配置和查看脱敏规则
脱敏算法和对应的使用场景
配置和查看脱敏规则
您可以对指定数据类型配置脱敏规则实现敏感数据静态脱敏,本章节介绍脱敏算法支持的数据类型及如何添加和测试脱敏算法。
将字符串类型字段用Hash值代替。在关系型数据库中,当该字段长度小于Hash长度时,会将目标库中该字段的长度与Hash值长度设置相同,保证Hash值完整写入目标库。DSC默认配置了SHA256和SHA512两种Hash脱敏的算法。
Hash脱敏为DSC内置的脱敏规则,不需要配置,如果您需要测试脱敏效果,可参考以下方法查看脱敏结果。
- 登录管理控制台。
- 单击左上角的
,选择区域或项目。 - 在左侧导航树中,单击
,选择。 - 在左侧导航树中选择,并选择“脱敏规则”页签,进入Hash脱敏的页面。
图1 Hash脱敏
- 在选择的SHA256或SHA512算法所在列,单击“编辑测试”。
- 在“编辑测试”页面中,“脱敏算法”选择“Hash脱敏”,输入“原始数据”,单击“测试”,“脱敏结果”文本框中展示已完成脱敏的数据。
图2 Hash脱敏测试
通过加密算法和加密主密钥生成一种加密配置,达到数据脱敏的效果。
- 登录管理控制台。
- 单击左上角的,选择区域或项目。
- 在左侧导航树中,单击,选择。
- 在左侧导航树中选择,并选择“脱敏规则”页签,进入Hash脱敏的页面。
图3 Hash脱敏
- 选择“加密脱敏”页签,进入“加密脱敏”页面。
- “主密钥算法”:在下拉框选择加密算法,DSC提供了“AES256”和“SM4”加密算法供您选择。
表2 主密钥算法介绍 密钥类型
算法类型
密钥规格
说明
用途
对称密钥
AES
AES_256
AES对称密钥
小量数据的加解密或用于加解密数据密钥。
对称密钥
SM4
SM4
国密SM4对称密钥
小量数据的加解密或用于加解密数据密钥。
- “KMS加密”可以选择“从KMS密钥中选择”和“输入KMS密钥ID”两种方式:
- “从KMS密钥中选择”:单击下拉框选择已有的KMS主密钥,如果没有可选择的主密钥,单击“创建KMS主密钥”进行创建,创建方式详情请参见https://support.huaweicloud.com/intl/zh-cn/usermanual-dew/dew_01_0178.html。
默认使用凭据管理为您创建的默认主密钥csm/default作为当前凭证的加密主密钥,您可以前往KMS服务页面创建用户密钥,使用自定义加密密钥。
- “输入KMS密钥ID”:输入位于当前Region的密钥。
- “从KMS密钥中选择”:单击下拉框选择已有的KMS主密钥,如果没有可选择的主密钥,单击“创建KMS主密钥”进行创建,创建方式详情请参见https://support.huaweicloud.com/intl/zh-cn/usermanual-dew/dew_01_0178.html。
- 单击下拉框选择“数据密钥长度”,有128、192和256三种供选择。
- “主密钥算法”:在下拉框选择加密算法,DSC提供了“AES256”和“SM4”加密算法供您选择。
- 配置完成后,单击“生成加密配置”。
如果您需要删除已配置的加密脱敏规则,可在目标规则所在列的“操作”列,单击“删除”。
单击
打开轮换策略,轮换周期到期后会更新当前加密配置提升安全性。
使用指定字符“*”或随机字符,按照指定方式遮盖部分内容。
支持“保留前n后m”、“保留自x至y”、“遮盖前n后m”、“遮盖自x至y”、“特殊字符前遮盖”和“特殊字符后遮盖”六种字符掩盖的方式。
- 登录管理控制台。
- 单击左上角的,选择区域或项目。
- 在左侧导航树中,单击,选择。
- 在左侧导航树中选择,并选择“脱敏规则”页签,进入Hash脱敏的页面。
图4 Hash脱敏
- 选择“字符掩盖”页签,进入“字符掩盖”页面。
- 单击“添加”,配置字符脱敏规则。
图5 添加字符脱敏
- 按照如表3所示配置相关参数,输入“原始数据”,单击“测试”,在“脱敏结果”文本框中展示已完成脱敏的数据。
表3 字符脱敏参数配置 参数
说明
名称
输入字符脱敏名称,只能由中文、英文字母、数字、下划线或中划线组成,且不能超过255个长度。
选择规则
有如下规则供选择:
- “保留前n后m”
- “保留自x至y”
- “遮盖前n后m”
- “遮盖自x至y”
- “特殊字符前遮盖”
- “特殊字符后遮盖”
掩盖位置
输入选择的对应规则的数值,如选择“保留自x至y”,x输入3,y输入6,则保留第3位到第6位的字符。
掩盖方式
掩盖方式包含:
