手册下载
H3C SecPath DM2000-D数据脱敏系统
Web配置指导
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
H3C SecPath DM2000-D数据脱敏系统是一款高性能、广兼容、多场景支持的数据去标识化产品。支持全遮蔽、置空、部分遮蔽等脱敏算法和策略。能够满足大多数用户针对敏感数据的合规性要求以及敏感数据泄露防护等场景的业务需求。
H3C SecPath DM2000-D数据脱敏系统支持Oracle数据库、Mysql数据库、Sqlserver数据库、PostgreSQL数据库、达梦数据库、金仓数据库、GreenPlum数据库、高斯100/200/300数据库、Teradata数据库、ShenTong数据库、Elastic Search大数据、Phoenix大数据、HBase大数据、Hive大数据、Kudu大数据、Max Compute大数据以及API网关。
H3C SecPath DM2000-D数据脱敏系统的功能,可以满足用户多场景即时数据脱敏的需求。H3C SecPath DM2000-D数据脱敏系统支持数据库用户、访问IP、数据库服务名、操作时间段等精细颗粒度的访问控制功能,提供指定用户类型对应指定策略的定向数据脱敏。确保不同身份、不同权限、不同来源、不同目的数据库用户,能够合理合规、安全可控的访问数据库中的敏感数据。
H3C SecPath DM2000-D数据脱敏系统功能模块按照系统角色的权限进行划分。
系统管理员(admin)可以完成完整的脱敏过程,一个完整的脱敏过程主要是从数据库的连接,到敏感数据自动发现,最后是对扫描的敏感数据制定脱敏规则。此外是一些其他的延伸功能,比如能够针对用户的其他操作进行的数据保护,能够对数据访问和用户请求进行统计,能够为部分用户设置不同脱敏结果,能够自定义相关数据类型和算法模板等。
安全管理员:(secadmin):可以对系统的角色,账号进行维护。包括新建角色和账号,对角色进行功能授权,将账号与角色进行关联,对账号申请进行手动或者自动审核,支持按照模版批量导入账号。对平台进行维护,对平台登录,账号密码,网络访问等进行安全设置等。
审计管理员:(audadmin):主要是针对系统的一些操作行为形成日志,进行查看和检索。
H3C SecPath DM2000-D数据脱敏系统的功能,主要满足用户针对业务脱敏、运维脱敏、数据交换脱敏等多场景即时数据脱敏的需求。
第一种应用场景是业务脱敏:应用系统本身会根据用户的权限对数据进行处理,对于遗留系统(旧系统无法再作升级改造)以及开发时未考虑《网络安全法》中要求的个人隐私保护问题,若重新更改代码过于复杂,需要依赖于外部技术实现数据的隐私保护。
第二种是运维脱敏:运维人员拥有的是管理员帐号DBA账号,但业务系统的数据是属于业务单位而不是运维部门。从职责分离的原则上,如何实现既允许运维人员访问业务生产数据库又不能让他们看到敏感数据。
第三种是数据交换脱敏:业务系统与业务系统之间的数据访问,在满足隐私保护时需要对交换的数据进行脱敏处理,不像传统的静态脱敏一样需导出数据脱敏后再移交,是通过业务系统之间的接口直接调用,这就属于应用系统之间不落地的数据交换,针对这种交换的数据需要作脱敏处理。
H3C SecPath DM2000-D数据脱敏系统支持硬件、软件和虚拟化三种部署形态。支持市面大部分数据源类型,包括持Oracle、Mysql、Sqlserver、PostgreSQL、达梦数据库、金仓数据库、GreenPlum、高斯数据库、Teradata数据库、ShenTong数据库、Hbase大数据、Elastic Search大数据、Phoenix大数据、Hive大数据、Kudu大数据、Max Compute大数据和API网关。
普通的数据脱敏产品只能根据数据库用户级别进行脱敏权限控制。新华三通过应用关联技术可做到应用系统用户级的脱敏权限控制。权限控制精度从“人群”到“人”。
通过替换原生的JDBC驱动,可以通过普通的SQL请求报文里携带应用系统的app id、app username等参数,从而精准的定位SQL请求是哪个用户通过操作应用系统发起的,从而实现精准的身份定位。
大型的信息系统中一般都是通过数据网关以接口(API)的方式获取数据。数据共享的应用与应用之前通过API进行数据共享已成为一个广泛的趋势。在这个数据交换的过程中同样需要做到对敏感数据的脱敏。
API脱敏还可以与数据治理平台联动,按照数据分类分级标准实现精细管控。
高效的SQL语法树DAG分析算法,即使在复杂的语句中也能精确定位敏感数据列。解决数据脱敏产品面对复杂SQL因为定位不到敏感数据列而脱敏失效的行业难题。远超70%的业界平均准确率。
业内使用UDF脱敏方案的产品时延增加一般为30%~80%。 H3C SecPath DM2000-D数据脱敏系统通过智能学习和高效缓存,将脱敏时延降低到15%之内。
采用B/S架构,提供WEB管理界面,更直观清晰
支持代理部署模式
内置丰富的敏感数据自动发现规则以及脱敏算法(支持仿真、随机、置空、固定替换等)
支持用户组合用户管理,可以对用户组和用户进行授权控制。
可对Mysql、SQLserver、Oracle等主流数据库进行脱敏,并支持自定义脱敏算法
生产数据不落地,确保了生产数据脱敏过程中的安全性
采用三权分立的管理模式,具备访问控制能力,保证自身安全
支持用户行为日志和脱敏日志查看
系统将系统角色划分为三类:系统管理员、安全管理员、审计管理员。每类角色的区别在于对系统拥有不同的访问、控制权限,可以进行不同的功能应用。具体如下:
系统默认用户名及密码为:admin/admin。对系统的主要操作包括:
数据源管理。
敏感数据和算法管理。
敏感数据发现。
脱敏规则管理。
系统配置。
高级功能配置。
系统默认用户名及密码为:secadmin/secadmin。对系统的主要操作包括:
角色管理。
账号管理。
平台维护。
账号审核。
安全配置。
系统默认用户名及密码为:audadmin/audadmin。对系统的主要操作包括:
系统日志查看。
三类角色对系统的操作权限不同,分别被赋予了不同的权限,参见表1-1。
一级菜单 |
二级菜单 |
admin |
secadmin |
audadmin |
首页 |
- |
√ |
- |
- |
资源管理 |
数据源管理 |
√ |
- |
- |
资产状态 |
√ |
- |
- |
|
敏感数据访问统计 |
√ |
- |
- |
|
敏感数据和算法 |
数据类型管理 |
√ |
- |
- |
脱敏算法管理 |
√ |
