敏感数据保护功能提供了哈希、遮掩、替换、变换、加密五类脱敏算法,您可以基于某个内置的脱敏算法自定义不同的脱敏规则,从而形成灵活、多样的脱敏策略。敏感数据保护功能中内置了一个全遮掩的脱敏规则,如果您需要其他的脱敏方式,可以参考本文新增或调整脱敏规则。
前提条件
您的系统角色为管理员、DBA和安全管理员。查看操作,请参见查看我的系统角色。
注意事项
对于已开启安全托管的实例,在字段配置脱敏算法后,您需要申请半脱敏权限,才可以看到使用脱敏算法后的数据。如果您没有该敏感字段的权限,则只能看到全脱敏的数据。申请半脱敏权限的操作,请参见管理访问控制权限。
新增脱敏算法后,您需要将目标敏感字段的脱敏算法调整为新算法,新算法才可生效。
新增脱敏算法
登录数据管理DMS 5.0。
单击控制台左上角的
图标,选择。说明若您使用的是非极简模式的控制台,在顶部菜单栏中,选择。
选择脱敏算法页签,单击新增脱敏算法。
在新增算法面板中,选择并配置一种脱敏算法。
系统内置的5种脱敏算法:
算法类型
算法名称
说明
哈希
MD5
一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值。
SHA1
一种密码散列数,可以生成一个被称为消息摘要的160位(20字节)散列值。
SHA256
使用的哈希值长度是256位。
HMAC
基于Hash函数和密钥进行消息认证。
遮掩
全遮掩
对整个数据进行脱敏。
例如,对手机号码1381111****进行全遮掩,设置遮掩字符串为***********,则脱敏结果为***********。
固定位置遮掩
对字段的固定位置进行脱敏处理。
例如,对IP地址192.168.255.254的第2段号码进行遮掩,设置遮掩字符串为***,遮掩位置为
(5,7),则脱敏结果为192.***.255.254。固定字符遮掩
对字段的固定字符进行脱敏处理。
例如,对邮箱username@example.com中的example进行遮掩,设置遮掩字符串为*******,待遮掩字符串为example,则脱敏结果为username@*******.com。
替换
映射替换
将目标字符串替换为设置的字符串。
说明多个字符串之间用半角逗号(,)分开。
目标字符串中的字符串数量需要与替换字符串中的字符串数量相等。
例如,将字符串abcd中的ab替换为mn,设置目标字符串为ab,替换字符串为mn,则脱敏结果为mncd。
随机替换
将字段的固定位置,替换为设置的随机字符。
例如,对邮箱username@example.com中的username进行随机替换,设置替换位置为
(1,8),随机字符为abc,其中的一个脱敏结果为acbbbbac@example.com。说明如果随机字符的个数大等于2,脱敏结果不唯一,是随机的。
变换
数字取整
保留小数点前第几位。
例如,原始数据为1234.12,设置保留小数点前第2位,则脱敏结果为1230。
日期取整
日期取整级别。
例如,原始数据为2021-10-14 15:15:30,设置日期取整级别为hour,则脱敏结果为2021-10-14 15:00:00。
字符位移
字符串循环左移几位。
例如,原始数据为345678,设置字符串左移位数为2,则循环左移后的脱敏结果为567834。
加密
DES
采用DES算法进行加密,密钥长度为8个字符,脱敏结果为16个字符。
AES
一种比DES安全的加密方式,密钥长度为16个字符,脱敏结果为32个字符。
AES加密-增强型
AES加密方式,不限制密钥长度,脱敏结果为32个字符。
解密
AES解密
通过AES加密后,使用AES解密进行解密。
AES解密-增强型
通过AES加密-增强型加密后,使用AES解密-增强型进行解密。
模拟测试。
输入原始数据。
单击测试。
查看脱敏结果是否符合预期。
例如,脱敏算法为变换,脱敏规则为字符串左移2位,原始数据为345678,字符串循环左移2位后的结果为567834,查看脱敏结果是否符合预期。
单击提交。
说明敏感数据默认的脱敏规则为系统内置的DEFAULT,如果您需要将新增的脱敏规则应用于敏感数据,请参见管理敏感数据。
新增脱敏算法后,您需要在敏感数据资产中将目标字段的脱敏算法调整为新算法,以使该算法生效。
调整字段的脱敏算法
登录数据管理DMS 5.0。
单击控制台左上角的
图标,选择。说明若您使用的是非极简模式的控制台,在顶部菜单栏中,选择。
在页面下方的实例列表区域,找到并单击目标实例右侧的敏感数据列表。
在字段管控页签下,选中需要调整脱敏算法的字段。
单击页面左上角的调整脱敏算法。
在请选择脱敏算法对话框中,选择自定义的脱敏算法并单击保存。关于自定义脱敏算法,请参见管理脱敏算法。
说明系统默认的脱敏算法为DEFAULT,如果您需要将脱敏算法重置为DEFAULT,在右侧操作列中,单击重置脱敏算法。