配置脱敏规则
本章节介绍如何配置脱敏规则。更多关于脱敏算法说明请参见概述。
Hash脱敏
将字符串类型字段用Hash值代替。在关系型数据库中,当该字段长度小于Hash长度时,会将目标库中该字段的长度与Hash值长度设置相同,保证Hash值完整写入目标库。DSC默认配置了SHA256和SHA512两种Hash脱敏的算法。
Hash脱敏为DSC内置的脱敏规则,不需要配置,如果您需要测试脱敏效果,可参考以下方法查看脱敏结果。
- 参照操作步骤进入“脱敏规则”页面。
- 选择“Hash脱敏”,进入Hash脱敏的页面。
图1 Hash脱敏
- 在选择的SHA256或SHA512算法所在列,单击“编辑测试”。
- 在“编辑测试”页面中,“脱敏算法”选择“Hash脱敏”,输入“原始数据”,单击“测试”,“脱敏结果”文本框中展示已完成脱敏的数据。
图2 Hash脱敏测试
加密脱敏
通过加密算法和加密主密钥生成一种加密配置,达到数据脱敏的效果。
- 参照操作步骤进入“脱敏规则”页面。
- 选择“加密脱敏”页签,进入“加密脱敏”页面。
- “主密钥算法”:在下拉框选择加密算法,DSC提供了“AES256”和“SM4”加密算法供您选择。
表1 主密钥算法介绍 密钥类型
算法类型
密钥规格
说明
用途
对称密钥
AES
AES_256
AES对称密钥
小量数据的加解密或用于加解密数据密钥。
对称密钥
SM4
SM4
国密SM4对称密钥
小量数据的加解密或用于加解密数据密钥。
- “KMS加密”可以选择“从KMS密钥中选择”和“输入KMS密钥ID”两种方式:
- “从KMS密钥中选择”:单击下拉框选择已有的KMS主密钥,如果没有可选择的主密钥,单击“创建KMS主密钥”进行创建,创建方式详情请参见创建KMS主密钥。
默认使用凭据管理为您创建的默认主密钥csm/default作为当前凭证的加密主密钥,您可以前往KMS服务页面创建用户密钥,使用自定义加密密钥。
- “输入KMS密钥ID”:输入位于当前Region的密钥。
- “从KMS密钥中选择”:单击下拉框选择已有的KMS主密钥,如果没有可选择的主密钥,单击“创建KMS主密钥”进行创建,创建方式详情请参见创建KMS主密钥。
- 单击下拉框选择“数据密钥长度”,有128、192和256三种供选择。
- “主密钥算法”:在下拉框选择加密算法,DSC提供了“AES256”和“SM4”加密算法供您选择。
- 配置完成后,单击“生成加密配置”。
如果您需要删除已配置的加密脱敏规则,可在目标规则所在列的“操作”列,单击“删除”。
单击打开轮换策略,轮换周期到期后会更新当前加密配置提升安全性。
字符掩盖
使用指定字符“*”或随机字符,按照指定方式遮盖部分内容。
支持“保留前n后m”、“保留自x至y”、“遮盖前n后m”、“遮盖自x至y”、“特殊字符前遮盖”和“特殊字符后遮盖”字符掩盖的方式。
- 参照操作步骤进入“脱敏规则”页面。
- 选择“字符掩盖”页签,进入“字符掩盖”页面。
图3 字符掩盖页面
- 单击“添加”,配置字符脱敏规则。
图4 添加字符脱敏
- 输入“原始数据”,单击“测试”,在“脱敏结果”文本框中展示已完成脱敏的数据。
- 测试确认无误后,单击“保存”。
- 数据安全中心服务中已预置多种字符脱敏规则。内置的脱敏规则不支持删除,自定义的规则可以在规则列表的“操作”列,单击“删除”,删除规则。
- 所有的规则都支持编辑,在规则列表的“操作”列,单击“编辑测试”,修改规则。
关键字替换
利用自定义的字符串替换数据中匹配到的关键字,达到脱敏的效果。例如:原始数据为abcdefgbcdefgkjkoij,“关键字”配置为“bcde”,“替换字符串”配置为12,则“脱敏结果”显示为a12fg12fgkjkoij。
- 参照操作步骤进入“脱敏规则”页面。
- 选择“关键字替换”页签,进入“关键字替换”页面。
图5 关键字替换
- 单击左上角“添加”,进入“添加关键字”界面。
- 设置需要替换的“关键字”,以及“替换字符串”。
配置后,“原始数据”中匹配到的“关键字”将被设置的“替换字符串”替换,以完成数据脱敏。图6 添加关键字
- 输入“原始数据”,单击“测试”,在“脱敏结果”文本框中展示已完成脱敏的数据。
- 测试确认无误后,单击“保存”。
- 如果您想修改已配置的脱敏规则,可以在关键字替换规则列表的操作列,单击“编辑测试”进行修改。
- 如果您想删除已配置的脱敏规则,可以在关键字替换规则列表的操作列,单击“删除”。
删除脱敏
- Null脱敏:将任意类型字段设置为NULL。对于属性设置为“NOT NULL”的字段,该算法在拷贝时将该属性修改为“NULL”。
- 空值脱敏:将指定字段内容设置为空值。具体来说,将字符型的字段设置为空串,数值类的字段设置为0,日期类的字段设置为1970,时间类的字段设置为零点。
删除脱敏为DSC内置的脱敏规则,不需要配置,可参考以下方法查看脱敏规则。
- 参照操作步骤进入“脱敏规则”页面。
- 选择“删除脱敏”页签,进入“删除脱敏”的规则展示页面。
图7 删除脱敏
取整脱敏
- 参照操作步骤进入“脱敏规则”页面。
- 选择“取整脱敏”,进入“取整脱敏”的页面。
系统设置了“日期取整”和“数值取整”两种算法。
- “日期取整”算法对应关系型数据库中timestamp,time,data,datatime等与时间相关的字段。
- “数值取整”算法对应double,float,int,long等数值类型,脱敏成功后,保持原字段类型不变。
图8 数值脱敏页面
- 单击“编辑测试”,配置“取整值”。
脱敏原理:结果值取靠近“取整值”倍数的向下值。例如:“取整值”设置为5,“原始数据”为14,5的倍数向下靠近14的数为10,则原始数据14按此规则脱敏后为10,即“脱敏结果”为10。图9 数值取整
- 输入“原始数据”,单击“测试”,在“脱敏结果”文本框中展示已完成脱敏的数据。
- 测试确认无误后,单击“保存”。
仿真脱敏
在敏感数据识别到匹配敏感内容后,会使用仿真的数据替换匹配敏感内容,目前仅适用于OBS脱敏任务。
编号 |
敏感数据规则名称 |
仿真脱敏的类型 |
---|---|---|
1 |
身份证号(中国内地) |
身份证号 |
2 |
生日 |
随机日期(指定范围) |
3 |
日期 |
随机日期(指定范围) |
4 |
手机号码(中国内地) |
手机号码 |
5 |
邮箱 |
邮箱 |
6 |
邮政编码(中国内地) |
邮政编码 |
7 |
地址(中国内地) |
地址 |
8 |
精确地址(中国) |
地址 |
9 |
唯一设备识别码IMEI |
IMEI |
10 |
IPv4地址 |
ipv4 |
11 |
IPv6地址 |
ipv6 |
12 |
银行卡号 |
银行卡号 |
13 |
姓名(简体中文) |
人名 |
14 |
车牌号(中国内地) |
车牌号 |
15 |
护照号(中国内地) |
护照号 |