- |
- |
|
行业模板 |
√ |
- |
- |
|
敏感数据发现 |
- |
√ |
- |
- |
脱敏规则 |
- |
√ |
- |
- |
系统配置 |
系统信息 |
√ |
- |
- |
服务器配置 |
√ |
- |
- |
|
系统维护 |
√ |
- |
- |
|
日志管理 |
√ |
- |
- |
|
高级功能 |
拓展规则 |
√ |
- |
- |
应用授权 |
√ |
- |
- |
|
安全管理 |
角色管理 |
- |
√ |
- |
账号管理 |
- |
√ |
- |
|
平台维护 |
- |
√ |
- |
|
账号审核 |
- |
√ |
- |
|
安全配置 |
- |
√ |
- |
|
系统日志 |
- |
- |
- |
√ |
浏览器中输入URL:https://服务器IP地址(如:172.16.11.93:8282),进入数据脱敏系统登录页面,如图2-1所示。初次登录请输入系统管理员用户名,密码(默认用户名:admin,默认密码:admin),点击“登录”按钮,进入管理界面。
系统管理员(admin)登录数据脱敏系统,如图2-2,图2-3所示,在主界面右上方点击登录的账户下拉框选择“修改密码”菜单。
如图2-4所示,进入修改密码功能界面,输入原密码、新密码、确认密码后,点击“确定”按钮,即可成功修改密码,退回至登录页面,此时输入管理员账号和更改后的密码,点击“登录”按钮,即可进入管理页面。
在密码修改页面,填写修改密码页面内容后,也可点击“取消”按钮,关闭修改密码页面,取消修改密码操作。
系统管理员(admin)登录数据脱敏系统,进入首页,首页以可视化面板的形式将一些统计信息进行展示,比如敏感数据信息,脱敏情况,资产信息,和访问信息等,页面布局如图2-5所示。
产品首页展示分为7个模块。分别为:敏感数据统计、资产类型统计、敏感数据类型统计、脱敏数据TOP5统计、资产访问TOP5统计、终端请求TOP5统计、敏感数据访问流量图。
查看首页的具体步骤如下:
(2) 查看敏感数据统计,包括资产数统计、敏感数据表统计、敏感数据列统计。脱敏数据列统计、未脱敏数据列统计;
(3) 查看资产类型统计,统计每种数据源类型的总数,并以饼图的形式,显示每种数据源占比;
(4) 查看敏感数据类型,把所有敏感数据发现的结果,按照每种类型的统计数量,从高到低以柱状图的形式显示;
(5) 查看脱敏数据TOP5统计,显示访问数据量最多的前5个敏感数据列,以柱状图的形式显示。每个数据列显示单位时间内的访问总数;
(6) 查看资产访问TOP5统计,显示接收敏感数据请求最多的前5个数据资产,以柱状图的形式显示,每个资产显示单位时间内的访问总数;
(7) 查看终端请求TOP5统计,显示发送敏感数据请求最多的前5个终端IP,以柱状图的形式显示,每个终端显示单位时间内的请求总数。
(8) 查看敏感数据访问流量,显示不同客户端访问数据源资产次数,以柱状图的形式显示。
系统管理员(admin)登录数据脱敏系统,进入资产管理页面,资产管理主要实现连接数据库,统计资产信息和敏感数据、脱敏规则等,统计敏感数据的访问情况,页面如图2-6所示。
添加需要脱敏的数据资产, 数据资产支持不同数据库的切换,数据库相关信息的添加,并自定义脱敏服务端口。
添加数据资产的具体步骤如下(以oracle数据库为例):
(1) 如图2-7,图2-8所示,点击“添加数据资产”按钮;
(2) 弹出添加数据资产页面,页面如图2-9所示;
(3) 添加数据资产时,输入资产名称,选择IPV4填写对应的IP地址,选择SID或数据库服务名并填写对应的SID或数据库服务名,并输入数据库端口号、数据库账号、数据库密码、脱敏服务端口;
(4) 点击“”按钮,检查数据库是否连接成功,连接成功后提示“数据库(资产名称)连接成功”;
(5) 点击“确定”按钮,成功添加数据资产。
资产名称:必填项,自定义数据资产的名称。
数据库类型:必填项,数据库的类型。
数据库版本:必选项,数据库的版本号。
RAC部署:可选项,RAC部署(RAC,全称Real Application Clusters,译为“实时应用集群”,是Oracle数据库中采用的一项技术,高可用性的一种。简单的说就是一个数据库,多个实例,数据库是存放在共享存储上,每个实例对应一台服务器)。
IPV4:单选,必选项,IPV4地址。
数据库IP:必填项,数据库服务器的IP地址。
SID/数据库服务名:单选,必选项,数据连接方式。
数据库大小写敏感:可选项,数据库区分大小写。
数据库端口号:必填项,数据库服务所用端口。
数据库账号:必填项,数据库的账号。
数据库密码:必填项,数据库的密码。
脱敏服务端口:必填项,任意数据脱敏服务器上的空闲端口,端口范围为13000-13999。
删除不需要的数据资产。
删除数据资产的具体步骤如下:
(1) 系统管理员(admin)登录数据脱敏系统后,进入“资产管理”页面,选择需要删除的数据资产,点击“”按钮,页面如图2-10,图2-11所示;
(2) 弹出删除资产页面,页面如图2-12所示;
(3) 点击“确定”按钮,即可删除数据资产;
(4) 点击“取消”按钮,即可取消删除操作。
数据资产对应数据库的部署方式、IP协议、IP地址、数据库名、数据库大小写敏感、数据库端口号、数据库账户或数据库密码一项或多项改变时,通过编辑数据资产可以修改对应的内容,保证数据库可以成功连接。另外通过编辑数据资产还可以修改资产名称和脱敏服务端口。
编辑数据资产的具体步骤如下:
(1) 系统管理员(admin)登录数据脱敏系统后,进入“资产管理”页面,选择已经存在的资产,点击“” 标,页面如图2-13,图2-14所示;
(2) 弹出编辑数据资产页面,页面如图2-15所示;
(3) 编辑需要修改的数据,点击“提交”按钮即可成功编辑;
(4) 点击“取消”按钮,则取消编辑资产。
说明:
编辑资产页面仅可编辑资产名称、数据库密码和脱敏服务端口。
检查已添加的数据资产的数据库连接状态是否正常。
测试连接的具体步骤如下:
选中数据资产,点击“”按钮,连接成功后提示“数据库(资产名称)连接成功”,如图2-16所示。
可根据资产名称利用模糊查询对已添加的资产进行检索。
资产检索的具体步骤如下:
系统管理员(admin)登录数据脱敏系统后,进入“资产管理”页面,输入资产名称,点击“资产检索”按钮,查找已添加的资产,具体页面如图2-17所示。
资产信息显示资产的IP、模式总数、表总数、列总数。可通过手动更新及自动更新进行资产相关信息的更新。
更新资产信息的具体步骤如下:
手动更新:
