更新时间:2024-10-21 GMT+08:00
分享

添加数据资产

在系统中添加数据资产(即数据库)后,您可以对数据库进行敏感数据识别,对敏感信息进行加解密、脱敏等操作。

本文通过添加MySQL数据库为例,您需要根据实际情况添加相应的数据资产。

使用约束

表1 数据库加密支持纳管的数据源及版本

数据库

版本号

MySQL

5.5 、5.6、5.7、8.0、8.0.13+

Oracle

11.1、11.2、12c、19c

SQLServer

2012、2016

PostgreSQL

9.4、 11.5

DM

6、7.6、8.1

Kingbase

V8 R3、V8 R6

MariaDB

10.2

GaussDB

A

TDSQL

5.7

TBASE

V2.15.17.3

RDS_MYSQL

5.6、5.7、8.0

RDS_PostgreSQL

11

表2 数据库加密的数据库账号权限

数据库

需要select权限的系统表名

数据库账号权限

MySQL

mysql.user

performance_schema.*

select

insert

create

update

delete

drop

alter

index

RDS_MYSQL

mysql.user

performance_schema.*

select

insert

create

update

delete

drop

alter

index

TDSQL

mysql.user

performance_schema.*

select

insert

create

update

delete

drop

alter

index

MariaDB

mysql.user

performance_schema.*

select

insert

create

update

delete

drop

alter

index

DM

SYS.ALL_SUBPART_KEY_COLUMNS

SYS.ALL_USERS

SYS.ALL_CONS_COLUMNS

SYS.ALL_CONSTRAINTS

SYS.ALL_TABLES

SYS.ALL_TABLE_COLUMNS

SYS.ALL_COL_COMMENTS

SYS.ALL_PART_KEY_COLUMNS

SYS.ALL_IND_COLUMNS

SYS.ALL_INDEXS

V$VERSION

V$LOCK

SYS.DBMS_LOB

SYS.DBMS_METADATA

用户角色必须是dba

postgreSQL

pg_catalog.pg_class

pg_catalog.pg_index

pg_catalog.pg_user

pg_catalog.pg_indexes

information_schema.columns

information_schema.sequences

information_schema.tables

pg_catalog.pg_sequence

用户必须是表的owner或者是dba

RDS_PostgreSQL

pg_catalog.pg_class

pg_catalog.pg_index

pg_catalog.pg_user

pg_catalog.pg_indexes

information_schema.columns

information_schema.sequences

information_schema.tables

pg_catalog.pg_sequence

用户必须是表的owner或者是dba

TBASE

pg_catalog.pg_class

pg_catalog.pg_index

pg_catalog.pg_user

pg_catalog.pg_indexes

information_schema.columns

information_schema.sequences

information_schema.tables

pg_catalog.pg_sequence

用户必须是表的owner或者是dba

GAUSSDB

pg_catalog.pg_class

pg_catalog.pg_index

pg_catalog.pg_user

pg_catalog.pg_indexes

information_schema.columns

information_schema.sequences

information_schema.tables

pg_catalog.pg_sequence

用户必须是表的owner或者是dba

KINGBASE 8.6(pg模式)

pg_catalog.pg_class

pg_catalog.pg_index

pg_catalog.pg_user

pg_catalog.pg_indexes

information_schema.columns

information_schema.sequences

information_schema.tables

pg_catalog.pg_sequence

pg_catalog.pg_matviews

用户必须是表的owner或者是dba

KINGBASE 8.3

sys_catalog.sys_class

sys_catalog.sys_index

sys_catalog.sys_user

sys_catalog.sys_indexes

information_schema.columns

information_schema.sequences

information_schema.tables

sys_catalog.sys_sequence

sys_catalog.sys_matviews

用户必须是表的owner或者是dba

Oracle

SYS.ALL_SUBPART_KEY_COLUMNS

SYS.DUAL

SYS.ALL_USERS

SYS.ALL_CONS_COLUMNS

SYS.ALL_CONSTRAINTS

SYS.ALL_TABLES

SYS.ALL_TABLE_COLUMNS

SYS.ALL_COL_COMMENTS

SYS.ALL_PART_KEY_COLUMNS

SYS.ALL_IND_COLUMNS

SYS.ALL_INDEXS

SYS.V_$INSTANCE

SYS.DBMS_LOB

SYS.DBMS_METADATA

DBA_TABLES

DBA_TAB_COLS

用户角色必须是dba

SQLserver

sys.tables

sys.indexes

sys.index_columns

sys.default_constraints

sys.systypes

sys.extended_properties

sys.foreign_key_columns

sys.check_constraints

sys.foreign_keys

sys.columns

sys.objects

sys.all_columns

sys.types

sys.syslogins

sys.all_objects

sys.schemas

sys.key_constraints

sys.computed_columns

sys.triggers

sys.partition_schemes

sys.dm_sql_referencing_entities

schemaSelect

schemaInsert

schmeaUpdate

schemaAlter

createTable

VIEW SERVER STATE

加密表的select

加密表的insert

加密表的alter

操作步骤

  1. 使用系统管理员sysadmin账号登录数据库加密与访问控制实例
  2. 在左侧导航栏,选择资产管理 > 数据源管理
  3. 单击右上角的“添加数据源”
  4. 在添加数据源对话框中,设置资产信息,详细信息如表3所示。

