跳到主要内容

管理敏感数据

NineData 支持将数据源中的某一列或多个列设置为敏感列,未被授权查看敏感列的用户将无法查看该列的内容。

功能说明

NineData 敏感数据功能是数据库管理的一部分,用于确保数据库中存储的特定敏感信息不会被未经授权的用户访问。支持手动添加敏感列和自动添加敏感列。

自动添加敏感列功能由等几个关键组件构成。

  • :提供 S0 ~ S5 6 个等级,数字越大安全级别越高。S0 表示非敏感字段,S1 ~ S5 的每个等级都对应不同的审批流程,支持管理员配置不同的审批策略,对敏感数据进行分类分级管控。
  • :敏感数据的类型,系统默认提供了 27 条数据类型,每条数据类型关联了,以及敏感字段的用来自动识别表中的敏感字段,命中目标列后就会关联该列,自动为敏感列进行分类分级 。
  • :敏感列的脱敏方式,敏感列的数据将通过该算法进行加密。系统默认提供了 33 条脱敏算法,支持根据实际业务需求创建自定义脱敏算法。

基于上述三个组件,系统对数据源进行扫描,支持全库扫描和指定库扫描,在扫描方式上,还支持单次扫描和周期扫描,方便新增字段之后,敏感列的自动化配置。

此外,敏感数据提供了功能,展示当前组织下敏感数据相关信息,包含支持敏感数据保护的数据源总数、已开启敏感数据的数据源总数以及敏感级别、已开启敏感数据的表的总数、敏感列的总数、敏感数据访问次数等。更多信息,请参见查看敏感数据大盘

前提条件

  • 已创建或加入组织,并且该组织已开通,同时请确保您的包年包月订阅未过期。更多信息,请参见管理组织
  • 当前账号已切换到目标组织。更多信息,请参见切换到组织
  • 已将需要添加敏感字段的数据源添加到 NineData。如何添加,请参见添加数据源

  • 敏感数据支持的数据源类型为 MySQL、PostgreSQL、Doris、SelectDB、DB2、Oracle|OceanBase Oracle|OceanBase MySQL、TiDB、TDSQL MySQL 版。

    提示

    如需为视图设置敏感列,则数据源类型必须为 MySQL、DB2、PostgreSQL、TiDB、TDSQL MySQL 版。

  • 如需使用自动添加敏感列功能,请确保数据源类型为 MySQL。

注意事项

  • 角色可以查看所有敏感列,无需授权。
  • 下,仅支持对至多 3 个数据源配置敏感列,无此限制。

为数据源自动添加敏感列

  1. 登录 NineData 控制台
  2. 在左侧导航栏,单击>
  1. 页签中,系统自动列出了所有支持添加敏感数据的数据源,找到目标数据源,单击其右侧列下的more>

    提示
    • 如果想要以默认配置快速开始扫描,可以单击目标数据源右侧列下的more> ,然后在中选择 扫描完成后是否立即生效。
    • 如需批量扫描多个数据源,可以选中目标数据源左侧的复选框,然后在页面上方单击
  2. 根据下表配置各项参数,单击

    参数说明
    敏感列的扫描范围,支持
    • :扫描当前数据源中所有的库表。
    • :手动指定部分数据库,选择该项后,还需要在下方选择数据库,支持单选和多选。
    支持
    • :一次性扫描数据库中的敏感列。
    • :周期性扫描数据库中的敏感列。
    敏感列扫描开始时间()的时区信息,与配合使用。
    • 场景:可选项,如果不指定,则无需配置时区。
    • 场景:必选项,选择扫描开始时间的时区信息。
    可见)敏感列扫描的周期,支持。即在每周的周几或每月的哪一天自动执行扫描,支持多选。
    选中即代表每天执行一次扫描。
    敏感列扫描的启动时间。
    • 场景:可选项,需选择日期和时间点,不指定则表示完成配置后立即开始扫描。
    • 场景:必选项,需选择时间点。
    敏感列生效时间的配置。选择扫描完成后,扫描出来的敏感列是否立即生效。
  3. 单击页签,可以查看进行中的扫描任务,在该页面,可以执行如下操作。

    • :如果在的配置项中选择了,则需要手动选择扫描结果新增敏感列。单击下方的数字,在弹出的窗口中,手动选中需要生效敏感列左侧的复选框,然后单击
    • :对于的任务,可以单击其右侧列的,来提前结束扫描工作。
    • :当扫描任务失败,可以单击目标任务右侧列下的,重新开始扫描。

管理敏感列

对于已经添加完成的敏感列,支持对进行调整。

  1. 登录 NineData 控制台
  2. 在左侧导航栏,单击>
  1. 管理敏感列有两种方式,一种是以数据源为单位,另一种是以敏感列为单位。
    • 以数据源为单位:在页签中,找到目标数据源,单击其右侧列下的
    • 以敏感列为单位:单击页签,系统自动列出了所有已经添加完成的敏感列,可通过敏感等级、数据源名称、数据库名称、表名称,以及列名称快速查找。
  2. 找到目标敏感列,单击其右侧需调整项目的dropdown图标,然后在下拉菜单中选择新的选项即可。

取消敏感列的周期性扫描

对于周期性执行的敏感列扫描任务,系统会根据用户配置的时间自动循环执行。如需停止该周期扫描行为,可以手动取消。

  1. 登录 NineData 控制台
  2. 在左侧导航栏,单击>
  1. 页签中,找到目标数据源,单击其右侧列下的more>
  2. 在弹出的窗口中,单击即可。

查看敏感数据大盘

系统管理员用户可以查看敏感数据大盘,轻松了解当前组织下敏感数据的整体状态。

界面说明

sensitive_chart

  • :当前组织内支持敏感数据的数据源总数,以及敏感数据开启状况。
  • :已经开启敏感数据功能的数据源总数,以及每个数据源的敏感级别(例如上图中显示为 1,并且 S3 显示为 1,则代表一共有 1 个数据源开启了敏感数据功能,并且该数据源中敏感列的最高级别为 S3)。
  • :已经开启敏感数据功能的表的总数,以及每个表的敏感级别(例如上图中显示为 1,并且 S3 显示为 1,则代表一共有 1 个表开启了敏感数据功能,并且该表中敏感列的最高级别为 S3)。
  • :当前组织内敏感列的总数,以及这些敏感列对应的敏感级别。
  • :展示敏感数据被访问的次数,以及访问了敏感数据的用户。

操作步骤

  1. 登录 NineData 控制台
  2. 在左侧导航栏,单击>
  1. 单击页签,即可查看。

相关文档