系统管理员(admin)登录数据脱敏系统后,进入“资产状态”页面,资产信息页面选择手动更新,具体页面如图2-18所示。
自动更新:
资产信息页面选择自动更新,选择相应的自动更新时间,系统会间隔相应的时间自动进行资产信息的更新,具体页面如图2-19所示。
可根据需要在资产状态处选择使用敏感数据发现模板或不使用敏感数据发现模板。
发现模板的具体步骤如下:
系统管理员(admin)登录数据脱敏系统后,进入“资产状态”页面,敏感数据范围页面选择使用企事业单位敏感信息模板,具体页面如图2-20所示。
敏感数据发现后的结果以表的形式展示敏感数据的总数、敏感数据类型和对应条数。可通过手动更新及自动更新启用敏感数据发现任务。
启用敏感发现的具体步骤如下:
手动更新:
系统管理员(admin)登录数据脱敏系统后,进入“资产状态”页面,敏感数据发现页面选择手动更新,具体页面如图2-21所示。
自动更新:
敏感数据发现页面选择自动更新,选择相应的自动更新时间,系统会间隔相应的时间自动启用敏感数据发现任务,具体页面如图2-22所示。
资产状态处的脱敏规则支持自动创建规则、手动创建规则、添加规则白名单操作。表展示已创建、已启用的规则总数、数据类型、各数据类型的数量占比等信息。表支持脱敏规则页面及白名单页面跳转。
创建脱敏规则的具体步骤如下:
手动创建规则:
系统管理员(admin)登录数据脱敏系统后,进入“资产状态”页面,敏感数据范围页面选择“不使用模板”,脱敏规则页面选择手动创建规则,具体页面如图2-23,图2-24,图2-25所示。
敏感数据范围页面选择“使用模板”,脱敏规则页面选择手动创建规则,会自动匹配模板中的数据类型进行创建规则。
自动生成规则并启用:
敏感数据范围页面选择“使用模板”,脱敏规则页面选择自动创建规则并启用,敏感数据发现页面选择“手动更新”。启用敏感数据发现任务,系统会根据行业模版里指定的算法自动生成规则并启用规则。具体页面如图2-26所示。
自动生成规则不启用:
敏感数据范围页面选择“使用模板”,脱敏规则页面选择自动创建规则不启用,敏感数据发现页面选择“手动更新”。启用敏感数据发现任务,系统会根据行业模版里指定的算法自动生成规则,具体页面如图2-27所示。
敏感数据范围页面选择“不使用模板”,脱敏规则页面选择“自动创建规则”,不会创建规则。
添加规则白名单:
如图2-28所示,脱敏规则页面选择添加规则白名单。弹出添加白名单页面,页面如图2-29所示。输入数据库用户名、IP范围、开始结束时间,选中例外规则,点击“保存”按钮,即可添加规则白名单;点击“取消”按钮,则取消添加规则白名单。
参数说明:
资产:必填项,资产名称,默认不可编辑。
数据库用户名:可选项,数据资产的用户名。
IP范围:可选项,机器的IP地址。
开始时间:白名单作用效果的起始时间。
结束时间:白名单作用效果的截至时间。
放行规则:全部规则:白名单效果作用于全部的脱敏规则;指定规则:白名单效果作用于指定的脱敏规则。
IP范围为执行代理查询所在机器的IP地址。在白名单作用时间范围内,单独填入正确的数据库用户名或正确的IP范围均可实现白名单效果;数据库用户名和IP范围若都填入,必须都正确,才可实现白名单效果。
支持对敏感数据的行为审计,能够记录访问敏感数据的数据库类型、资产名、时间、来源、次数、脱敏动作(全类型)。
敏感数据访问统计的具体步骤如下:
系统管理员(admin)登录数据脱敏系统后,进入“敏感数据访问统计”页面,具体页面如图2-30所示,支持时间范围、数据库用户名、访问IP、数据目标进行检索。
系统管理员(admin)登录数据脱敏系统,进入敏感数据和算法页面,敏感数据和算法模块分为数据类型管理,脱敏算法管理和行业模板。主要实现内置的数据和算法更新,自定义数据和算法,添加模板进行便捷快速脱敏。
数据类型管理可以通过正则表达式添加自定义类型,通过内置类型更新可对内置的数据类型进行更新操作。
查看数据类型管理界面的具体步骤如下:
(1) 系统管理员(admin)登录数据脱敏系统,点击敏感数据和算法的数据类型管理界面,界面布局如图2-31所示;
(2) 点击“添加自定义类型”按钮,可进行自定义数据类型的添加,具体页面如图2-32,图2-33,如图2-34所示,点击“内置类型更新”按钮;
(3) 弹出内置类型更新页面,页面如图2-35所示;
(4) 选择相应的更新文件,点击“更新”按钮;
(5) 更新完成后点击“重启应用”按钮进行数据类型更新。
参数说明:
数据类型名称:必填项,自定义添加的数据类型名称。
正则表达式:必填项,识别数据类型的正则表达式(示例:^1[3|4|5|7|8][0-9]{9}$为手机号的正则表达式)。
数据类型说明:选填项,自定义添加的数据类型的说明。
数据类型管理可以添加自定义算法,通过内置算法的更新操作,可对脱敏内置的算法进行更新。
添加和更新脱敏内置算法的具体步骤如下:
(1) 系统管理员(admin)登录数据脱敏系统,点击敏感数据和算法的脱敏算法管理界面,界面布局如图2-36所示;
(2) 如图2-37所示,点击“添加自定义算法”按钮,可进行自定义算法的添加;
(3) 弹出添加自定义算法页面,具体页面如图2-38所示;
(4) 填入算法名称,选择关联数据类型、算法类型、遮蔽符号等,点击“保存”按钮,即可进行自定义算法添加;
(5) 点击“取消”按钮,取消自定义算法添加;
(6) 如图2-39所示,点击“内置算法更新”按钮,可对内置算法进行更新;
(7) 弹出内置算法更新页面,具体页面如图2-40所示;
(8) 选择相应的更新文件,点击“更新”按钮对内置算法进行更新。
参数说明:
算法名称:必填项,自定义算法的名称。
关联数据类型:必填项,算法对应的数据类型。
算法类型:必填项,保留显示字符串的位置(示例:24##51,保留邮政编码前后各两位字符,遮蔽中间字符)。
遮蔽符号:必填项,遮蔽字符串的符号。
算法说明:选填项,自定义添加的算法的说明。
行业模板能添加不同数据类型如车架号和三证合一码等的脱敏算法。行业模板设置完毕后可关联敏感数据自动生成脱敏规则。
添加和复制行业模板的具体步骤如下:
(1) 系统管理员(admin)登录数据脱敏系统,点击脱敏规则的策略模板界面,界面布局如图2-41所示。
(1) 如图2-42所示,进入“行业模板”页面,点击“添加行业模板”按钮。
(2) 弹出添加模板页面,具体页面如图2-43所示。
(3) 输入模板名称,选择脱敏数据,选择相应的脱敏算法,点击“保存”按钮,即可添加行业模板。
(4) 点击“取消”按钮,则取消添加行业模板。
(5) 如图2-44,图2-45所示,选择已经存在的行业模板,点击“复制”按钮。