    表3 添加数据源参数配置

    参数

    说明

    数据库信息

    数据源名称

    自定义设置数据资产名称。

    数据源类型

    在下拉栏中选择数据库类型。支持的数据库类型及版本请参见使用约束

    数据源版本

    在下拉栏中,选择数据库的具体版本号。

    读写分离/RAC

    如果数据库是读写分离部署,需要勾选此选项,并设置从数据库节点信息。

    数据源地址

    设置数据库的IP地址。

    数据源端口

    设置数据库的连接端口。

    代理地址

    从下拉框中选择代理地址,即数据库访问与控制的IP地址。

    代理端口

    设置代理端口。运维人员通过代理IP + 代理端口访问数据库。

    • 取值范围:1025-65535。
    • 您可以在范围内设置一个任意的空闲端口。不能使用其他数据资产已经使用的端口。例如,数据资产A使用了14000端口,那么数据资产B则不能使用14000端口。

    可单击“自动分配”,由系统自动分配空闲的代理端口。

    数据库/实例名/SID/服务名/模式

    设置数据库/实例名/SID/服务名/模式。

    数据库账号

    设置数据库登录用户。

    数据库密码

    设置数据库登录密码。

    加密参数

    加密方式

    • 设置资产加密方式,可选项如下:
      • 一资产一密:资产下DEK相同,支持连接查询,支持跨库查询。
      • 一列一密:资产下DEK不同,不支持连接查询,不支持跨库查询。

    无权限缺省显示

    • 设置用户没有权限访问数据库时看到结果。可选项如下:
      • 密文:查看到密文信息,编码格式为BASE64或者十六进制,具体请参见设置加密参数
      • 缺省数据:查看到缺省数据,同时需要设置字符串类型的缺省数据。
      • NULL:查看到的内容为空。

    主机信息(可选)

    配置监控阈值后,系统只会在数据库服务器监控阈值范围内对数据进行分批次的加密,资源使用率超过阈值后停止加密,降低对业务的影响。如果条件允许,建议配置。

    主机IP

    设置主机IP地址。

    主机端口

    设置主机SSH服务端口,默认SSH服务端口为22。

    用户名

    设置主机登录用户名。

    密码

    设置主机登录密码。

    字符集

    主机使用的字符集,测试主机连接后自动获取。

    主机操作系统

    主机的操作系统信息,测试主机连接后自动获取。

    内核

    主机的内核信息,测试主机连接后自动获取。

    指标监控阈值

    设置主机监控指标(CPU、内存、IO、网络)的阈值。系统仅在阈值范围内对数据库数据进行加密,降低对业务的影响。

    日志信息

    数据库日志文件名

    设置数据库日志文件路径。

  5. (可选)配置完成后,单击“测试数据库连接”,检查数据库是否能连接。
  6. (可选)单击“测试账号权限”,检查数据库账号权限是否满足加密要求。

    如果数据库账号权限不满足加密要求,请参考表2,配置数据库账号权限。

  7. (可选)如果配置主机信息,单击“测试主机连接”,检查是否能连上主机,并自动获取字符集和主机操作系统。
  8. 单击“保存”,保存数据资产的配置信息。

    资产添加完成后,您可以在数据源列表中查看新添加的数据资产信息,如图1所示。

    图1 数据源列表

  9. 在列表中,单击启用按钮,启用数据库代理。

    启用后,可通过代理IP + 代理端口访问数据库。

相关操作

  • 在数据源列表“策略配置”列单击,跳转到加密队列配置页面。建议在配置加密队列前进行敏感数据识别,具体操作,请参见扫描资产的敏感数据
  • 在数据源列表“策略配置”列单击,跳转到脱敏规则配置页面。建议在配置脱敏规则前进行敏感数据识别,具体操作,请参见扫描资产的敏感数据
  • 在数据源列表“操作”列单击“编辑”,修改数据资产信息。
  • 在数据源列表“操作”列单击“删除”,删除不再需要的数据资产。

    如果提示当前数据库未回滚表结构,请根据实际情况,回滚表结构或者配置解密队列

相关文档