全部產品
Search

搜尋本產品

    Dataphin:建立及管理動態脫敏規則

    文件中心

    Dataphin:建立及管理動態脫敏規則

    更新時間:Oct 01, 2025

    動態脫敏是在不更改基礎資料的情況下,僅改變最終展示的查詢結果資料;脫敏規則用於管理脫敏的資料範圍及具體的脫敏方式。本文為您介紹如何建立及管理動態脫敏規則。

    使用限制

    當前僅支援對Dataphin表欄位進行脫敏。

    許可權說明

    • 安全性系統管理員、擁有脫敏規則、資料分類系統管理權限的全域自訂角色支援建立及管理動態脫敏規則。

    • 一級目錄管理員可選擇其所負責的資料分類配置脫敏規則。

    • 脫敏規則負責人可以管理所負責的規則,但是操作會同時受到資料分類系統管理權限的限制。

    脫敏規則介紹

    • 動態脫敏規則常用於查詢某些敏感的生產資料情境。對滿足條件的資料對象進行資料變形或加密,以實現對敏感隱私資料的可靠保護。

    • 若所屬板塊或所屬專案下的表有欄位被選擇的資料分類打標為識別結果,則根據脫敏方式和脫敏演算法在寫開發表或資料查詢時對資料進行脫敏。

    建立動態脫敏規則

    1. 在Dataphin首頁的頂部功能表列,選擇治理 > 資料安全

    2. 在左側導覽列選擇Sensitive Data Discovery and Protection > 脫敏規則,在脫敏規則頁面,單擊動態脫敏規則頁簽,單擊+建立動態脫敏規則按鈕。

    3. 建立動態脫敏規則對話方塊中,配置參數。

      參數

      描述

      規則名稱

      輸入動態脫敏規則名稱,例如:社會安全號碼脫敏。

      規則脫敏說明

      自訂規則脫敏備忘資訊,不超過200字元。例如:用於開發環境中讀取生產環境資料。

      資料分類

      可以選擇您有系統管理權限的資料分類,例如:/個人資訊/個人基本資料/身份證。

      所屬板塊

      支援通過所屬板塊圈選需要脫敏的資料範圍,支援選擇全部或者枚舉

      所屬專案

      支援通過所屬專案圈選需要脫敏的資料範圍,支援選擇全部或者枚舉

      應用情境

      選擇資料脫敏的應用情境。支援選擇寫開發表資料查詢應用情境。

      • 寫開發表:對來源表敏感性資料的查詢結果進行脫敏後再寫入開發表中,防止生產環境的敏感性資料泄露,特殊情況下,個人帳號寫Basic表則視為寫開發表。

      • 資料查詢:針對不參與生產環境調度的資料查詢(如任務的一次性運行、即席查詢、分析查詢),會對select語句的查詢結果進行脫敏後再展示,可避免影響生產環境任務正常啟動並執行前提下儘可能保障敏感性資料的安全。

      說明

      • 如需對資料進行較好的保護,建議開啟寫開發表和資料查詢應用情境。

      • 若您需要將開發的資料保持原值進行關聯分析,建議通過脫敏白名單實現精準控制,僅在指定情境下支援明文寫入資料表,並將脫敏方式配置為展示脫敏。

      脫敏方式

      脫敏方式包括底層脫敏展示脫敏

      • 底層脫敏:在資料被查詢出來的時候就進行脫敏。SQL的處理過程中,都用脫敏後的結果處理,能對資料起到更好的保護效果。

      • 展示脫敏:在資料最後對外展示的時候進行脫敏。SQL處理過程中,都用原文進行處理,因此可以支援簡單的where/join等條件,對業務使用更友好。需要注意的是,如果對敏感欄位使用UDF處理(如字串截取),會觸發脫敏降級,該欄位產生的欄位會統一降級為***。

      脫敏演算法

      帶標記image.png的演算法為進階演算法,需要資料所在專案安裝安全函數後才能使用,否則會被降級為預設脫敏方式(md5)。脫敏演算法包括遮蓋掩碼雜湊脫敏加密其他

      說明

      當計算引擎為Doris,需選擇Apache Doris v2.1.x及以上版本才能使用生日、行動電話、行動電話(隱藏長度)、固定電話、固定電話(隱藏長度)、SHA256、SHA384和SHA512脫敏演算法。