(6) 弹出复制模板页面,具体页面如图2-46所示。
(7) 点击“保存”按钮,即可对行业模板进行复制。
(8) 点击“取消”按钮,则取消行业模板进行复制。
参数说明:
模板名称:必填项,自定义模板的名称。
备注说明:选填项,自定义模板的备注信息。
脱敏数据选择:必选项,数据类型的选择。
脱敏算法选择:必选项,选择各数据类型的脱敏算法(注意:选择数据类型才可选择该类型的算法)。
敏感数据任务可以先添加关联行业模板,再执行敏感数据扫描任务,扫描完成可以在敏感数据发现结果处批量生成脱敏规则。也可以自选脱敏数据的范围,扫描结束后再自选算法。
敏感数据发现的具体步骤如下:
(1) 系统管理员(admin)登录数据脱敏系统,进入“敏感数据”页面,如图2-47所示。
(2) 如图2-48,图2-49所示,点击对应任务的“”按钮,进入“任务配置”页面,具体页面如图2-50所示;
(3) 填写抽样数量、最低命中率,根据需要选择最大线程数、例外模式、需要发现的数据类型,敏感数据类型选择已有的行业模板,点击“保存”按钮进行任务配置;
(4) 点击“取消”按钮,取消任务配置;
(5) 如图2-51,图2-52所示,点击“”按钮,开启敏感数据扫描;
(6) 系统提示“启用成功”,页面通过进度条显示扫描进度,具体页面如图2-53所示;
(7) 如图2-54,图2-55所示,点击“”按钮。打开敏感数据发现页面,具体页面如图2-56所示;
(8) 点击“批量创建规则”按钮,具体页面如图2-57所示;
(9) 选择数据类型和对应的算法,点击“保存”按钮,即可批量创建规则;
(10) 点击“取消”按钮,则取消批量创建规则。
抽样扫描:可选项,从数据集合抽取一定数量子集进行扫描,建议开启。
抽样数量:抽样扫描的子集数量。
最大线程数:扫描线程数配置。
例外模式:配置模式进行扫描(注意:例外模式框中的模式不会被扫描,未被选中的模式会被扫描)。
敏感数据类型选择:不使用模板,自定义选择需要发现的数据类型;使用模板,可选配置的静态模板。
系统管理员(admin)登录数据脱敏系统,进入“脱敏规则”页面,页面布局如图2-58所示,规则树下可查看当前存在的规则组。
手动添加多种不同数据类型和算法类型的脱敏规则,用以脱敏。
添加规则的具体步骤如下:
(1) 如图2-59所示,点击一个资产名称。弹出资产脱敏规则的创建页面,具体页面如图2-60所示。
(2) 如图2-61所示,点击“添加脱敏规则”按钮;
(3) 弹出添加脱敏规则页面,具体页面如图2-62所示;
(4) 输入规则名称,选择模式、表名、列名、数据类型和算法类型,脱敏算法包括部分遮蔽、全遮蔽、置空;
(5) 点击“保存”按钮,即可添加一条脱敏规则;
(6) 点击“取消”按钮,则取消添加脱敏规则。
参数说明:
规则名称:必填项,脱敏规则的名称。
资产:必填项,资产名称,默认选中,不可更改。
模式:必填项,数据资产中的模式。
表名:必填项,数据资产中的模式下的表名。
列名:必填项,数据资产中的模式下的表名下对应的列名。
敏感数据类型:必填项,数据列中的数据对应的数据类型。
算法类型:必填项,脱敏的算法。
启用/禁用/删除的具体步骤如下:
(1) 系统管理员(admin)登录数据脱敏系统,进入“脱敏规则”页面,选择已经存在的脱敏规则,在操作栏中勾选“”按钮,可进行脱敏规则的启用,具体页面如图2-63,图2-64所示;
(2) 选择已启用的脱敏规则,在操作栏中点击“”按钮,可禁用相应的脱敏规则。具体页面如图2-65,图2-66所示;
(3) 如图2-67,图2-68所示,在操作栏中点击“”按钮。弹出删除提示框,具体页面如图2-69所示;
(4) 点击“确定”按钮,即可删除相应的脱敏规则;
(5) 点击“取消”按钮,则取消删除相应的脱敏规则。
批量启用/禁用/删除的具体步骤如下:
(1) 系统管理员(admin)登录数据脱敏系统后,进入“脱敏规则”页面,勾选已经存在的脱敏规则,点击“批量操作”按钮,选择“启用规则”,可批量进行脱敏规则的启用,具体页面如图2-70所示;
(2) 点击“批量操作”按钮,选择“停用规则”,可批量进行脱敏规则的禁用,具体页面如图2-71所示;
(3) 如图2-72所示,点击“批量操作”按钮,选择“删除规则”;
(4) 弹出删除提示框,具体页面如图2-73所示;
(5) 点击“确定”按钮,即可可批量进行脱敏规则的删除;
(6) 点击“取消”按钮,则取消批量删除;
白名单通过特定的数据库用户名、IP范围、开始结束时间等,给特定的数据库用户、IP等对相应的例外规则添加查看未脱敏数据的权限。
添加脱敏白名单的具体步骤如下:
(1) 如图2-74所示,在脱敏规则页面,点击“脱敏白名单”按钮。进入脱敏白名单页面,具体页面如图2-75所示;
(2) 如图2-76所示,点击“添加白名单”按钮;
(3) 弹出添加白名单页面,具体页面如图2-77所示;
(4) 输入数据库用户名、IP范围,选择开始、结束时间、例外规则,点击“保存”按钮,即可新增一条脱敏白名单;
(5) 点击“取消”按钮,则取消新增一条脱敏白名单。
参数说明:
资产:必填项,资产名称,默认不可编辑。
数据库用户名:可选项,数据资产的用户名。
IP范围:可选项,机器的IP地址。
开始时间:白名单作用效果的起始时间。
结束时间:白名单作用效果的截至时间。
放行规则:全部规则:白名单效果作用于全部的脱敏规则;指定规则:白名单效果作用于指定的脱敏规则。
IP范围为执行代理查询所在机器的IP地址。在白名单作用时间范围内,单独填入正确的数据库用户名或正确的IP范围均可实现白名单效果;数据库用户名和IP范围若都填入,必须都正确,才可实现白名单效果。
系统管理员(admin)登录数据脱敏系统,进入“系统配置”页面,对系统的配置进行管理,比如系统授权、服务器配置、系统维护、日志管理等。
平台信息
平台信息主要展示系统基本信息,包括系统版本、生产公司、产品型号等信息;对系统进行授权,并查看授权信息;可扫描二维码,查看license使用指南。
系统授权的具体步骤如下:
(1) 系统管理员(admin)登录数据脱敏系统,点击“系统配置>系统信息”,进入“平台信息”界面,界面布局如图2-78所示;
(2) 通过产品S/N生成授权文件,再上传授权文件即可完成授权。
(3) 通过扫描二维码查看license使用指南。
区别于硬件,虚拟数据动态脱敏系统,通过产品序列号生成授权文件。
网卡信息
网络配置页面主要展示设备对应的网卡信息和路由信息,网卡信息包括对应的插槽位置、IP地址、状态;路由信息包括目标地址、子网掩码、下一跳地址、接口。还可点击页面上方“连通性检测”按钮,进行连通性检测;设置DNS。并可对网卡的属性进行编辑。
