• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath DM2000-D系列数据动态脱敏系统 典型配置举例(E6701)-5W101

手册下载

H3C SecPath DM2000-D系列数据动态脱敏系统 典型配置举例(E6701)-5W101-整本手册.pdf  (1.62 MB)

  • 发布时间:2022/5/19 15:34:36
  • 浏览量:
  • 下载量:

 

H3C SecPath DM2000-D数据脱敏产品

典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。


 

1 简介··· 1

2 配置前提··· 1

3 使用限制··· 1

4 适用产品和版本··· 1

5 组网需求··· 2

6 业务脱敏配置举例··· 3

6.1 组网需求·· 3

6.2 登录数据脱敏系统·· 4

6.3 添加数据源·· 4

6.4 敏感数据发现·· 6

6.5 批量创建脱敏规则·· 8

6.6 启用脱敏规则·· 10

6.7 验证配置·· 10

7 代理连接配置举例··· 11

7.1 组网需求·· 12

7.2 登录数据脱敏系统·· 12

7.3 添加数据源·· 12

7.4 脱敏代理连接数据库·· 14

7.5 验证配置·· 15

8 自动配置脱敏策略配置举例··· 16

8.1 组网需求·· 16

8.2 登录数据脱敏系统·· 17

8.3 添加数据源·· 17

8.4 自动创建规则并启用·· 19

8.5 验证配置·· 20

9 拓展规则脱敏策略配置举例··· 21

9.1 组网需求·· 22

9.2 登录数据脱敏系统·· 22

9.3 添加数据源·· 22

9.4 启用拓展规则组·· 24

9.5 创建并启用拓展规则·· 24

9.6 验证配置·· 26

10 自定义规则脱敏策略配置举例··· 27

10.1 组网需求·· 27

10.2 登录数据脱敏系统·· 27

10.3 添加数据源·· 27

10.4 添加自定义类型·· 30

10.5 添加自定义算法·· 31

10.6 敏感数据扫描自定义类型·· 34

10.7 批量创建脱敏规则·· 36

10.8 启用脱敏规则·· 37

10.9 验证配置·· 38

11 API接口脱敏配置举例··· 40

11.1 组网需求·· 40

11.2 登录数据脱敏系统·· 40

11.3 添加数据源·· 40

11.4 添加API脱敏规则·· 42

11.5 验证配置·· 43


1 简介

H3C SecPath DM2000-D数据脱敏系统是一款高性能、广兼容、多场景支持的数据去标识化产品。支持全遮蔽、置空、部分遮蔽等脱敏算法和策略。能够解决大多数用户针对合规性满足以及敏感数据泄露防护等场景的业务需求。

H3C SecPath DM2000-D数据脱敏系统支持Oracle数据库、Mysql数据库、Sqlserver数据库、PostgreSQL数据库、达梦数据库、金仓数据库、GreenPlum数据库、高斯100/200/300数据库、Teradata数据库、ShenTong数据库、及Elastic Search大数据、Phoenix大数据、HBase大数据、Hive大数据、Kudu大数据、Max Compute大数据以及API网关。

H3C SecPath DM2000-D数据脱敏系统的功能,以满足用户针对业务脱敏、运维脱敏、交换脱敏等多场景即时数据脱敏的需求。H3C SecPath DM2000-D数据脱敏系统支持数据库用户、访问IP、数据库服务名、操作时间段等精细颗粒度的访问控制功能,提供指定用户类型对应指定策略的定向数据脱敏。确保不同身份、不同权限、不同来源、不同目的数据库用户,能够合理合规、安全可控的访问数据库中的敏感数据。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

3 使用限制

·     只对字符串类型的数据进行敏感数据扫描发现,其它类型的敏感数据类型不支持扫描发现。

·     支持数据源资产的表名、列名包含字母、数字、中文字符的脱敏操作,除字母、数字、中文字符范围之外的特殊字符存在无法正常脱敏的情况。

·     脱敏sql语法支持:单表查询,多表查询,表别名查询,特殊符号””,as语法,or语法,like语法,in语法,左连接,右连接,内连接,自然连接,ALL语法,distinct语法,exists语法,group by语法,having语法。

