本文介绍如何修改敏感列变更工单的审批模板、新增规则的操作步骤。
注意事项
当审批规则校验中未配置审批流程时,系统会采用此默认的审批模板。您可以通过切换审批模板来更改默认审批模板的审批流程。具体操作,请参见修改默认审批模板。
基础配置项
检测点
当一个敏感列变更工单被提交时,系统会校验该工单是否符合检测点的相关规则。审批规则校验:系统会根据审批规则校验中定义的规则对敏感列变更工单作出相应处理。您可以使用安全规则模板库中提供的规则,也可以自定义新增规则。详情请参见新增规则。
因子和动作
- 因子
因子是系统内置变量,可用来获取安全规则校验的上下文信息,如获取SQL类型、影响行数等。因子全部以
@fac.
开头,后接因子名称。每个模块的不同检测点均提供不同因子,提供因子的说明,请参见下表:因子名 说明 @fac.column_level_change_type 敏感列级别变更类型,一共四种类型: - upper:敏感级别提升,包含如下三种提升情况:
- 内部 > 敏感
- 内部 > 机密
- 敏感 > 机密
- sensitive_to_inner:敏感降为内部。
- confidential_to_sensitive:机密降为敏感。
- confidential_to_inner:机密降为内部。
- upper:敏感级别提升,包含如下三种提升情况:
- 动作:
动作是满足
if
条件之后系统执行的行为,比如:禁止提交工单、选择工作流、允许执行、拒绝执行等,这些动作表达了安全规则的主要目的。动作全部以@act.
开头,后接动作名称。每个模块的不同检测点均提供不同动作,库表同步中提供动作的说明请参见下表:动作名 说明 @act.forbid_submit_order 禁止提交工单。用法: @act.forbid_submit_order '禁止提交的原因'
。@act.do_not_approve 指定审批模板ID。详情请参见设置审批流程。
模板库
安全规则提供了大量的规则模板,可直接选择启用,也可以在模板基础上按照实际需求自行调整再启用。敏感列变更中审批规则校验模板提供的规则名称如下:
- 设置敏感列升级免审批
- 设置敏感列级别从『敏感降为内部』的审批流程
- 设置敏感列级别从『机密降为敏感』的审批流程
- 设置敏感列级别从『机密降为内部』的审批流程