网卡配置的具体步骤如下:
(2) 系统管理员(admin)登录数据脱敏系统,点击“系统配置>系统信息>网络设置”,进入“网络设置界”面,界面布局如图2-79所示;
(3) 如图2-80,图2-81所示,选择网卡,点击“”按钮;
(4) 进入编辑页面,具体页面如图2-82所示;
(5) 编辑网口类型、IP地址、子网掩码、网关地址,点击“确定”按钮,即可修改网络设置;
(6) 点击“取消”按钮,则取消修改网络设置。
参数说明:
网口类型:必选项,分为管理口和未作用途口。
IP地址:必填项,网络的IP地址。
子网掩码:必填项,网络的子网掩码。
网关地址:必填项,网络的网关地址。
区别于硬件,虚拟数据动态脱敏系统没有固定口10.0.0.1。
路由配置的具体步骤如下:
(1) 系统管理员(admin)登录数据脱敏系统,点击“系统配置>系统信息>网络设置”,进入“网络设置界”面;
(2) 如图2-83所示,点击“添加路由”按钮;
(3) 进入编辑页面,具体页面如图2-84所示;
(4) 输入目标地址、子网掩码、下一跳地址,选择接口,点击“确定”按钮,即添加路由;
(5) 点击“取消”按钮,则取消添加路由。
参数说明:
目标地址:必填项,网络的IP地址。
子网掩码:必填项,网络的子网掩码。
下一跳地址:必填项,网络的下一跳地址。
接口:选填项,可选自动和选择接口。
选择接口:接口的选择。
DNS的具体步骤如下:
(6) 系统管理员(admin)登录数据脱敏系统,点击“系统配置>系统信息>网络设置”,进入“网络设置界”面;
(7) 如图2-85所示,点击“设置DNS”按钮;
(8) 进入编辑页面,具体页面如图2-86所示;
(9) 输入主DNS、备DNS,点击“确定”按钮,即设置DNS;
(10) 点击“取消”按钮,则取消设置DNS。
图2-85 设置DNS
图2-86 设置DNS页面
服务器配置页面,可对FTP服务器、SFTP服务器进行配置,配置完成后可以用于文件的备份、系统时间的同步、日志文件的管理。
服务器配置的具体步骤如下:
(1) 系统管理员(admin)进入数据脱敏系统,点击“系统配置”,在下拉框中选择“服务器配置”,即可进入服务器配置页面,具体页面如图2-87所示。
(1) 正确填写IP地址、端口号、用户名、密码(如: FTP服务器:IP地址:192.168.11.143,端口号:21,用户名:FTP,密码:111111)等,点击“保存”按钮,配置成功页面如图2-88所示。
(2) 填写过程中,点击“清空”按钮,即可重置数据。
可以在当前页面进行系统重启、导入配置,对系统配置进行手动备份以及设置自动备份。
系统维护的具体步骤如下:
系统管理员(admin)进入数据脱敏系统,点击“系统配置”,在下拉框中选择“系统维护”,即可进入系统维护页面,具体页面如图2-89所示。
设备重启
(1) 如图2-90所示,点击“设备重启”按钮。弹出相应提示框,页面如图2-91所示。
(2) 点击“确定”按钮,即可进行设备重启;
(3) 点击“取消”按钮,则取消设备重启。
设备关机
(4) 如图2-92所示,点击“设备关机”按钮。弹出关机提示框,页面如图2-93所示;
(5) 点击“确定”按钮,即可设备关机;
(6) 点击“取消”按钮,则取消设备关机。
还原初始配置
(7) 如图2-94所示,点击“还原初始配置”按钮。弹出初始化提示框,页面如图2-95所示;
(8) 点击“确定”按钮,则进行初始化数据库数据操作;
(9) 点击“取消”按钮,则取消初始化配置操作。
重启服务
(10) 如图2-96所示,点击“重启服务”按钮。弹出提示框,页面如图2-97所示;
(11) 点击“确定”按钮,则进行重启服务操作;
(12) 点击“取消”按钮,则取消重启服务操作。
导入配置
(1) 点击“上传配置”按钮,选择生成的配置备份文件进行上传;
(2) 上传完成后点击“导入配置”按钮,即可进行配置备份恢复,上传成功后页面提示“上传成功!”相应的配置文件正确恢复。
配置备份
手动备份:(服务器配置已完成)选择备份方式(如:FTP),点击“立即备份”按钮,即可对配置文件进行备份,备份历史栏显示相应的备份信息(最近5次),包括备份时间、备份结果、备份方式、备份账户、备份方式、操作用户。
自动备份:(服务器配置已完成)选择备份方式(如:FTP),勾选“启用自动备份”,选择备份周期和备份时间(如“每天”,“10:32:30”),点击“保存”按钮,即可在对应的时间备份相应的配置文件,文件生成的同时,备份历史栏会显示相应的备份信息(最近5次),包括备份时间、备份方式、备份账户、备份方式、操作用户等。具体页面显示如图2-98所示。
日志收集
(1) 如图2-99所示,点击“调试日志”按钮;
(2) 进入调试日志页面,选择节点、日志类型、时间范围,点击“日志收集”按钮,收集到的日志页面如图2-100所示;
(3) 日志收集支持管理端运行日志、message文件日志类型的采集。
图2-99 系统维护-调试日志
日志下载
(1) 如图2-101所示,选择需要下载的日志,点击“”按钮,进行单条日志记录下载;
(2) 选中多条记录,点击“批量下载”按钮,进行多条日志记录下载。
日志管理页面可通过设置自动清除来实现系统日志的清除,也可通过启用自动备份实现对系统日志的备份。
操作步骤:
系统管理员(admin)进入数据脱敏系统,点击“系统配置”,在下拉框中选择“日志管理”,即可进入日志管理页面,具体页面如图2-102所示。
时间同步
勾选“启用时间同步服务”,点击“保存”按钮,系统时间与时间同步服务器时间同步,如图2-103所示。
自动清理
勾选“启用日志自动清除”,通过下拉框选择系统日志最大保存时间,点击页面下方“保存”按钮,即可设置自动清理。(如:设置系统日志最大保存时间为“1个月”,则清除1个月之前的系统日志);点击“清空”按钮,则清空所做操作恢复至默认设置。
自动备份
(服务器配置已完成)勾选“启用日志自动备份”,选择备份方式(如:SFTP),备份周期(如:每天,15:30)后点击页面下方“保存”按钮,则可成功设置日志自动备份时间;点击“取消”按钮,则可取消设置。备份文件生成后,对应会显示上次备份时间和下次备份时间。具体页面如图2-104所示。
系统管理员(admin)登录数据脱敏系统,进入“高级功能>拓展规则”页面,主要涉及拓展的脱敏规则和对用户不同权限的管理。页面布局如图2-105所示,规则树下可查看当前存在的规则组。
添加多种不同匹配条件和响应动作的安全规则,用以脱敏。匹配条件和响应条件默认大小写不敏感。
添加拓展规则的具体步骤如下:
(1) 如图2-106所示,点击一个资产名称;
(2) 弹出拓展规则页面,具体页面如图2-107所示;
(3) 如图2-108所示,点击“添加拓展规则”按钮;
(4) 弹出添加拓展规格界面,具体页面如图2-109所示;
(5) 输入规则名称,选择匹配条件及响应动作,点击“保存”按钮,即可新增一条拓展规则规律;
(6) 点击“取消”按钮,则取消新增一条拓展规则规律。
匹配条件 |
补充说明 |
表名 |
Sql中的表名包含设置的表名时,才执行响应动作 |
字符串 |
Sql中包含设置的字符串时,才执行响应动作 |
时间段 |
在设置的时间段内,执行响应动作 |
表2-2 响应条件说明:
响应条件 |
补充说明 |
替换表名 |
将sql中的表名,替换为设置好的表名或查询语句 |
搜索并替换字符串 |
将搜索内容修改为替换内容(谨慎使用,满足匹配条件的全部sql都会改写) |
替换sql |
将sql改写为替换语句(谨慎使用,满足匹配条件的全部sql都会改写) |
阻断 |
将符合条件的sql语句进行阻断 |
启用/禁用/删除的具体步骤如下:
(1) 系统管理员(admin)登录数据脱敏系统后,进入“拓展规则”页面,选择已经存在的拓展规则,在操作栏中勾选“”按钮,可进行拓展规则的启用,具体页面如图2-110,图2-111所示;
(2) 在操作栏中点击“”按钮,禁用相应的拓展规则。具体页面如图2-112,图2-113所示;
(3) 如图2-114,图2-115所示,在操作栏中点击“”按钮,
(4) 弹出删除提示框,具体页面如图2-116所示。点击“确定”按钮,即可删除相应的拓展规则;
(5) 点击“取消”按钮,则取消删除相应的拓展规则。
批量启用/禁用/删除的具体步骤如下
(1) 系统管理员(admin)登录数据脱敏系统后,进入“拓展规则”页面,勾选已经存在的拓展规则,点击“批量操作”按钮,选择“启用规则”,即可批量启用拓展规则,具体页面如图2-117所示;
(2) 勾选已经存在的拓展规则,点击“批量操作”按钮,选择“停用规则”,即可批量禁用拓展规则,具体页面如图2-118所示;
(3) 如图2-119所示,勾选已存在的拓展规则,点击“批量操作”按钮,选择“删除规则”。弹出删除提示框,具体页面如图2-120所示;
(4) 点击“确定”按钮,即可 批量删除拓展规则;
(5) 点击“取消”按钮,则取消批量删除拓展规则。
应用授权管理能通过应用标识、应用名称、应用IP、关联资产等操作添加应用关联。
给特定的用户进行授权,使其在特定时间内具有查看未脱敏数据的权限。
系统管理员(admin)登录数据脱敏系统,点击进入高级功能的“应用授权”界面,界面布局如图2-121所示。
添加应用关联
添加应用关联的具体步骤如下:
(1) 如图2-122所示,进入“应用授权管理”页面,点击“添加应用关联”按钮;
(2) 弹出“添加应用关联”页面,具体页面如图2-123所示;
(3) 输入应用标识,应用名称,关联资产,选择应用IP,点击“保存”按钮,即可添加应用关联;
(4) 点击“取消”按钮,则取消添加应用关联。
参数说明:
应用标识:必填项,8位16进制的字符串,默认自动分配一个应用标识。
应用名称:必填项,自定义应用名称。
应用IP:必填项,应用授权的IP地址。
关联资产:必选项,选择关联的数据资产。
查看应用授权信息
查看应用授权信息的具体步骤如下:
(1) 系统管理员(admin)登录数据脱敏系统后,进入“应用授权”页面;
(5) 如图2-124,图2-125所示,选择已经存在的应用关联,点击“”按钮;
(6) 进入应用授权信息界面,具体页面如图2-126所示。
添加用户授权
添加用户授权的具体步骤如下:
(1) 系统管理员(admin)登录数据脱敏系统后,进入“应用授权”页面;
(7) 如图2-127,图2-128所示,选择已经存在的应用关联,点击“”按钮;
(8) 进入“添加用户授权”页面,具体页面如图2-129所示;
(9) 输入用户名称,选择用户授权,开始时间,结束时间,点击“保存”按钮,即可添加用户授权;
(10) 点击“取消”按钮,则取消添加用户授权。
参数说明:
用户名称:必填项,应用的用户名称
用户授权:全部规则:授权效果作用于全部的脱敏规则;指定规则:授权效果作用于指定的脱敏规则。
规则名:必选项,已添加的脱敏规则名
开始时间/结束时间:必选项,给用户授权的时间
导入用户信息
导入用户信息的具体步骤如下:
(1) 系统管理员(admin)登录数据脱敏系统后,进入“应用授权”页面;
(11) 如图2-130,图2-131所示,选择已经存在的应用关联,在操作栏中点击“”按钮,进入导入用户信息页面,具体页面如图2-132所示;
(12) 选择文件,点击“导入”按钮,即可导入用户信息;
(13) 对于已导入的用户信息,还可点击“导出”按钮导出用户信息。
删除管理员
(1) 系统管理员(admin)登录数据脱敏系统后,进入“应用授权”页面;
(14) 如图2-133,图2-134所示,选择已经存在的应用授权记录,在操作栏中点击“”按钮;
(15) 弹出删除提示框,具体页面如图2-135所示;
(16) 点击“确定”按钮,即可删除应用关联配置;
(17) 点击“取消”按钮,则取消删除应用关联配置。
安全管理员(secadmin)登录数据脱敏系统,进入“安全管理”页面,通过角色管理、账号审核、安全配置等,实现对平台账号权限、涉及的安全设置、角色进行管理。
安全管理员可通过角色管理功能,新建、删除、修改/编辑数据脱敏系统操作员角色。
创建角色
(1) 安全管理员(secadmin)登录数据脱敏系统,如图2-136,图2-137所示,进入“安全管理>角色管理”页面;
(2) 点击“创建角色”按钮,弹出创建角色页面,页面如图2-138所示;
(3) 输入角色名称、角色描述,选择角色类别,角色权限,点击“确定”按钮,即可成功创建角色;
(4) 点击“取消”按钮,则退出创建角色操作。
参数说明:
角色名称:必填项,自定义的角色名称。
角色类别:必选项,三个系统内置角色,包括系统管理员,安全管理员和审计管理员。
角色描述:选填项,角色的备注说明。
权限分配:选择项,角色的权限选择。
删除角色
(5) 如图2-139,图2-140所示,选择相应角色,点击“删除角色”按钮;
(6) 弹出删除提示框,如图2-141所示;
(7) 点击“确定”按钮,即可删除角色;
(8) 点击“取消”按钮,则退出删除操作。
编辑角色
(9) 如图2-142,图2-143所示,选择相应角色,在操作列点击“”按钮;
(10) 弹出编辑角色页面,如图2-144所示;
