定义识别规则
您可以通过定义敏感数据识别规则,来有效识别数据库内的敏感数据字段。
值得注意的是,数据密级、数据分类和识别规则,均为DataArts Studio实例级别配置,各工作空间之间数据互通。这样在数据地图组件中,就可以根据一套标准的分级分类管理对数据进行统一管理。
识别规则定义后,默认为待确认状态,无法在静态脱敏任务中生效。需经如下操作后变更状态后,才能使识别规则状态生效:
敏感数据发现任务运行后,为使该识别规则在静态脱敏任务中生效,必须在“敏感数据分布>手工修正”页面对任务中的识别规则进行“确认”,使规则状态变更为“有效”。
约束与限制
- 仅DAYU Administrator、Tenant Administrator或者数据安全管理员可以创建、修改或删除数据密级、分类和识别规则,其他普通用户无权限操作。
- 敏感数据识别过程中,如果规则为内容识别类型(即内置规则和内容识别类型的自定义规则),则仅当数据表中某字段匹配规则的记录数/总记录数>=指定阈值(默认80%)时,才认为该字段为敏感字段,并为之匹配相应密级和分类。
- 被引用的数据识别规则无法直接删除,需要先解除引用关系后才能删除。
创建数据识别规则
- 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
- 在数据安全控制台左侧的导航树中单击 ,进入数据识别规则页面。
- 在“识别规则”页面单击“新建”,创建识别规则。
图1 新建识别规则
- 新建规则参数配置请参考表1,参数配置完成单击“确定”即可。
图2 规则配置
表1 配置识别规则参数说明 配置
说明
*规则类型
即规则所属分类,支持按模板添加内置规则和自定义规则。
*数据密级
对配置的数据进行等级划分。如果现有的分级不满足需求,请进入数据密级页面进行设置,详情请参见定义数据密级。
数据分类
对配置的数据进行分类划分。如果现有的分类不满足需求,请进入数据分类页面进行设置,详情请参见定义数据分类。
规则描述
对当前规则进行简单描述。
内置
*规则模板
规则类型选择“内置”,呈现此参数。
系统内置了80+条敏感数据识别规则,可对个人敏感信息(银行卡、信用卡等)、个人基本资料(手机号码、电子邮箱等)、网络身份标识信息(IPv4地址、IPv6地址等)等敏感信息进行识别和脱敏。内置的敏感数据识别规则可在“内置规则模板”页签查看。
选择内置规则后,可输入测试数据,测试能否通过内置规则识别。
*规则名称
规则类型选择“内置”,规则名称自动关联分类模板生成。
自定义
*规则名称
规则类型选择“自定义”,您可以自行填写分类名称,名称为必填项。建议包含规则含义,避免无意义的描述,以便于使用中能快速选择需要的规则。说明:定义数据识别规则,名称必须唯一。
*识别规则
规则类型选择“自定义”,呈现此参数,支持正则表达式。
当选择“无”,表示关联了该规则的敏感数据发现任务不生效。无法自动为数据资产分类,需要您手动添加分类。
*正则表达式
识别规则选择“正则表达式”时,呈现此参数。
- 内容识别:勾选此项后输入自定义正则表达式,该表达式将用于数据内容识别。内容识别正则表达式举例:“^男$|^女&”。
- 列名识别:勾选此项后输入自定义正则表达式,该表达式将用于字段名精确匹配和模糊匹配两种方式,当前支持多个字段匹配。列名识别正则表达式举例:“age|years”。
- 备注识别:勾选此项后输入自定义正则表达式,例如“.*comment.*”代表模糊匹配备注。
相关操作
- 编辑识别规则:在识别规则页面,单击对应识别规则操作栏中的“编辑”,即可修改识别规则关联的密级、分类和描述。如果为自定义规则,还支持修改识别规则和正则表达式。
- 编辑识别规则状态:新增的识别规则默认为启用状态。当识别规则为关闭状态时,表示该规则将不可被添加到识别规则组。
- 删除识别规则:在识别规则页面,单击对应识别规则操作栏中的“删除”,即可删除识别规则。当需要批量删除时,可以在勾选识别规则后,在列表上方单击“批量删除”。
- 被引用的数据识别规则无法直接删除,需要先解除引用关系后才能删除。
- 删除操作无法撤销,请谨慎操作。
- 测试内置规则模板:在“内置规则模板”页签可查看所有内置规则模板,并且根据输入的自定义样例数据,测试验证内置规则模板的识别结果。