场景四：动态脱敏典型配置举例

动态脱敏操作流程

数据库加密与访问控制支持配置动态脱敏策略，对数据库资产中的明文数据进行脱敏展示，动态脱敏流程如图1所示。

图1 动态脱敏流程

1. 添加数据源。

   在使用数据脱敏功能前，您需要将数据资产添加到系统中。具体操作，请参见添加数据资产。

2. （可选）配置行业模板和敏感数据类型。

   系统已经内置满足大部分需求的敏感数据类型和通用行业模板。如果您有特殊需求，也可以自定义敏感数据类型和行业模板。具体操作，请参见新增行业模板和新增自定义数据类型。

3. 执行敏感数据发现。

   通过敏感数据发现任务，自动扫描和识别出数据资产中的敏感数据。具体操作，请参见扫描资产的敏感数据。

4. （可选）查看任务执行结果。

   通过查看任务执行结果，查看命中的敏感数据。具体操作，请参见查看扫描任务执行结果。

5. 创建脱敏规则。

   您可以在敏感数据发现任务的结果中，根据敏感数据信息创建加密队列。具体操作，请参见在结果中创建脱敏规则。

   同时，也支持在动态脱敏模块直接创建脱敏规则。具体操作，请参见创建脱敏规则。

6. （可选）配置脱敏白名单。

   配置脱敏规则并启用后，默认情况下访问数据库的明文数据时，您只能看到脱敏后的数据。配置脱敏白名单后，白名单中的用户访问数据库可查看到明文数据。具体操作，请参见1.4.8.3 配置脱敏白名单。

7. 配置完成后，您可以代理访问验证脱敏规则配置效果。

步骤二：执行敏感数据发现任务

1. 使用sysadmin用户登录实例Web控制台。
2. 在左侧导航栏，选择“敏感数据发现 > 敏感数据扫描”。
3. 找到目标数据资产，单击“任务配置”。
4. 在“任务配置”对话框中，设置敏感数据发现任务。
   图3 配置敏感数据发现任务
   
5. 单击“保存”，完成敏感数据任务配置。
6. 找到目标数据资产，单击按钮执行敏感数据发现任务。

执行开始后，系统自动扫描识别敏感数据。扫描时间和需要扫描的数据量有关，数据量越多，需要扫描的时间越长，您可以在页面查看扫描进度。

步骤三：在发现结果中创建脱敏规则

1. 使用sysadmin用户登录实例Web控制台。
2. 在左侧导航栏，选择“敏感数据发现 > 敏感数据扫描”。
3. 在扫描任务列表页面，找到目标数据资产，单击“查看”。
4. 在扫描结果列表页面，找到目标数据库表，单击“添加脱敏规则”。
5. 在“添加脱敏规则”对话框中，设置脱敏信息。
   图4 添加脱敏规则
   
6. 配置规则名称，并在脱敏列表中选择数据类型对应的脱敏算法。
7. 单击“保存”。

脱敏规则保存后自动启用，访问数据库时查询到的明文数据均为脱敏后的数据。此时可配置脱敏白名单，命中白名单则放行不脱敏。

步骤四：配置脱敏白名单

1. 使用sysadmin用户登录实例Web控制台。
2. 在左侧导航栏中，选择“动态脱敏 > 脱敏规则”。
3. 在左侧数据源列表中，单击目标数据源。
4. 找到目标数据源的脱敏规则列表中，单击“脱敏白名单”。
5. 在白名单列表页面，单击“添加白名单”。
6. 在“添加白名单”对话框中，设置白名单范围，完成后单击“保存”。
   图5 添加白名单
   

   支持配置的白名单参数包括数据库用户名、IP地址范围、开始时间、结束时间，各参数为“且”的关系，若配置多参数个需同时命中，白名单方可生效。

步骤五：通过代理连接数据库

此处以DBeaver工具为例，在实际使用过程中，您需要修改应用系统对接到数据库的连接信息。

本文以DBeaver工具为例，通过代理连接到数据库。

图6 通过代理连接数据库

1. 单击图标。
2. 在选择新连接类型对话框中，选中MySQL。
3. 单击下一步。
4. 在“设置MySQL连接”对话框中，设置连接信息。

   连接信息说明：

   • 服务器地址：使用数据库加密与访问控制系统的访问IP地址。例如192.xx.xx.54。
   • 端口：使用代理端口，即创建资产时设置的代理端口（14099）。
5. 单击“测试链接”，测试是否能够连接到数据库。
6. 测试通过后，单击“下一步”，按照界面提示完成操作。

步骤六：验证脱敏结果

参考步骤五（通过代理连接数据库）操作连接数据库，验证脱敏规则及脱敏白名单是否配置成功：

1. 用户的IP地址为172.16.215.108（非脱敏白名单中的地址），通过代理方式访问数据库，只能查看到脱敏数据。
   图7 脱敏数据
   
2. 用户的IP地址为172.16.215.107（脱敏白名单中的地址），通过代理方式访问数据库，能查看到明文数据。
   图8 明文数据