段值會以明文展示。安全協(xié)同管控模式的數(shù)據(jù)默認(rèn)為低敏感。

  • 中敏感：對應(yīng)DMS的原分類為敏感。中敏感等級的字段值會在脫敏后進(jìn)行展示。

  • 高敏感：對應(yīng)DMS的原分類為機(jī)密，敏感程度高于中敏感。高敏感級別的字段值會在脫敏后進(jìn)行展示。

  說明

  設(shè)置安全級別后，對使用數(shù)據(jù)的影響：

  • SQL Console中查詢數(shù)據(jù)時，對無權(quán)限的中敏感、高敏感字段顯示為星號（*）或者按自定義的方式顯示。

  • 查詢、導(dǎo)出、變更數(shù)據(jù)時，需要單獨(dú)申請中敏感、高敏感字段的權(quán)限。

  • 導(dǎo)出、變更數(shù)據(jù)時，如果數(shù)據(jù)涉及中敏感、高敏感字段，DBA、管理員可設(shè)置不同的審批流程。

• 識別規(guī)則：包含系統(tǒng)內(nèi)置的行業(yè)、法案等識別規(guī)則，同時支持用戶按需自定義基于元數(shù)據(jù)和數(shù)據(jù)內(nèi)容的識別規(guī)則。

• 數(shù)據(jù)分類：根據(jù)各類法案、法規(guī)進(jìn)行數(shù)據(jù)分類，同時支持用戶新增數(shù)據(jù)分類。

  • 一級分類：例如個人信息、企業(yè)信息、位置信息等。

  • 二級分類：例如手機(jī)號、郵箱、銀行卡等。

• 脫敏算法：目前支持的脫敏算法為哈希、遮掩、替換、變換和加密，用戶可基于內(nèi)置脫敏算法靈活配置新的脫敏規(guī)則。

• 脫敏策略：在為選定的敏感字段配置脫敏規(guī)則后形成一個脫敏策略。

使用流程

1. 開通敏感數(shù)據(jù)保護(hù)

2. 實例綁定分類分級模板

3. 配置掃描任務(wù)

4. 查看掃描到的敏感字段

5. 管理敏感數(shù)據(jù)

6. 敏感數(shù)據(jù)審計