脱敏规则
脱敏规则
使用场景:数据开发人员根据需求针对特定敏感数据建立脱敏规则,防止敏感数据暴露。
使用角色:数据开发人员。
功能描述:平台提供数据脱敏能力,可通过内置的脱敏算法快速创建脱敏规则,并关联字段,实现安全脱敏。
规则配置
进入数据安全 > 数据脱敏 > 脱敏规则界面,点击页面上方的 “新建脱敏规则” 按钮,根据实际需要填写相关信息后“保存”即可。
脱敏规则
平台目前支持三种类型脱敏规则:无效化、随机值、平均值,供用户选择,并可预览脱敏后效果。脱敏规则将对“敏感处理”页面已确认敏感的字段自动完成动态脱敏,以防止数据预览、消费时暴露敏感数据。
脱敏规则类型
平台提供多种规则类型可选择使用,具体如下表:
规则类型 | 适用场景 | 脱敏效果 |
|---|---|---|
| 无效化-字符掩盖 | 可设置掩盖模式(字符掩盖从何处开始与结束),掩盖模式内的数据都会被掩盖字符代替。 - 适用于需显示部分信息的场景 | 以语句“今天天气真好”为例,设置掩盖模式为自3至5,掩盖字符为星号,则从第3个字“天”开始到第五个字“真”结束,最终脱敏显示效果为“今天***好” |
| 无效化-关键字替换 | 数据中含有该关键字的部分都会被替换字符串代替。 - 适用于统一存在关键信息的场景 | 以数字“12304202444444”为例,设置关键字为“2024”,替换字符串为“----”,则脱敏后的数据为“12304----44444” |
| 无效化-字符删除 | 数据中所用信息将会全部删除。 - 适用于所有信息均敏感的场景 | 数据在前端展示、查询时,对应字段记录显示为空 |
| 无效化-Hash处理 | 系统通过不可逆加密算法对数据进行hash处理。 - 适用于所有信息均敏感的场景 | 平台自动使用SHA256算法对字段所有信息进行加密,如“15077777888”,脱敏后数据为“ab06aa027246c193cd2dc60b7b551cea51a15483cada82ed9bea57d2e90d792f” |
| 随机值 | 对所选姓名、手机号、固话号、电子邮箱、身份证号、地址,用对应的随机值进行替换,尽量保留原有数据格式。 - 适用于仍需使用相似信息的敏感场景 | 如通过系统内置的姓氏字典,对姓名进行随机值脱敏,原“张三”,脱敏后数据为“黄财”(随机值为动态替换,每次查看的脱敏后值可能不一样) |
| 平均值 | 默认每10条数据取一个平均值。 - 常用于统计场景,针对数值型数据,先计算均值,然后使脱敏后的所有数值在均值附近随机分布,并保持数据的总和不变 | 如“985,115.2,100.343”,脱敏后数据为“720.691,218,261.852” |
识别规则
新建脱敏规则时,支持添加自定义识别规则,用以自动识别敏感字段,后续则可在脱敏处理页面对识别出的敏感字段绑定脱敏规则。
- 自定义识别规则支持名称、数据两类规则,可分别配置对应名称、正则表达式,支持配置多个表达式
注意
- 识别规则名称在空间内所有脱敏规则中均不可重复,表达式可重复
- 识别规则提供基础正则格式校验,主要针对格式不合法的规则,如:[a-z
- 识别规则若配置错误,不会中断识别扫描任务,仅该规则忽略且无识别结果
- 数据识别采用随机抽样,将数据值命中80%以上的字段视为符合规则的敏感字段,抽样逻辑如下:
①数据量小于等于1000,全量采样识别
②数据量大于1000,小于等于10000,随机采样1000条识别
③数据量大于10000,随机采样10%识别,最多采集10000条
表-常用识别规则示例
| 根据字段信息识别 | 根据数据识别 | |
|---|---|---|
| 座机号/手机号 | 字段名包含: mobile、phone、telno、tel_no、shouji、sjh 或中文名、描述包含:手机、座机;且数据类型为int4、int8、float4、float8、decimal、char、varchar、text 表达式示例:.*(phone).* 或.*(mobile|telno|tel_no|shouji|sjh).* | 国际区号(86)加11位手机号,国际区号可选3到4位区号-6到8位座机号,区号可选 表达式示例: (010|02\d|0[3-9]\d{2})?-?(\d{6,8})或(?:0|86|+86)?1[3-9]\d{9} |
| 身份证号、驾驶证号、护照号码、港澳台通行证号码 | 字段名包含:idcard、id_card、sfzh 或中文名、描述包含:身份证号、驾驶证号、护照号、通行证号、证件号;且字段类型为:char,varchar,text 表达式示例:.*(id_card|idcard|sfzh).* | 18位身份证号1位大写字母加6位数字1位大写字母加8位数字 表达式示例:[1-9]\d{5}[1-2]\d{3}((0\d)|(1[0-2]))(([012]\d)|3[0-1])\d{3}(\d|X|x)###^[A-Z]\d{6}(?:\d{2})?$ |
| 金额 | 中文名或描述包含:金额、工资、薪酬;且字段类型为:int4、int8、float4、float8d、ecimal、char、varchar、text | 无 |
| 邮箱 | 字段名包含:email、e_mail或中文名、描述包含:邮箱;且字段类型为:char、varchar、text 表达式示例:.*(email|e_mail).* | 邮箱数据格式 表达式示例:ext.email |
| 地址 | 字段名包含:address或中文名、描述包含:地址、住址;且字段类型为:char、varchar、text 表达式示例:.*(address).* | (省|自治区|直辖市|特别行政区)(市|地区|州|盟)(县|区|旗|自治县|自治旗|林区)(街道|镇|乡|农场)(路|街|巷|弄|道|庄|村|屯|组)***号6段中匹配4段及以上 表达式示例:ext.address |
修改
脱敏规则所有配置内容均可修改,修改影响说明如下:
- 脱敏规则修改后,在数据预览、数据消费时使用新的脱敏规则;
- 名称识别规则在新建/修改数据表时使用新的脱敏规则,历史已名称识别的字段不受影响;
- 数据识别规则在立即识别时使用新的识别规则扫描,历史已数据识别但未确认敏感字段将同样参与新规则识别扫描。
解除关联
点击查看脱敏规则,进入规则详情,可查看规则关联的对象,再点击操作列“解除关联”,即可解除关联关系,支持批量取消关联。
- 说明:只有解除关联后方可删除脱敏规则。
删除
若当前脱敏规则并未关联任何字段时,点击目标脱敏规则操作列中的“删除”按钮并二次确认后即可删除脱敏规则。若关联字段,可使用“解除关联”功能快速处理
