全部產品
Search

搜尋本產品

    Data Management:管理脫敏演算法

    文件中心

    Data Management:管理脫敏演算法

    更新時間:Jan 22, 2025

    為防止敏感性資料泄露,您可以在DMS中為敏感欄位設定脫敏演算法。為敏感欄位設定脫敏演算法後,您在DMS查詢或匯出該欄位值時,DMS將根據脫敏演算法規則為欄位值進行脫敏。本文為您介紹如何新增脫敏演算法和查看、調整敏感欄位的脫敏演算法。

    前提條件

    注意事項

    • DMS演算法生效範圍:在DMS SQL視窗查詢資料、提交資料庫匯出工單、通過DMS安全訪問代理產生的Proxy 位址訪問該資料庫執行個體。

      說明

      當您使用其他工具查詢資料時,DMS脫敏演算法不生效。

    • 對於已開啟安全託管的執行個體,在欄位配置半脫敏演算法後,您需要申請半脫敏許可權,才可以看到使用脫敏演算法後的資料。如果您沒有該敏感欄位的許可權,則只能看到全脫敏的資料。申請半脫敏許可權的操作,請參見管理存取控制許可權

    • 新增脫敏演算法後,您需要將目標敏感欄位的脫敏演算法調整為新演算法,新演算法才可生效。

    新增脫敏演算法

    1. 登入Data Management 5.0

    2. 單擊控制台左上方的2023-01-28_15-57-17.png表徵圖,選擇全部功能 > 安全與規範 > 敏感性資料管理 > 規則配置

      說明

      若您使用的是非極簡模式的控制台,在頂部功能表列中,選擇安全與規範 > 敏感性資料管理 > 規則配置

    3. 選擇脫敏演算法頁簽,單擊新增脫敏演算法

    4. 新增演算法面板中,選擇並配置一種脫敏演算法。

      演算法類型

      演算法名稱

      說明

      雜湊

      MD5

      一種被廣泛使用的密碼散列函數,可以產生出一個128位(16位元組)的散列值。

      SHA1

      一種密碼散列數,可以產生一個被稱為訊息摘要的160位(20位元組)散列值。

      SHA256

      使用的雜湊值長度是256位。

      HMAC

      基於Hash函數和密鑰進行訊息認證。

      遮掩

      全遮掩

      對整個資料進行脫敏。

      例如,對手機號碼1381111****進行全遮掩,設定遮掩字串為***********,則脫敏結果為***********。

      固定位置遮掩

      對欄位的固定位置進行脫敏處理。

      例如,對IP地址192.168.255.254的第2段號碼進行遮掩,設定遮掩字串為***,遮掩位置為(5,7),則脫敏結果為192.***.255.254。

      固定字元遮掩

      對欄位的固定字元進行脫敏處理。

      例如,對郵箱username@example.com中的example進行遮掩,設定遮掩字串為*******,待遮掩字串為example,則脫敏結果為username@*******.com。

      替換

      映射替換

      將目標字串替換為設定的字串。

      說明

      • 多個字串之間用半形逗號(,)分開。

      • 目標字串中的字串數量需要與替換字串中的字串數量相等。

      例如,將字串abcd中的ab替換為mn,設定目標字串為ab,替換字串為mn,則脫敏結果為mncd。

      隨機替換

      將欄位的固定位置,替換為設定的隨機字元。

      例如,對郵箱username@example.com中的username進行隨機替換,設定替換位置為(1,8),隨機字元為abc,其中的一個脫敏結果為acbbbbac@example.com。

      說明

      如果隨機字元的個數大等於2,脫敏結果不唯一,是隨機的。

      變換

      數字取整

      保留小數點前第幾位。

      例如,未經處理資料為1234.12,設定保留小數點前第2位,則脫敏結果為1230。

      日期取整

      日期取整層級。

      例如,未經處理資料為2021-10-14 15:15:30,設定日期取整層級為hour,則脫敏結果為2021-10-14 15:00:00。

      字元位移

      字串迴圈左移幾位。

      例如,未經處理資料為345678,設定字串左移位元為2,則迴圈左移後的脫敏結果為567834。

      加密

      DES

      採用DES演算法進行加密,密鑰長度為8個字元,脫敏結果為16個字元。

      AES

      一種比DES安全的加密方式,密鑰長度為16個字元,脫敏結果為32個字元。

      AES加密-增強型

      AES加密方式,不限制密鑰長度,脫敏結果為32個字元。

      解密

      AES解密

      通過AES加密後,使用AES解密進行解密。

      AES解密-增強型

      通過AES加密-增強型加密後,使用AES解密-增強型進行解密。

      明文

    5. 類比測試。

      1. 輸入未經處理資料。

      2. 單擊測試

      3. 查看脫敏結果是否符合預期。

      例如,脫敏演算法為變換,脫敏規則為字串左移2位,未經處理資料為345678,字串迴圈左移2位後的結果為567834,查看脫敏結果是否符合預期。2Sensitive Data Discovery and Protection-脫敏規則

    6. 單擊提交

      說明

      敏感性資料預設的脫敏規則為系統內建的DEFAULT,如果您需要將新增的脫敏規則應用于敏感資料,請參見管理敏感性資料

    7. 查看、調整欄位的脫敏演算法

      新增脫敏演算法後,您需要在敏感性資料資產中將目標欄位的脫敏演算法調整為新演算法,以使該演算法生效。

    查看、調整欄位的脫敏演算法

    1. 登入Data Management 5.0

    2. 單擊控制台左上方的2023-01-28_15-57-17.png表徵圖,選擇全部功能 > 安全與規範 > 敏感性資料管理 > 敏感性資料資產

      說明

      若您使用的是非極簡模式的控制台,在頂部功能表列中,選擇安全與規範 > 敏感性資料管理 > 敏感性資料資產

    3. 在頁面下方的執行個體列表地區,找到並單擊目標執行個體右側的敏感性資料列表

    4. 欄位管控頁簽下,選中需要調整脫敏演算法的欄位。

    5. 單擊頁面左上方的調整脫敏演算法

    6. 請選擇脫敏演算法對話方塊中,選擇預設脫敏演算法半脫敏演算法類型,並指定演算法,再單擊儲存

      說明

      如果您需要將欄位關聯的自訂脫敏演算法重設為DEFAULT(系統預設的演算法),請在欄位管控列表右側的操作列下,單擊重設脫敏演算法

    常見問題

    • Q:如果給敏感欄位同時設定了預設脫敏演算法和半脫敏演算法,DMS會使用哪個演算法處理資料?

      A:DMS會使用半脫敏演算法處理資料。但是如果查看資料的使用者沒有敏感欄位的半脫敏或明文許可權,則DMS會使用預設脫敏演算法處理資料。

    • Q:如何根據敏感欄位的安全層級選擇脫敏演算法?

      A:您可根據自己的業務需求選擇脫敏演算法。

      • 低敏感、明文層級(S1)的資料無需添加脫敏演算法。

      • 中敏感層級(S2)資料可以選擇半脫敏演算法。

      • 高敏感層級(S3)的資料為機密資料,可選擇全脫敏演算法。