数据导出

数据导出安全规则可以对数据导出的工单进行库表权限校验、敏感列权限校验、行权限校验等一系列检查,确保数据的安全。

前提条件

系统角色为管理员DBA安全管理员的其中一个或多个。查看用户角色,请参见查看我的系统角色

注意事项

仅有实例的管控模式为安全协同,才可以设置审批流程。具体操作,请参见修改默认审批模板

基础配置项

当审批规则校验中未配置不同风险对应的审批流程时,系统会采用此默认的审批模板。您可以通过切换审批模板来更改默认审批模板的审批流程。具体操作,请参见修改默认审批模板

检测点

  • 审批规则校验:您可以自定义安全规则来实现复杂的数据导出审批流程,比如:导出超过多少行数据走一个审批流程,其他情况走另外一个审批流程。您也可以直接使用基础配置项中的数据导出默认审批模板。具体操作,请参见新增规则

  • 预检查校验:您可以自定义安全规则来决定是否进行库表权限、以及敏感列权限校验。您也可以直接使用基础配置项中的数据导出默认审批模板。具体操作,请参见新增规则

因子和动作

  • 因子

    因子是系统内置变量,可用来获取安全规则校验的上下文信息,如获取SQL类型、影响行数等。因子全部以@fac.开头,后接因子名称。每个模块的不同检测点均提供不同因子,数据导出中提供因子的说明请参见下表:

    @fac.env_type

    环境类型,值为环境标识,如DEVPRODUCT。更多环境类型,请参见实例环境类型

    @fac.is_ignore_export_rows_check

    数据导出是否勾选忽略校验影响行数

    @fac.export_rows

    数据导出影响行数。

    @fac.include_sec_columns

    数据导出是否包含敏感字段。

    @fac.sec_columns_list

    数据导出包含的敏感字段,格式为:表名.字段名,[表名.字段名, ...]

    @fac.user_is_admin

    提交者是否为管理员。

    @fac.user_is_dba

    提交者是否为DBA。

    @fac.user_is_inst_dba

    提交者是否为实例DBA。

    @fac.user_is_sec_admin

    提交者是否为安全管理员。

  • 动作

    动作是满足if条件之后系统执行的行为,比如:禁止提交工单、选择工作流、允许执行、拒绝执行等,这些动作表达了安全规则的主要目的。动作全部以@act.开头,后接动作名称。每个模块的不同检测点均提供不同动作,数据导出中提供动作的说明请参见下表:

    @act.do_not_approve

    设置审批流程为免审批。

    @act.choose_approve_template

    设置审批流程,选择特定的审批模板。

    @act.choose_approve_template_with_reason

    设置审批流程,选择特定的审批模板并备注原因。

    @act.forbid_submit_order

    禁止提交工单。

    @act.enable_check_permission

    校验数据导出工单提交人的库表权限。

    @act.disable_check_permission

    不校验数据导出工单提交人的库表权限。

    @act.enable_check_sec_column

    校验数据导出工单提交人的敏感字段权限。

    @act.disable_check_sec_column

    不校验数据导出工单提交人的敏感字段权限。

修改默认审批模板

  1. 登录数据管理DMS 5.0
  2. 单击控制台左上角的2023-01-28_15-57-17.png图标,选择全部功能 > 安全与规范(DBS) > 安全规则

    说明

    若您使用的是非极简模式的控制台,在顶部菜单栏中,选择安全与规范(DBS) > 安全规则

  3. 单击目标规则集行操作列下的编辑

  4. 详情页左侧的导航栏中,单击数据导出

  5. 检测点选择基础配置项

  6. 单击数据导出默认审批模板规则名行操作列下的编辑

  7. 编辑配置项对话框中,单击切换审批模板

  8. 单击目标模板名称操作列下的选择

    说明

    您也可以单击重置为免审批,工单将跳过审批环节。

  9. 单击提交

新增规则

  1. 登录数据管理DMS 5.0
  2. 单击控制台左上角的2023-01-28_15-57-17.png图标,选择全部功能 > 安全与规范(DBS) > 安全规则

    说明

    若您使用的是非极简模式的控制台,在顶部菜单栏中,选择安全与规范(DBS) > 安全规则

  3. 单击目标规则集行操作列中的编辑

  4. 详情页左侧的导航栏中,单击数据导出

  5. 检测点选择基础配置项

  6. 单击新增规则

  7. 新增规则 - 数据导出对话框中,配置如下信息:

    检测点

    是否必填

    说明

    检测点

    选择需要增加规则的检测点。数据导出中提供了2个检测点:

    • 预检查校验

    • 审批规则校验

    模板库

    安全规则模板库中提供了大量规则模板,选择检测点后,您可以从模板库中按需加载规则模板。提供的模板如下:

    • 预检查校验:提供了控制库表权限校验、控制敏感列权限校验、控制行权限校验模板。

    • 审批规则校验:提供了免批、默认审批定义、设置涉及高敏感字段导出的审批流程模板。

    规则名称

    自定义规则名称。

    说明

    若您在模板库中选择了规则模板,此处会自动填充。

    规则DSL

    输入规则DSL。关于DSL语法,请参见安全规则DSL语法

    • 输入规则DSL时,您可以参考对话框右侧的因子、动作、函数和操作符说明列表。

    • 若您加载了规则模板,您可以在规则模板的基础上修改规则DSL。

  8. 单击提交

    说明

    新增的规则默认为已禁用状态,您可在当前页面选择对应的检测点,找到新增的规则名,单击操作列下的启用,再单击确认。至此,新增的规则已被启用。