数据导出_安全规则_安全管理_数据管理 DMS

数据导出安全规则可以对数据导出的工单进行库表权限校验、敏感列权限校验、行权限校验等一系列的检查，确保数据的安全。

前提条件

账号角色为管理员、DBA、安全管理员。

数据导出默认审批模板：当审批规则校验中未配置不同风险对应的审批流程时，系统会采用此默认的审批模板。您可以通过切换审批模板来更改默认审批模板的审批流程。操作流程请参见修改默认审批模板操作步骤。

审批规则校验：您可以自定义安全规则来实现复杂的数据导出审批流程，比如：导出超过多少行数据走一个审批流程，其他情况走另外一个审批流程。您也可以直接使用基础配置项中的数据导出默认审批模板。操作流程请参见新增规则操作步骤。
预检查校验：您可以自定义安全规则来决定是否进行库表权限、以及敏感列权限校验。您也可以直接使用基础配置项中的数据导出默认审批模板。操作流程请参见新增规则操作步骤。

因子：因子是系统内置变量，可用来获取安全规则校验的上下文信息，如获取SQL类型、影响行数等。因子全部以@fac.开头，后接因子名称。每个模块的不同检测点均提供不同因子，数据导出中提供因子的说明请参见下表：

因子名	说明
@fac.env_type	环境类型，值为环境标识，如`DEV`、`PRODUCT`。更多环境类型请参见实例环境说明。
@fac.is_ignore_export_rows_check	数据导出是否勾选忽略校验影响行数。
@fac.export_rows	数据导出影响行数。
@fac.include_sec_columns	数据导出是否包含敏感字段。
@fac.sec_columns_list	数据导出包含的敏感字段，格式为：`表名.字段名,[表名.字段名, ...]`。
@fac.user_is_admin	提交者是否为管理员。
@fac.user_is_dba	提交者是否为DBA。
@fac.user_is_inst_dba	提交者是否为实例DBA。
@fac.user_is_sec_admin	提交者是否为安全管理员。

动作：动作是满足if条件之后系统执行的行为，比如：禁止提交工单、选择工作流、允许执行、拒绝执行等，这些动作表达了安全规则的主要目的。动作全部以@act.开头，后接动作名称。每个模块的不同检测点均提供不同动作，数据导出中提供动作的说明请参见下表：

动作名	说明
@act.do_not_approve	设置审批流程为免审批。
@act.choose_approve_template	设置审批流程，选择特定的审批模板。
@act.choose_approve_template_with_reason	设置审批流程，选择特定的审批模板并备注原因。
@act.forbid_submit_order	禁止提交工单。
@act.enable_check_permission	校验数据导出工单提交人的库表权限。
@act.disable_check_permission	不校验数据导出工单提交人的库表权限。
@act.enable_check_sec_column	校验数据导出工单提交人的敏感字段权限。
@act.disable_check_sec_column	不校验数据导出工单提交人的敏感字段权限。

安全规则提供了大量的规则模板可直接选择启用，也可以在模板基础上按照实际需求自行调整启用。数据导出中的模板如下所示：

在新增规则 - 数据导出对话框中，设置如下参数：

参数	说明
检测点（必选）	选择需要增加规则的检测点。数据导出中提供了2个检测点：预检查校验审批规则校验
模板库（可选）	安全规则模板库中提供了大量规则模板，选择了检测点以后，您可以从模板库中按需加载规则模板。可选的模板库列表请参见模板库。
规则名称（必填）	自定义规则名称。（如您在模板库中选择了规则模板，此处会自动填充。）
规则DSL（必填）	填写规则DSL，DSL语法请参见安全规则DSL语法。（如您在模板库中选择了规则模板，此处会自动填充。）