接上篇:https://developer.aliyun.com/article/1225558?spm=a2c6h.13148508.setting.20.187d4f0eZKIFRF
数据资产在现代企业中非常重要,各大企业越来越重视对数据资产的保护,尤其是数据库中的敏感数据。由于敏感数据管理不善导致的数据泄露,而引发企业公关风险问题十分常见,Verizon发布《2022年数据泄露调查报告》(DBIR)指出,2022年数据泄露事件中82%的违规行为涉及人为因素。
敏感数据管理难点在于敏感数据无法有效识别、无法单独授权、无法限制人员访问、无法审计。
DMS提供了一套完善且灵活的敏感数据管理体系,支持以规则扫描方式识别敏感数据。DMS内置了一些行业或法案识别规则,也支持用户自定义基于源数据或数据内容的识别规则。
DMS通过扫描目标库源数据或随机抽取少量抽样数据匹配敏感数据。针对敏感数据,用户可以设置加密算法,如哈希、遮掩、替换、变换等。每种算法又包含很多细分算法,有助于实现不同场景的差异化脱敏。
查询被识别成敏感字段的数据需要申请敏感字段权限,没有明文权限或半脱敏权限,字段只显示为星号。半脱敏权限下,页面会显示一半的明文数据,只有申请明文权限,页面才会显示完整的明文数据。
敏感数据加密后,用户也可以查询加密后数据并导出,导入到其他的环境或用于其他用途。
DMS还提供了敏感数据审计功能,记录了敏感数据在DMS中的使用情况,方便解决敏感数据异常使用或数据泄露溯源问题。
企业级数据库管理中,不同的业务场景或系统存在不同的个性化需求,如限制单次查询的返回行数、限制查询或数据导出时间、限制全表扫描的最大值等。在特殊场景,如“双十一”等业务关键时刻,用户需要对变更窗口进行管制,拦截高风险SQL,升级审批流程等。
DMS通过一组领域专用语言DSL实现了对数据库实例的精细化管控,通过DSL安全规则对DMS操作进行管控,在DMS平台内打造了一套符合企业实际操作规范的流程。任何不符合安全规范的操作,DMS都会进行拦截。
DMS默认内置了阿里巴巴安全规范,用户也可以根据业务诉求自定义其安全规则。
用户可以在DMS数据管理服务web页面新增安全规则。
MySQL引擎内新增的test 1117规则继承了内置的安全规范模板,包含详细的安全规范,如单次查询最大返回行数、限制全表扫描最大值、关闭SQL校验影响行数等。
用户可以自定义限制单次执行SQL个数。
DMS语法包含因子、动作、函数、操作符四种,其中因子是语法执行条件;动作是拒绝执行或允许执行的规则,动作后可附带备注弹窗,提示限制动作;函数是条件拼接形成的语句;操作符包含大于、小于等符号。
DMS可以定制化实现用户需求。
除了SQL窗口变更,DMS还提供了数据导出审批模板,用户可以自定义配置审批模板。在审批流程里新增审批模板,自定义角色及审核流程。DMS能够满足公司特殊时刻业务升级、审批流程等需求。
此外,DMS安全规则还提供了包括权限申请流程、表结构设计、SQL优化审计等功能。
接下篇:https://developer.aliyun.com/article/1225555?spm=a2c6h.13148508.setting.22.187d4f0eZKIFRF
