文档首页/ 数据治理中心 DataArts Studio/ 用户指南/ 数据安全/ 敏感数据治理/ 定义识别规则(部分高级特性)
更新时间:2025-02-22 GMT+08:00
查看PDF
分享

定义识别规则(部分高级特性)

您可以通过定义敏感数据识别规则,来有效识别数据库内的敏感数据字段。当前识别规则支持使用内置规则和简单的正则表达式。

如果您对需要更强大的识别规则,数据还支持您使用组合规则。组合规则的多个子规则间可进行与或非逻辑判断,单个子规则支持Groovy脚本、正则表达式、等于、长度判断、内置规则等算法,匹配对象除了列内容识别外还支持列名、列注释、表名、表注释、数据库名等,能够满足您的各类识别需求。

在新版本模式下仅当使用企业版时,才支持配置组合规则。旧版本模式使用基础版及更高版本时即可支持。

值得注意的是,数据密级、数据分类和识别规则,均为DataArts Studio实例级别配置,各工作空间之间数据互通。这样在数据地图组件中,就可以根据一套标准的分级分类管理对数据进行统一管理。

识别规则定义后,默认为待确认状态,无法在静态脱敏任务中生效。需经如下操作后变更状态后,才能使识别规则状态生效:

敏感数据发现任务运行后,为使该识别规则在静态脱敏任务中生效,必须在“敏感数据分布>手工修正”页面对任务中的识别规则进行“确认”,使规则状态变更为“有效”。

前提条件

约束与限制

  • DAYU Administrator、Tenant Administrator或者数据安全管理员可以创建、修改或删除数据密级、分类和识别规则,其他普通用户无权限操作。
  • 敏感数据识别过程中,如果规则为内容识别类型(即内置规则和内容识别类型的自定义规则),则仅当数据表中某字段匹配规则的记录数/总记录数>=指定阈值(默认80%)时,才认为该字段为敏感字段,并为之匹配相应密级和分类。
  • 被引用的数据识别规则无法直接删除,需要先解除引用关系后才能删除。

创建数据识别规则

  1. DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 在数据安全控制台左侧的导航树中单击数据识别规则,进入数据识别规则页面。
  3. “识别规则”页面单击“新建”,创建识别规则。

    图1 新建识别规则

  4. 新建规则参数配置请参考表1,参数配置完成单击“确定”即可。

    图2 规则配置
    表1 配置识别规则参数说明

    配置

    说明

    *规则类型

    即规则所属分类,支持按模板添加内置规则和自定义规则。

    *数据密级

    对配置的数据进行等级划分。如果现有的分级不满足需求,请进入数据密级页面进行设置,详情请参见定义数据密级

    数据分类

    对配置的数据进行分类划分。如果现有的分类不满足需求,请进入数据分类页面进行设置,详情请参见定义数据分类

    规则描述

    对当前规则进行简单描述。

    内置

    *规则模板

    规则类型选择“内置”,呈现此参数。

    系统内置了80+条敏感数据识别规则,可对个人敏感信息(银行卡、信用卡等)、个人基本资料(手机号码、电子邮箱等)、网络身份标识信息(IPv4地址、IPv6地址等)等敏感信息进行识别和脱敏。内置的敏感数据识别规则可在“内置规则模板”页签查看。

    选择内置规则后,可输入测试数据,测试能否通过内置规则识别。

    *规则名称

    规则类型选择“内置”,规则名称自动关联分类模板生成。

    自定义

    *规则名称
    规则类型选择“自定义”,您可以自行填写分类名称,名称为必填项。建议包含规则含义,避免无意义的描述,以便于使用中能快速选择需要的规则。
    说明:

    定义数据识别规则,名称必须唯一。

    *识别规则

    规则类型选择“自定义”,呈现此参数,支持正则表达式。

    当选择“无”,表示关联了该规则的敏感数据发现任务不生效。无法自动为数据资产分类,需要您手动添加分类。

    *正则表达式

    识别规则选择“正则表达式”时,呈现此参数。

    • 内容识别:勾选此项后输入自定义正则表达式,该表达式将用于数据内容识别。内容识别正则表达式举例:“^男$|^女&”
    • 列名识别:勾选此项后输入自定义正则表达式,该表达式将用于字段名精确匹配和模糊匹配两种方式,当前支持多个字段匹配。列名识别正则表达式举例:“age|years”
    • 备注识别:勾选此项后输入自定义正则表达式,例如“.*comment.*”代表模糊匹配备注。

创建组合规则

  1. DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。
  2. 在数据安全控制台左侧的导航树中单击数据识别规则,进入数据识别规则页面。
  3. “识别规则”页面,单击“新建组合规则”,创建组合规则。

    图3 新建组合规则

  4. 新建组合规则参数配置请参考表1,参数配置完成单击“确定”即可。

    图4 组合规则配置

    表2 配置组合规则参数说明

    配置

    说明

    *规则名称
    您可以自行填写分类名称,名称为必填项。建议包含规则含义,避免无意义的描述,以便于使用中能快速选择需要的规则。
    说明:

    定义数据识别规则,名称必须唯一。

    *数据密级

    对配置的数据进行等级划分。如果现有的分级不满足需求,请进入数据密级页面进行设置,详情请参见定义数据密级

    数据分类

    对配置的数据进行分类划分。如果现有的分类不满足需求,请进入数据分类页面进行设置,详情请参见定义数据分类

    规则内容

    定义组合规则中的一条子规则。

    • 规则序号:标识当前子规则,并在条件表达式中表示该子规则。
    • 识别规则:规则内容的类型,支持:正则表达式、GRROVY脚本、正则表达式(忽略大小写)、等于、长度等于、长度大于、长度小于、内置等类型。

      正则表达式举例:“^男$|^女&”

    • 匹配对象:规则识别的数据对象。包含表的列内容、列名称、列注释、表名称、表注释、数据库名等。
    • 表达式/规则模板:按照所选的识别规则填写规则表达式,该表达式将用于匹配对象的识别。
    • 操作:可删除此条子规则内容,或再新建一条子规则

    *条件表达式

    多个子规则间可进行与或非的逻辑判断。

    • 自定义:输入自定义正则表达式,用于对多个子规则进行与或非的逻辑判断。子规则用规则序号A-Z之间表示,逻辑运算符支持&&,||,!,(,)。

      表达式举例:“A&&B”

    • 满足所有条件即命中规则:勾选此项后,自动生成表达同时满足所有规则内容的逻辑表达式。
    • 满足任一条件即命中规则:勾选此项后,自动生成表达只需满足一条规则内容的逻辑表达式。

    规则测试

    通过输入测试数据,判断所写规则是否符合预期。

    规则描述

    对当前规则进行简单描述。

相关操作

  • 编辑识别规则:在识别规则页面,单击对应识别规则操作栏中的“编辑”,即可修改识别规则关联的密级、分类和描述。如果为自定义规则,还支持修改识别规则和正则表达式。
  • 编辑识别规则状态:新增的识别规则默认为启用状态。当识别规则为关闭状态时,表示该规则将不可被添加到识别规则组。

    需要修改识别规则状态时,在识别规则页面单击对应识别规则中的,即可启用或关闭对应规则。

  • 删除识别规则:在识别规则页面,单击对应识别规则操作栏中的“删除”,即可删除识别规则。当需要批量删除时,可以在勾选识别规则后,在列表上方单击“批量删除”。
    • 被引用的数据识别规则无法直接删除,需要先解除引用关系后才能删除。
    • 删除操作无法撤销,请谨慎操作。
  • 测试内置规则模板:在“内置规则模板”页签可查看所有内置规则模板,并且根据输入的自定义样例数据,测试验证内置规则模板的识别结果。
父主题: 敏感数据治理

相关文档