如果您的数据库中包含敏感信息,可以开通敏感数据保护功能,对数据库进行扫描,识别、脱敏和管理敏感数据。本文介绍开通敏感数据保护功能和创建实例扫描任务的方法。

前提条件

  • 用户角色为管理员、DBA和安全管理员。
    说明 鼠标移动到界面右上角的头像,查看您的角色。
  • 支持的数据库:
    • 关系型数据库:MySQL、SQL Server、PostgreSQL、MariaDB、Oracle、达梦数据库(DamengDB)、PolarDB PostgreSQL版(兼容Oracle)PolarDB分布式版、OceanBase、DB2、Lindorm_CQL、Lindorm_SQL、OpenGauss。
    • 数据仓库:AnalyticDB MySQL版AnalyticDB PostgreSQL版、DLA、ClickHouse、MaxCompute、Hologres、Hive。
  • 已购买敏感数据保护实例数,且有余额。
    说明 在界面右上角,选择5售卖 > DMS订单管理,查看剩余敏感数据保护实例数。

操作步骤

  1. 登录数据管理DMS 5.0
  2. 在顶部菜单栏中,选择安全与规范 > 敏感数据管理 > 敏感数据资产
  3. 实例列表区域,选择未开启页签。
  4. 搜索目标实例,在目标实例操作列,单击立即开启
    说明 未开启敏感数据保护的实例才可以在该页面搜索到。
  5. 开启敏感数据保护对话框中,配置如下信息。
    配置项是否必填说明
    立即配置扫描任务系统默认开启立即配置扫描任务开关。若开启,扫描范围为实例下的所有数据库。
    选择扫描模板选择扫描模板或新建模板。新建模板的具体操作,请参见创建分类分级模板
    扫描方式
    说明 若开启立即配置扫描任务,则需要选择扫描方式。
    • 即时任务:配置完成后,系统立即扫描目标数据库,并标记敏感字段。
    • 定时任务:设置日期和时间。系统会在设定时间自动扫描目标数据库,并标记敏感字段。
    • 周期任务:配置调度周期和具体时间。系统会在指定周期自动扫描目标数据库,并标记敏感字段。
  6. 单击确认
  7. 实例授权。授权用于自动识别敏感数据,是配置扫描任务的前提。
    说明 若实例是安全协同模式,系统会自动为其授权,您可以跳过该步骤。
    1. 操作列中,单击账密授权
    2. 输入目标实例的数据库账号数据库密码
    3. 单击确认
  8. 若您在开启敏感数据保护时,未配置扫描任务,则可以根据如下操作配置扫描任务。
    说明 执行扫描任务时,系统会扫描目标数据库中的元数据和少量随机抽样数据(100~200条),这些数据仅在执行扫描任务时用于敏感数据分析,系统不会对数据进行保存。
    1. 单击目标实例操作列中的配置扫描任务
    2. 配置扫描任务对话框中,配置如下信息。
      配置项说明
      扫描方式何时开启本次扫描任务。取值:
      • 即时任务(单次即时生效):立即开始扫描所选实例的数据库。
      • 定时任务(单次定时生效):设定某个时间开始扫描所选实例的数据库。
      • 周期任务:可选择按小时、按日、按天或按月的扫描周期,多次扫描所选实例的数据库。
      扫描范围扫描所选实例的全部库指定库(可多选)。
      扫描结果是否立即生效立即生效指立即给识别结果的字段打上分类分级标签。
      • :立即生效。
      • :暂不生效。需要您前往识别结果页面,手动使识别结果生效。
    3. 单击确认
    4. 查看识别结果。
      您可在数据概览区域,单击扫描成功下的数字,进入识别任务日志页面,再单击目标扫描任务行执行结果列下的数字,在识别结果面板,查看识别结果。look-summary
      说明 您也可以在实例列表区域,单击目标实例行操作列下的任务详情,查看扫描任务及识别结果详情。
    5. 手动生效识别结果。若在配置扫描任务时,选择扫描结果立即生效,则系统自动为您生效识别结果,请忽略该步骤。
      1. 进入识别任务日志页面。
      2. 单击目标扫描任务行执行结果列下的数字。
      3. 进入识别结果面板,单击操作列下的生效,手动生效识别结果。
    6. 可选:查看目标实例的敏感数据等级和分布。您可单击操作列中的敏感数据列表,单击字段管控页签,在该页签下可以对敏感字段进行管理,例如调整敏感等级、调整脱敏规则和授权用户。具体操作,请参见管理敏感数据