- 固定字符:用固定字符替换指定位置字符。
- 随机字符:用随机字符替换指定位置字符。
掩盖字符
“掩盖方式”选择“固定字符”时显示该参数,输入指定字符。
随机方式
随机方式包含:
- 随机字母
- 随机数字
- 随机数字字母组合
- 测试确认无误后,单击“保存”。
- 数据安全中心服务中已预置多种字符脱敏规则。内置的脱敏规则不支持删除,自定义的规则可以在规则列表的“操作”列,单击“删除”,删除规则。
- 所有的规则都支持编辑,在规则列表的“操作”列,单击“编辑测试”,修改规则。
利用自定义的字符串替换数据中匹配到的关键字,达到脱敏的效果。例如:原始数据为abcdefgbcdefgkjkoij,“关键字”配置为“bcde”,“替换字符串”配置为12,则“脱敏结果”显示为a12fg12fgkjkoij。
- 登录管理控制台。
- 单击左上角的,选择区域或项目。
- 在左侧导航树中,单击,选择。
- 在左侧导航树中选择,并选择“脱敏规则”页签,进入Hash脱敏的页面。
图6 Hash脱敏
- 选择“关键字替换”页签,进入“关键字替换”页面。
- 单击左上角“添加”,进入“添加关键字”界面。
- 设置需要替换的“关键字”,以及“替换字符串”。
配置后,“原始数据”中匹配到的“关键字”将被设置的“替换字符串”替换,以完成数据脱敏。
图7 添加关键字
- 输入“原始数据”,单击“测试”,在“脱敏结果”文本框中展示已完成脱敏的数据。
- 测试确认无误后,单击“保存”。
- 在关键字替换规则列表的“操作”列,单击“编辑测试”修改脱敏规则。
- 在关键字替换规则列表的“操作”列,单击“删除”删除脱敏规则。
- Null脱敏:将任意类型字段设置为NULL。对于属性设置为“NOT NULL”的字段,该算法在拷贝时将该属性修改为“NULL”。
- 空值脱敏:将指定字段内容设置为空值。具体来说,将字符型的字段设置为空串,数值类的字段设置为0,日期类的字段设置为1970,时间类的字段设置为零点。
删除脱敏为DSC内置的脱敏规则,不需要配置,可参考以下方法查看脱敏规则。
- 登录管理控制台。
- 单击左上角的,选择区域或项目。
- 在左侧导航树中,单击,选择。
- 在左侧导航树中选择,并选择“脱敏规则”页签,进入Hash脱敏的页面。
图8 Hash脱敏
- 选择“删除脱敏”页签,进入“删除脱敏”的规则展示页面。
- 登录管理控制台。
- 单击左上角的,选择区域或项目。
- 在左侧导航树中,单击,选择。
- 在左侧导航树中选择,并选择“脱敏规则”页签,进入Hash脱敏的页面。
图9 Hash脱敏
- 选择“取整脱敏”,进入“取整脱敏”的页面。
系统设置了“日期取整”和“数值取整”两种算法。
- “日期取整”算法对应关系型数据库中timestamp,time,data,datatime等与时间相关的字段。
- “数值取整”算法对应double,float,int,long等数值类型,脱敏成功后,保持原字段类型不变。
- 单击“编辑测试”,进入“编辑测试”界面,选择“取整脱敏”脱敏算法,配置“取整值”。
脱敏原理:结果值取靠近“取整值”倍数的向下值。例如:“取整值”设置为5,“原始数据”为14,5的倍数向下靠近14的数为10,则原始数据14按此规则脱敏后为10,即“脱敏结果”为10。
图10 数值取整
- 输入“原始数据”,单击“测试”,在“脱敏结果”文本框中展示已完成脱敏的数据。
- 测试确认无误后,单击“保存”。
仿真脱敏
在敏感数据识别到匹配敏感内容后,会使用仿真的数据替换匹配敏感内容,目前仅适用于OBS脱敏任务。
|
编号 |
敏感数据规则名称 |
仿真脱敏的类型 |
|---|---|---|
|
1 |
身份证号(中国内地) |
身份证号 |
|
2 |
生日 |
随机日期(指定范围) |
|
3 |
日期 |
随机日期(指定范围) |
|
4 |
手机号码(中国内地) |
手机号码 |
|
5 |
邮箱 |
邮箱 |
|
6 |
邮政编码(中国内地) |
邮政编码 |
|
7 |
地址(中国内地) |
地址 |
|
8 |
精确地址(中国) |
地址 |
|
9 |
唯一设备识别码IMEI |
IMEI |
|
10 |
IPv4地址 |
ipv4 |
|
11 |
IPv6地址 |
ipv6 |
|
12 |
银行卡号 |
银行卡号 |
|
13 |
姓名(简体中文) |
人名 |
|
14 |
车牌号(中国内地) |
车牌号 |
|
15 |
护照号(中国内地) |
护照号 |
