文档

管理动态脱敏规则

更新时间:

动态脱敏用于脱敏识别规则所覆盖的数据对象,且不改变真实数据。本文为您介绍如何新建及管理动态脱敏规则。

背景信息

动态脱敏规则适用于开发环境使用生产环境数据的场景。对满足条件的数据对象进行数据变形或加密实现敏感隐私数据的可靠保护。

新建动态脱敏规则

  1. 在Dataphin首页,单击资产

  2. 按照下图指引,进入新建动态脱敏规则对话框。

    脱敏规则页面,系统默认进入动态脱敏规则页签。image..png

    1. 新建动态脱敏规则对话框,配置参数。

      image..png

      参数

      描述

      规则名称

      输入动态脱敏规则名称。

      规则脱敏说明

      自定义规则脱敏备注信息。不超过200字符。

      数据分类

      选择数据分类。如需创建数据分类,您也可以单击无可用数据分类,去新建>按钮创建,详情请参见新建数据分类

      应用场景

      选择脱敏规则应用的场景。系统支持即席查询写开发表应用场景。

      脱敏方式

      脱敏方式包括底层脱敏展示脱敏

      • 底层脱敏:在数据被查询出来的时候就进行脱敏。SQL的处理过程中,都用脱敏后的结果处理,能对数据起到更好的保护效果。

      • 展示脱敏:在数据最后对外展示的时候进行脱敏。SQL处理过程中,都用原文进行处理,因此可以支持简单的where/join等条件,对业务使用更友好。需要注意的是,如果对敏感字段使用UDF处理(如字符串截取),会触发脱敏降级,该字段生成的字段会统一降级为***。

      脱敏算法

      带标记的算法为高级算法,数据所在项目安装安全函数后才能使用,否则会被降级为默认脱敏方式(md5)。脱敏算法包括遮盖掩码哈希脱敏其他

      详情请参见脱敏算法说明

      说明
      • 若数据所在项目配置了数据库内置函数,则所有引擎支持高级脱敏算法。

      • 若数据所在项目配置了安全策略算法包,则仅安装了安全策略算法包的项目支持高级脱敏算法。

      不同引擎支持的脱敏算法,详情请参见不同引擎支持的脱敏方式

      脱敏参数

      系统已内置了脱敏参数,但以下脱敏方式需要补充脱敏参数:

      • 哈希脱敏需要补充脱敏密钥:

        • 哈希脱敏-加盐SHA256

        • 哈希脱敏-加盐SHA384

        • 哈希脱敏-加盐MD5

        • 哈希脱敏-加盐SHA512

      • 遮盖掩码-关键字替换

        需要配置遮盖掩码的正则表达式和替换字符串参数。

      • 遮盖掩码-自定义掩码遮盖掩码-自定义掩码(自定义替换值

        需要配置遮盖掩码的开始和结束位置的参数。

      您可以在脱敏算法中测试算法具体的效果,请参见测试脱敏算法

      访问板块

      选择访问板块为全部或者枚举

      访问项目

      选择访问项目为全部或者枚举

      生效状态

      选择,开启或关闭该脱敏规则。

      脱敏算法说明

      分类

      算法名称

      算法描述

      遮盖(掩盖)

      中文名称

      对中文姓名中的姓氏进行脱敏,仅保留名字。

      中文名称(名字脱敏)

      对中文姓名中的名字进行脱敏,仅保留姓氏。

      移动电话

      对移动电话号码进行脱敏。

      移动电话(隐藏长度)

      对移动电话号码进行脱敏,会改变脱敏长度。

      固定电话

      对固定电话号码进行脱敏。

      固定电话(隐藏长度)

      对固定电话号码进行脱敏,会改变脱敏长度。

      证件号码

      对证件号码进行脱敏。

      证件号码(隐藏长度)

      证件号码进行脱敏,会改变脱敏长度。

      银行卡号

      对银行卡进行脱敏。

      银行卡号(隐藏长度)

