管理敏感数据
NineData 支持将数据源中的某一列或多个列设置为敏感列,未被授权查看敏感列的用户将无法查看该列的内容。
功能说明
NineData 敏感数据功能是数据库管理的一部分,用于确保数据库中存储的特定敏感信息不会被未经授权的用户访问。支持手动添加敏感列和自动添加敏感列。
自动添加敏感列功能由、、等几个关键组件构成。
- :提供 S0 ~ S5 6 个等级,数字越大安全级别越高。S0 表示非敏感字段,S1 ~ S5 的每个等级都对应不同的审批流程,支持管理员配置不同的审批策略,对敏感数据进行分类分级管控。
- :敏感数据的类型,系统默认提供了 27 条数据类型,每条数据类型关联了、,以及敏感字段的。用来自动识别表中的敏感字段,命中目标列后就会关联该列,自动为敏感列进行分类分级 。
- :敏感列的脱敏方式,敏感列的数据将通过该算法进行加密。系统默认提供了 33 条脱敏算法,支持根据实际业务需求创建自定义脱敏算法。
基于上述三个组件,系统对数据源进行扫描,支持全库扫描和指定库扫描,在扫描方式上,还支持单次扫描和周期扫描,方便新增字段之后,敏感列的自动化配置。
此外,敏感数据提供了功能,展示当前组织下敏感数据相关信息,包含支持敏感数据保护的数据源总数、已开启敏感数据的数据源总数以及敏感级别、已开启敏感数据的表的总数、敏感列的总数、敏感数据访问次数等。更多信息,请参见查看敏感数据大盘。
前提条件
已将需要添加敏感字段的数据源添加到 NineData。如何添加,请参见添加数据源。
敏感数据支持的数据源类型为 MySQL、PostgreSQL、Doris、SelectDB、DB2、Oracle|OceanBase Oracle|OceanBase MySQL、TiDB、TDSQL MySQL 版。
提示如需为视图设置敏感列,则数据源类型必须为 MySQL、DB2、PostgreSQL、TiDB、TDSQL MySQL 版。
如需使用自动添加敏感列功能,请确保数据源类型为 MySQL。
注意事项
- 角色可以查看所有敏感列,无需授权。
- 下,仅支持对至多 3 个数据源配置敏感列,无此限制。
为数据源自动添加敏感列
- 登录 NineData 控制台。
- 在左侧导航栏,单击>。
在页签中,系统自动列出了所有支持添加敏感数据的数据源,找到目标数据源,单击其右侧列下的> 。
提示- 如果想要以默认配置快速开始扫描,可以单击目标数据源右侧列下的> ,然后在中选择 扫描完成后是否立即生效。
- 如需批量扫描多个数据源,可以选中目标数据源左侧的复选框,然后也页面上方单击或。
根据下表配置各项参数,单击。
参数 说明 敏感列的扫描范围,支持和。 - :扫描当前数据源中所有的库表。
- :手动指定部分数据库,选择该项后,还需要在下方选择数据库,支持单选和多选。
支持和。 - :一次性扫描数据库中的敏感列。
- :周期性扫描数据库中的敏感列。
敏感列扫描开始时间()的时区信息,与配合使用。 - 场景:可选项,如果不指定,则无需配置时区。
- 场景:必选项,选择扫描开始时间的时区信息。
(可见) 敏感列扫描的周期,支持或。即在每周的周几或每月的哪一天自动执行扫描,支持多选。
选中即代表每天执行一次扫描。敏感列扫描的启动时间。 - 场景:可选项,需选择日期和时间点,不指定则表示完成配置后立即开始扫描。
- 场景:必选项,需选择时间点。
敏感列生效时间的配置。选择扫描完成后,扫描出来的敏感列是否立即生效。 单击页签,可以查看进行中的扫描任务,在该页面,可以执行如下操作。
- :如果在的配置项中选择了,则需要手动选择扫描结果新增敏感列。单击下方的数字,在弹出的窗口中,手动选中需要生效敏感列左侧的复选框,然后单击或。
- :对于为的任务,可以单击其右侧列的,来提前结束扫描工作。
管理敏感列
对于已经添加完成的敏感列,支持对、、进行调整。
- 登录 NineData 控制台。
- 在左侧导航栏,单击>。
- 管理敏感列有两种方式,一种是以数据源为单位,另一种是以敏感列为单位。
- 以数据源为单位:在页签中,找到目标数据源,单击其右侧列下的。
- 以敏感列为单位:单击页签,系统自动列出了所有已经添加完成的敏感列,可通过敏感等级、数据源名称、数据库名称、表名称,以及列名称快速查找。
- 找到目标敏感列,单击其右侧需调整项目的图标,然后在下拉菜单中选择新的选项即可。
取消敏感列的周期性扫描
对于周期性执行的敏感列扫描任务,系统会根据用户配置的时间自动循环执行。如需停止该周期扫描行为,可以手动取消。
- 登录 NineData 控制台。
- 在左侧导航栏,单击>。
- 在页签中,找到目标数据源,单击其右侧列下的> 。
- 在弹出的窗口中,单击即可。
查看敏感数据大盘
系统管理员用户可以查看敏感数据大盘,轻松了解当前组织下敏感数据的整体状态。
界面说明
- :当前组织内支持敏感数据的数据源总数,以及敏感数据开启状况。
- :已经开启敏感数据功能的数据源总数,以及每个数据源的敏感级别(例如上图中显示为 1,并且 S3 显示为 1,则代表一共有 1 个数据源开启了敏感数据功能,并且该数据源中敏感列的最高级别为 S3)。
- :已经开启敏感数据功能的表的总数,以及每个表的敏感级别(例如上图中显示为 1,并且 S3 显示为 1,则代表一共有 1 个表开启了敏感数据功能,并且该表中敏感列的最高级别为 S3)。
- :当前组织内敏感列的总数,以及这些敏感列对应的敏感级别。
- :展示敏感数据被访问的次数,以及访问了敏感数据的用户。
操作步骤
- 登录 NineData 控制台。
- 在左侧导航栏,单击>。
- 单击页签,即可查看。