      • 雜湊脫敏

        需配置脫敏密鑰的演算法包括雜湊脫敏-加鹽SHA256雜湊脫敏-加鹽SHA384雜湊脫敏-加鹽MD5雜湊脫敏-加鹽SHA512

        脫敏密鑰:密鑰為加鹽雜湊脫敏演算法的必填參數,無嚴格的格式要求。

      • 遮蓋掩碼

        • 遮蓋掩碼-關鍵字替換

          需要配置遮蓋掩碼的Regex和替換字串參數。

        • 遮蓋掩碼-自訂掩碼遮蓋掩碼-自訂掩碼(自訂替換值

          需要配置遮蓋掩碼參數組(參數分別為:脫敏開始位置,脫敏結束位置,脫敏替換內容;脫敏參數可以成對增加和減少)。

      • 加密:當計算引擎為MaxCompute時,支援加密脫敏演算法。

        若選擇FPE保留格式原生加密,需要配置加密字典、Tweak;選擇FPE保留格式加密,需配置加密區間。更多配置詳情,請參見配置加密轉換組件

        • 加密字典:用於加密字元的符號,支援系統內建(包括數字大寫英文字母小寫英文字母數字+大寫英文字母數字+小寫英文字母數字+英文字母特殊符號)和自訂

        • Tweak:配置後可實現同一個明文使用相同密鑰,在不同情況下產生不同的密文,可一定程度上提高密文的唯一性和安全性。支援任一字元。

        • 加密區間:支援將指定的字元起止位或全部字元進行加密,加密和解密地區需保持一致,否則解密結果和未經處理資料可能不一致。

        • 異常相容:若出現明文不符合加解密演算法使用要求、加解密密鑰不匹配、編碼格式不一致等問題時,將按照已選策略處理明文資料。支援選擇返回空值返回明文拋出異常

          無需配置加密金鑰,將使用系統密鑰進行加密,防止脫敏後的資料被反解密從而造成敏感性資料的泄露。

      您可以在安全演算法中測試演算法具體的效果,請參見測試安全演算法

      安全演算法詳細說明請參見安全演算法說明安全演算法樣本

      不同引擎支援的脫敏演算法,詳情請參見不同引擎支援的脫敏方式

      生效狀態

      選擇開啟關閉脫敏規則的生效狀態。

    4. 單擊確定,完成動態脫敏規則的建立。

    預設脫敏策略

    說明

    • 預設脫敏策略即預設的Sensitive Data Discovery and Protection策略,可統一為沒有單獨的脫敏規則的敏感性資料提供安全保護。

    • 僅支援安全性系統管理員配置預設脫敏規則。

    1. 脫敏規則頁面,單擊動態脫敏規則頁簽,單擊預設脫敏策略按鈕。

    2. 預設脫敏策略對話方塊中,配置參數。

      參數

      描述

      資料分級

      從低到高依次為:對外公開(L1)及以上對內公開(L2)及以上機密資料(L3)及以上絕密資料(L4)及以上,如需建立資料分級,請參見建立資料分級

      脫敏演算法

      支援選擇4種脫敏演算法,包括返回空值返回MD5雜湊值返回*遮蓋的值(定長***)不脫敏

    3. 單擊確定,完成預設脫敏策略建立。

    查看動態脫敏規則

    您可查看動態脫敏的規則介紹 ,並可對動態脫敏規則執行編輯、轉交、刪除等操作。

    image

    地區

    描述

    動態脫敏規則介紹

    為您展示動態脫敏規則、動態脫敏白名單、靜態脫敏規則介紹。

    篩選及搜尋區

    您可以按照脫敏規則的名稱或資料分類進行模糊搜尋,也可以根據脫敏類型應用情境進行精確篩選。

    動態脫敏規則列表

    為您展示脫敏規則的名稱、資料分類、脫敏演算法、應用情境、負責人、更新時間、生效狀態資訊,同時您可以在操作列對動態脫敏規則執行編輯轉交刪除查看脫敏演算法查看脫敏白名單操作。

    • 生效狀態:決定當前脫敏規則是否生效,關閉則不會進行脫敏,開啟後脫敏規則立即生效。

    • 編輯:不支援修改脫敏規則的名稱,其他配置參數與建立一致;若修改後資訊與新的欄位詳情不匹配,應用本規則進行動態脫敏的資料將會出錯,請評估後確定是否修改。

    • 轉交:支援將當前脫敏規則的負責人轉交給安全性系統管理員、擁有脫敏規則、資料分類系統管理權限的全域自訂角色以及當前規則選中資料分類的一級目錄管理員。

    • 刪除:刪除動態脫敏規則後,將會對應用本規則的所有資料的動態脫敏進行刪除,請謹慎操作。

    • 查看脫敏演算法:可在安全演算法頁面,查看安全演算法。

    • 查看脫敏白名單:在脫敏規則頁面,查看脫敏白名單。