      对银行卡进行脱敏,会改变脱敏长度。

      地址

      对地址进行脱敏。

      电子邮件

      对邮箱地址进行脱敏。

      脱敏示例:输入username@example.com,输出u***@example.com。

      淘宝昵称

      对淘宝昵称进行脱敏

      脱敏示例:输入淘宝达人001,输出淘***1。

      生日

      脱敏示例:输入2019-08-15,输出****-08-15。

      关键字替换

      自定义字符串脱敏位置,一共有三个参数,分别为待脱敏的完整字符串、脱敏部分的正则表达式、脱敏部分的替换字符串。例如输入string1, exp, string2,则会将string1字符串中符合exp表达式的部分替换为string2。

      自定义掩码

      自定义掩码字符串脱敏位置,参数成对输入,如输入n, m参数对,则对从n到m位置的字符串进行脱敏。

      自定义掩码 (自定义替换值)

      自定义掩码字符串脱敏位置,参数三个一组输入,如输入n, m, k参数组,则会将从n到m位置的字符串替换k。

      哈希

      SHA256

      通用算法SHA256,哈希脱敏后结果是256位(长度为64的16进制字符)。

      SHA384

      通用算法SHA384,哈希脱敏后结果是384位(长度为96的16进制字符)。

      SHA512

      通用算法SHA512,哈希脱敏后结果是512位(长度为128的16进制字符)。

      加盐SHA256

      输入增加盐值的算法SHA256,更加安全,可以有效防止撞库。哈希脱敏后结果是256位(长度为64的16进制字符)。

      加盐SHA384

      输入增加盐值的算法SHA384,更加安全,可以有效防止撞库。哈希脱敏后结果是384位(长度为96的16进制字符)。

      加盐SHA512

      输入增加盐值的算法SHA512,更加安全,可以有效防止撞库。哈希脱敏后结果是512位(长度为128的16进制字符)。

      MD5

      通用算法MD5,哈希脱敏后结果是128位(长度为32的16进制字符)。

      加盐MD5

      通用算法MD5,哈希脱敏后结果是128位(长度为32的16进制字符)。

      Base64

      Base64就是一种基于64个可打印字符来表示二进制数据的方法,需要注意的是Base64后的结果可以被直接解码出来,安全性较低。

      其他

      高斯噪音

      高斯噪音脱敏,用于数值型字段。输入一个数值,输出值随机,但总体上满足高斯分布。

  3. 单击确定

默认脱敏策略

  1. 在Dataphin首页,单击资产

  2. 按照下图指引,进入默认脱敏策略对话框。

    image..png
  3. 默认脱敏策略对话框,配置参数。image

    参数

    描述

    数据分级

    从低到高依次为:对外公开(L1)及以上对内公开(L2)及以上机密数据(L3)及以上绝密数据(L4)及以上,如需新建,请参见新建数据分级

    脱敏算法

    支持4种脱敏算法,包括返回空值返回MD5哈希值返回*遮盖的值(定长***)不脱敏

    说明
    • 默认脱敏策略即默认的敏感数据保护策略,可统一为没有单独的脱敏规则的敏感数据提供安全保护。

    • 仅支持安全管理员配置默认脱敏规则。

  4. 单击确定

查看动态脱敏规则

查看动态脱敏规则的脱敏对象识别规则、脱敏算法和应用场景等信息。

image..png

区域

描述

筛选及搜索区

您可以按照脱敏规则的名称或数据分类的名称进行模糊搜索,也可以根据脱敏类型应用场景精确筛选。

列表区

为您展示脱敏规则名称数据分类脱敏算法应用场景负责人更新时间生效状态信息,同时您可以在操作列对动态脱敏规则执行编辑转交删除查看脱敏算法查看脱敏白名单操作。

  • 生效状态:决定当前脱敏规则是否生效,关闭则不会进行脱敏。修改后立即生效。

  • 编辑:可编辑部分脱敏规则,如脱敏规则说明、应用场景、脱敏方式等,详情请参见新建动态脱敏规则

  • 转交:可把当前脱敏规则转交给其他人。

    image
  • 删除:删除动态脱敏规则后,将会对应用本规则的所有数据的动态脱敏进行删除,请谨慎操作。

  • 查看脱敏算法:可在脱敏算法页面,查看脱敏算法。

  • 查看脱敏白名单:在脱敏规则页面,查看脱敏白名单。

  • 本页导读 (0)
文档反馈