(11) 编辑角色相关信息,点击“确定”按钮,即可修改角色信息;
(12) 点击“取消”按钮,则退出编辑操作。
安全管理员可在账号管理模块中,根据组织管理的需要,创建新的管理员。新建的管理员在经过审核之后才能使用。账号管理支持账号、角色、使用者、时间范围检索。
账号管理的具体步骤如下:
创建账号
(1) 安全管理员(secadmin)登录数据脱敏系统,进入“安全管理>账号管理”页面,如图2-145,图2-146所示。
(2) 点击“创建账号”按钮。弹出创建账号页面,如图2-147所示。
(3) 输入账号、密码、密码确认、使用人、电话、邮箱、时间期限、备注说明,选择角色、组织架构、使用期限。
(4) 点击“确定”按钮,成功创建账号。
(5) 点击“取消”按钮,退出账号创建页面。
参数说明:
账号:必填项,自定义账号的名称。
密码:必填项,自定义账号密码。
密码确认:必填项,与密码保持一致。
使用人:必填项,自定义账号姓名。
角色:必选项,账号所属角色。
电话:选填项,责任人电话。
邮箱:选填项,责任人邮箱。
使用期限:必选项,包含永久和定义期限两个选项,默认永久。
备注说明:选填项,自定义备注说明。
导入
(6) 安全管理员(secadmin)登录数据脱敏系统,进入“安全管理>账号管理”页面,如图2-148所示;
(7) 点击“导入”按钮,弹出导入账号信息页面,如图2-149所示;
(8) 点击“导入账号模板”,下载账号模板,打开下载的账号模板,按照格式要求输入账号名称、密码等信息,如图2-150所示;
(9) 点击“选择文件”按钮,选择导入测试成功的账号列表的文件,点击“确认导入”按钮,弹出导入提示框,如图2-151所示;
(10) 点击“确定”按钮,即可导入账号信息;
(11) 点击“取消”按钮,退出当前导入页面。
删除账号
(12) 如图2-152,图2-153所示,选择需要删除的账号(一个或多个),点击“删除账号”按钮;
(13) 弹出删除提示框,如图2-154所示,点击“确定”按钮,即可删除账号信息;
(14) 点击“取消”按钮,退出删除账号页面。
重置密码
(15) 如图2-155,图2-156所示,选择需要重置的账号记录,点击“重置”按钮;
(16) 弹出重置提示框,如图2-157所示;
(17) 点击“确定”按钮,即可重置相应账号的密码,弹出重置成功提示框,如图2-158所示;
(18) 点击“取消”按钮,退出重置密码页面。
编辑
(19) 如图图2-159,图2-160所示,选择需要编辑的账号,在操作列点击“”按钮;
(20) 弹出编辑账号页面,如图2-161所示;
(21) 编辑账号相关信息,点击“确定”按钮,即可完成账号信息的编辑;
(22) 点击“取消”按钮,则退出编辑账号页面。
删除
(23) 如图2-162,图2-163所示,选择需要删除的账号,在操作栏处点击“”按钮;
(24) 弹出删除提示框,如图2-164所示;
(25) 点击“确定”按钮,即可删除账号信息;
(26) 点击“取消”按钮,退出删除页面。
安全管理员可在该页面进行平台维护的服务设置,包括查看设备状态、升级恢复、SYSLOG服务器配置,SNMP服务配置,SSH配置。
设备状态:
设备状态页面主要展示设备的CPU使用率、内存使用率、网卡信息以及对应的磁盘使用情况,能够更具体简洁体现当前设备信息,便于查看设备情况。
查看设备状态的具体步骤如下:
(1) 系统管理员(secadmin)进入数据脱敏系统,点击“安全管理>平台维护>设备状态”,查看各个网卡信息和磁盘使用情况,页面右上角可以根据需要选择相应的显示周期,具体页面如图2-165所示。
升级恢复:
软件升级支持管理端和代理端升级,升级后的记录可以查询。
软件升级具体步骤如下:
(2) 安全管理员(secadmin)进入数据脱敏系统,进入“安全管理>平台维护>升级恢复”页面,具体页面如图2-166所示。
(3) 点击“上传升级脚本”按钮,在弹出的页面中上传版本压缩包,上传成功版本库列表中显示上传成功的记录,具体如图2-167所示;
(4) 点击“升级”按钮,进行升级。升级记录如图2-168所示。
平台维护的服务设置的具体步骤如下:
SYSLOG服务器配置
(1) 安全管理员(secadmin)登录数据脱敏系统,进入“安全管理>平台维护”页面,如图2-169所示;
(2) 依次填入IP地址,端口号,编码,选择状态;
(3) 点击“保存”按钮,保存当前配置;
(4) 点击“取消”按钮,当前配置不保存。
图2-169 SYSLOG服务器配置页面
SNMP Trap配置(v2c)
(1) 安全管理员(secadmin)登录数据脱敏系统,进入平台维护页面,如图2-170所示;
(2) 依次填入IP地址,端口号,编码,选择状态;
(3) 点击“保存”按钮,保存当前配置;
(4) 点击“清空”按钮,当前配置不保存。
图2-170 SNMP Trap配置(v2c)页面
SSH配置
(1) 安全管理员(secadmin)登录数据脱敏系统,进入平台维护页面,如图2-171所示;
(2) 选择状态;
(3) 点击“保存”按钮,保存当前配置;
(4) 点击“清空”按钮,当前配置不保存。
图2-171 SSH配置页面
手动审核创建的账号信息,可以通过或拒绝。
账号审核(手动审核)的具体步骤如下:
通过
(1) 安全管理员(secadmin)登录数据脱敏系统,进入“安全管理>账号审核>手动审核”页面,如图2-172所示;
(2) 点击“通过”按钮,弹出审核提示框,如图2-173所示;
(3) 点击“确定”按钮,即可审核通过;
(4) 点击“取消”按钮,则退出通过操作。
拒绝
(1) 如图2-174所示,点击“拒绝”按钮;
(2) 弹出拒绝审核提示框,如图2-175所示;
(3) 点击“确定”按钮,即可拒绝审核通过;
(4) 点击“取消”按钮,则退出拒绝操作。
授权自动审核的账户可以自动审核该账户下创建的账号,撤销自动审核的账户无法自动审核。
账号审核(自动审核)的具体步骤如下:
授权自动审核
(1) 安全管理员(secadmin)登录数据脱敏系统,进入“安全管理>账号审核>自动审核”页面,如图2-176,图2-177所示;
(2) 选中相应账号,点击“授权自动审核”按钮,弹出系统提示框,如图2-178所示;
(3) 点击“确定”按钮,成功授权自动审核,自动审核字段由“否”变为“是”;
(4) 点击“取消”按钮,则退出授权自动审核操作。
撤销自动审核
(1) 如图2-179所示,选中已授权自动审核的账号,点击“撤销自动审核”按钮;
(2) 弹出撤销提示框,如图2-180所示;
(3) 点击“确定”按钮,即可撤销自动审核,自动审核字段由“是”变为“否”;
