AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 数据管理 DMS 操作指南 安全与规范 敏感数据管理 管理脱敏算法

管理脱敏算法

更新时间:
产品详情
我的收藏

为防止敏感数据泄露,您可以在DMS中为敏感字段设置脱敏算法。为敏感字段设置脱敏算法后,您在DMS查询或导出该字段值时,DMS将根据脱敏算法规则为字段值进行脱敏。本文为您介绍如何新增脱敏算法和查看、调整敏感字段的脱敏算法。

前提条件

  • 您的系统角色为管理员、DBA和安全管理员。查看操作,请参见查看我的系统角色

  • 实例已开通敏感数据保护功能,并且已配置敏感数据扫描任务。具体操作,请参见开通敏感数据保护

注意事项

  • DMS算法生效范围:在DMS SQL窗口查询数据、提交数据库导出工单、通过DMS安全访问代理生成的代理地址访问该数据库实例。

    说明

    当您使用其他工具查询数据时,DMS脱敏算法不生效。

  • 对于已开启安全托管的实例,在字段配置半脱敏算法后,您需要申请半脱敏权限,才可以看到使用脱敏算法后的数据。如果您没有该敏感字段的权限,则只能看到全脱敏的数据。申请半脱敏权限的操作,请参见管理访问控制权限

  • 新增脱敏算法后,您需要将目标敏感字段的脱敏算法调整为新算法,新算法才可生效。

新增脱敏算法

  1. 登录数据管理DMS 5.0

  2. 单击控制台左上角的2023-01-28_15-57-17.png图标,选择全部功能 > 安全与规范(DBS) > 敏感数据管理 > 规则配置

    说明

    若您使用的是非极简模式的控制台,在顶部菜单栏中,选择安全与规范(DBS) > 敏感数据管理 > 规则配置

  3. 选择脱敏算法页签,单击新增脱敏算法

  4. 新增算法面板中,选择并配置一种脱敏算法。

    算法类型

    算法名称

    说明

    哈希

    MD5

    一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值。

    SHA1

    一种密码散列数,可以生成一个被称为消息摘要的160位(20字节)散列值。

    SHA256

    使用的哈希值长度是256位。

    HMAC

    基于Hash函数和密钥进行消息认证。

    遮掩

    全遮掩

    对整个数据进行脱敏。

    例如,对手机号码1381111****进行全遮掩,设置遮掩字符串为***********,则脱敏结果为***********。

    固定位置遮掩

    对字段的固定位置进行脱敏处理。

    例如,对IP地址192.168.255.254的第2段号码进行遮掩,设置遮掩字符串为***,遮掩位置为(5,7),则脱敏结果为192.***.255.254。

    固定字符遮掩

    对字段的固定字符进行脱敏处理。

    例如,对邮箱username@example.com中的example进行遮掩,设置遮掩字符串为*******,待遮掩字符串为example,则脱敏结果为username@*******.com。

    替换

    映射替换

    将目标字符串替换为设置的字符串。

    说明

    • 多个字符串之间用半角逗号(,)分开。

    • 目标字符串中的字符串数量需要与替换字符串中的字符串数量相等。

    例如,将字符串abcd中的ab替换为mn,设置目标字符串为ab,替换字符串为mn,则脱敏结果为mncd。

    随机替换

    将字段的固定位置,替换为设置的随机字符。

    例如,对邮箱username@example.com中的username进行随机替换,设置替换位置为(1,8),随机字符为abc,其中的一个脱敏结果为acbbbbac@example.com。

    说明

    如果随机字符的个数大等于2,脱敏结果不唯一,是随机的。

    变换

    数字取整

    保留小数点前第几位。

    例如,原始数据为1234.12,设置保留小数点前第2位,则脱敏结果为1230。

    日期取整

    日期取整级别。

    例如,原始数据为2021-10-14 15:15:30,设置日期取整级别为hour,则脱敏结果为2021-10-14 15:00:00。

    字符位移

    字符串循环左移几位。

    例如,原始数据为345678,设置字符串左移位数为2,则循环左移后的脱敏结果为567834。

    加密

    DES

    采用DES算法进行加密,密钥长度为8个字符,脱敏结果为16个字符。

    AES

    一种比DES安全的加密方式,密钥长度为16个字符,脱敏结果为32个字符。

    AES加密-增强型

    AES加密方式,不限制密钥长度,脱敏结果为32个字符。

    解密

    AES解密

    通过AES加密后,使用AES解密进行解密。

    AES解密-增强型

    通过AES加密-增强型加密后,使用AES解密-增强型进行解密。

    明文

  5. 模拟测试。

    1. 输入原始数据。

    2. 单击测试

    3. 查看脱敏结果是否符合预期。

    例如,脱敏算法为变换,脱敏规则为字符串左移2位,原始数据为345678,字符串循环左移2位后的结果为567834,查看脱敏结果是否符合预期。2敏感数据保护-脱敏规则

  6. 单击提交

    说明

    敏感数据默认的脱敏规则为系统内置的DEFAULT,如果您需要将新增的脱敏规则应用于敏感数据,请参见管理敏感数据

  7. 查看、调整字段的脱敏算法

    新增脱敏算法后,您需要在敏感数据资产中将目标字段的脱敏算法调整为新算法,以使该算法生效。

查看、调整字段的脱敏算法

  1. 登录数据管理DMS 5.0

  2. 单击控制台左上角的2023-01-28_15-57-17.png图标,选择全部功能 > 安全与规范(DBS) > 敏感数据管理 > 敏感数据资产

    说明

    若您使用的是非极简模式的控制台,在顶部菜单栏中,选择安全与规范(DBS) > 敏感数据管理 > 敏感数据资产

  3. 在页面下方的实例列表区域,找到并单击目标实例右侧的敏感数据列表

  4. 字段管控页签下,选中需要调整脱敏算法的字段。

  5. 单击页面左上角的调整脱敏算法

  6. 请选择脱敏算法对话框中,选择默认脱敏算法半脱敏算法类型,并指定算法,再单击保存

    说明

    如果您需要将字段关联的自定义脱敏算法重置为DEFAULT(系统默认的算法),请在字段管控列表右侧的操作列下,单击重置脱敏算法

常见问题

  • Q:如果给敏感字段同时设置了默认脱敏算法和半脱敏算法,DMS会使用哪个算法处理数据?

    A:DMS会使用半脱敏算法处理数据。但是如果查看数据的用户没有敏感字段的半脱敏或明文权限,则DMS会使用默认脱敏算法处理数据。

  • Q:如何根据敏感字段的安全级别选择脱敏算法?

    A:您可根据自己的业务需求选择脱敏算法。

    • 低敏感、明文级别(S1)的数据无需添加脱敏算法。

    • 中敏感级别(S2)数据可以选择半脱敏算法。

    • 高敏感级别(S3)的数据为机密数据,可选择全脱敏算法。

上一篇:管理识别模型下一篇:敏感数据审计