(4) 点击“取消”按钮,则退出撤销自动审核操作。
管理员可在该页面设置管理员登录时所涉及的安全设置,包括界面空闲超时时间、数据脱敏系统使用方式、登录是否需要验证码、账户锁定策略等。
安全配置的具体步骤如下:
平台登录安全设置
(1) 安全管理员(secadmin)登录数据脱敏系统,进入“安全管理>安全配置”页面,如图2-181所示;
(2) 选择安全管理方式,选择是否启用动态验证码,设置空闲超时登出时间,选择是否启用安全策略;
(3) 点击“保存”按钮,保存当前配置;
(4) 点击“取消”按钮,当前设置不保存。
账号密码安全设置
(1) 安全管理员(secadmin)登录数据脱敏系统,进入“安全管理>安全配置”页面,如图2-182所示;
(2) 选择是否启用初次登录强制更改密码,输入密码长度要求,选择密码复杂度要求;
(3) 点击“保存”按钮,保存当前配置;
(4) 点击“取消”按钮,当前设置不保存。
网络访问安全设置
(1) 安全管理员(secadmin)登录数据脱敏系统,进入“安全管理/安全配置”页面,如图2-183所示;
(2) 输入允许登录IP地址、选择网络权限配置;
(3) 点击“保存”按钮,保存当前配置;
(4) 点击“取消”按钮,当前设置不保存。
审计管理员(audadmin)登录数据脱敏系统,点击“系统日志”,即可进入系统日志页面查看系统的操作日志,如图2-184所示。
系统日志页面主要记录系统操作的详细信息,包括操作时间,操作用户,操作IP、操作内容等。也可根据开始时间、结束时间、操作用户、操作IP等对系统日志进行条件检索。
系统日志的具体步骤如下:
日志查看
进入系统日志页面,可查看全部日志对应操作时间、操作用户、地址、操作IP、操作内容,点击操作栏按钮,可查看单条日志详情。
检索参数说明:
开始时间:可通过下拉框选择开始时间,点击检索按钮,可得出所选时间之后的系统日志;
结束时间:可通过下拉框选择开始时间,点击检索按钮,可得出所选时间之前的系统日志;
操作用户:填写用户名后,点击检索按钮,可得出该用户对应操作日志;
操作IP:填写IP地址后,点击检索按钮,可得出对应IP的操作日志;
操作对象:填写操作对象,点击检索按钮,可得出该操作对象对应的操作日志;
操作内容:填写操作内容后,点击检索按钮,可得出对应操作内容的操作日志;
重置:点击“重置”按钮可清除之前用于检索时所设置的条件。
系统管理员(admin)登录数据脱敏系统,进入“脱敏规则”页面,选择已经存在的脱敏规则,在操作栏中勾选“”按钮,可进行脱敏规则的启用。具体页面如图2-185,图2-186所示。
在操作栏中点击“”按钮,可禁用相应的脱敏规则。具体页面如图2-187,图2-188所示。
系统管理员(admin)登录数据脱敏系统,进入“脱敏规则”页面,勾选已经存在的脱敏规则,点击“批量操作”按钮,选择“启用规则”,即可批量启用脱敏规则。具体页面如图2-189,图2-190所示。
点击“批量操作”按钮,选择“停用规则”,即可批量禁用脱敏规则。具体如图2-191,图2-192所示。
系统管理员(admin)登录数据脱敏系统,进入资产管理页面,页面布局如图2-193所示。
添加需要脱敏的数据资产, 数据资产支持不同数据库的切换,数据库相关信息的添加,并自定义脱敏服务端口。
添加数据资产的具体步骤如下:
添加数据资产(以oracle数据库为例):
(1) 如图2-194所示,点击“添加数据资产”按钮;
(2) 弹出添加数据资产页面,页面如图2-195所示;
(3) 添加数据资产时,输入资产名称,选择IPV4并填写对应的IP地址,选择SID或数据库服务名并填写对应的SID或数据库服务名,并输入数据库端口号、数据库账号、数据库密码、脱敏服务端口;
(4) 点击“测试”按钮,检查数据库是否连接成功,连接成功后提示“数据库(资产名称)连接成功”;
(5) 点击“确定”按钮,成功添加数据资产。
参数说明:
资产名称:必填项,自定义数据资产的名称。
数据库类型:必填项,数据库的类型。
数据库版本:必选项,数据库的版本号。
RAC部署:可选项,RAC部署(RAC,全称Real Application Clusters,译为“实时应用集群”,是Oracle数据库中采用的一项技术,高可用性的一种。简单的说就是一个数据库,多个实例,数据库是存放在共享存储上,每个实例对应一台服务器)。
IPV4:单选,必选项,IPV4地址。
数据库IP:必填项,数据库服务器的IP地址。
SID/数据库服务名:单选,必选项,数据连接方式。
服务名:必填项,数据库的SID/数据库服务名。
数据库大小写敏感:可选项,数据库区分大小写。
数据库端口号:必填项,数据库服务所用端口。
数据库账号:必填项,数据库的账号。
数据库密码:必填项,数据库的密码。
脱敏服务端口:必填项,任意数据脱敏服务器上的空闲端口,端口范围为13000-13999。
系统管理员(admin)登录数据脱敏系统,进入敏感数据页面,如图2-196所示。
敏感数据任务可以先添加关联行业模板,再执行敏感数据扫描任务,扫描完成可以在敏感数据发现结果处批量生成脱敏规则。
敏感数据扫描的具体步骤如下:
(2) 弹出任务配置页面,具体页面如图2-199所示;
(3) 敏感数据类型选择已添加的行业模板;
(4) 点击“”按钮,开启敏感数据扫描,具体页面如图2-200,图2-201。
(5) 敏感数据扫描任务完成后,查看敏感数据发现结果,具体页面如图2-202;
(6) 点击“批量创建规则”按钮,批量创建规则。
(7) 批量创建规则完成后,进入脱敏规则,查看已创建完成的规则,具体页面如图2-203所示,选中需要启用的规则,点击“”按钮。
系统管理员(admin)登录数据脱敏系统,进入脱敏规则页面,页面布局如图2-204所示,规则树下可查看当前存在的规则组。
手动添加多种不同数据类型和算法类型的脱敏规则,用以脱敏。
添加规则的具体步骤如下:
(1) 点击一个资产名称,进入脱敏规则页面,如图2-205,图2-206所示;
(2) 点击“添加脱敏规则”按钮,弹出添加脱敏规则页面,如图2-207,图2-208所示;
(3) 输入规则名称,选择模式、表名、列名、数据类型和算法类型,脱敏算法包括全遮蔽、部分遮蔽、置空,点击“保存”按钮;
(4) 提交成功后,脱敏规则列表新增一条记录。
(1) 进入“脱敏规则”页面,选择已经存在的脱敏规则,在操作栏中勾选“”按钮,可进行脱敏规则的启用,具体页面如图2-209,图2-210所示;
(2) 在操作栏中点击“”按钮,可禁用相应的脱敏规则,具体页面如图2-211,图2-212所示。