·     脱敏sql语法不支持:表达式语法,union语法(脱敏字段非脱敏字段union)。

·     其它数据库对象不支持脱敏:视图、分区表、函数、存储过程、触发器。

·     敏感数据发现和脱敏单表限制最大列数100列,最大行数500万行。

4 适用产品和版本

适用版本:H3C i-Ware Software, Version 3.1, ESS 6701P01

表4-1 数据库版本支持列表

数据库类型

数据库版本

Oracle

Oracle 10g-10.2.0.1.011g-11.2.0.1.012c-12.2.0.1.0

18c-18.3.0.0.019c-19.0.0.0.0

Mysql

Mysql 5.5.65.6.435.7.26

Postgresql

Postgresql 9.49.59.610.4

SQLserver

SQLserver 2008-10.0.1600.222012-11.0.3000.02014-12.0.2000.8

达梦

达梦7.6.1.60

金仓

金仓7.1.2.0832

神舟通用

神通7.0.8.181104

ElasticSearch

ElasticSearch 5.4.16.2.2

Phoenix

Phoenix 5.0.0

Hive

Hive 2.1.1

Hbase

Hbase 2.0.5

Kudu

Kudu 1.5.0

GreenPlum

GreenPlum 5.0.06.0.0

Teradata

Teradata 14.00.05.0216.20.00.01

Maxcompute

Maxcompute 2.0

高斯DB

GaussDB 100200300

API网关/数据接口

支持数据格式为JSON/XML/HTML

 

5 组网需求

设备目前支持旁路反向代理模式部署,设备旁路部署在交换机侧,客户端的SQL数据连接请求转发到脱敏代理系统,由数据脱敏系统解析请求后,再将SQL语句转发到数据库服务器,数据库服务器返回的数据同样经过数据脱敏系统后由脱敏系统返回给客户端。

举例:

5-1所示,满足客户端到设备管理端,设备管理端到后端真实数据库服务器,皆网络可达。

图5-1 组网图

 

6 业务脱敏配置举例

数据脱敏系统部署方式为反向代理部署。应用系统的SQL数据连接请求转发到脱敏代理系统,由数据脱敏系统解析请求后,再将SQL语句转发到数据库服务器,数据库服务器返回的数据同样经过数据脱敏系统后由脱敏系统返回给应用服务器。返回脱敏数据是数据脱敏系统的核心功能,本举例为用户展示数据脱敏系统实现数据脱敏的操作过程。

6.1  组网需求

图6-1 组网图

 

6.2  登录数据脱敏系统

浏览器中输入URLhttps://服务器IP地址:8282(如https://192.168.11.81:8282),进入数据脱敏系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。

6.3  添加数据源

6-2所示,进入“资产管理>数据源管理>”页面,以添加oracle数据源为例,点击“添加数据资产”按钮。进入添加数据资产页面,页面如6-3所示。填入数据库信息,点击“测试”按钮,系统提示数据库连接成功。点击“保存”按钮,可在“数据源管理”页面查看新增的相应的数据源,如6-4所示。

图6-2 添加数据源

 

 

图6-3 添加数据资产

 

图6-4 新增数据源

 

6.4  敏感数据发现

6-5所示,进入“敏感数据发现>敏感数据扫描”页面选择已添加的数据源,点击对应任务的“”按钮。进入任务配置页面,具体页面如6-6所示。选择例外模式、选择表、勾选需要发现的数据类型,点击“保存”按钮进行任务配置。点击“”按钮,开启敏感数据扫描。系统提示“启用成功”,页面通过进度条显示扫描进度,具体页面如6-7所示。

图6-5 敏感数据发现任务配置

 

图6-6 任务配置

 

图6-7 敏感数据扫描

 

6.5  批量创建脱敏规则

6-8所示,进入“敏感数据发现>敏感数据扫描”页面选择已添加的数据源,点击“”按钮。打开敏感数据发现页面,具体页面如6-9所示。点击“批量创建规则”按钮,具体页面如6-10所示。选择数据类型和对应的算法,点击“保存”按钮,即可批量创建规则。

图6-8 查看任务

 

图6-9 批量创建规则

 

图6-10 批量创建规则

 

6.6  启用脱敏规则

6-11所示,进入“脱敏规则>规则树”页面,点击需要进行脱敏的资产名称,查看创建的规则信息,勾选需要脱敏规则的规则名称,点击“批量操作”按钮,选择“启用规则”,可批量进行脱敏规则的启用,具体页面如6-12所示。

图6-11 启用脱敏规则

 

 

图6-12 批量启用脱敏规则

 

6.7  验证配置

对脱敏前后的表数据进行查询,对比,如下6-136-14所示。

图6-13 脱敏前表数据图

 

图6-14 脱敏后表数据图

 

7 代理连接配置举例

数据脱敏系统部署方式为反向代理部署。应用系统的SQL数据连接请求转发到脱敏代理系统,由数据脱敏系统解析请求后,再将SQL语句转发到数据库服务器,数据库服务器返回的数据同样经过数据脱敏系统后由脱敏系统返回给应用服务器。因此,通过代理连接工具为展示数据脱敏结果的关键一步,本举例为用户展示数据脱敏系统代理连接工具的操作过程。

7.1  组网需求

图7-1 组网图

 

7.2  登录数据脱敏系统

浏览器中输入URLhttps://服务器IP地址:8282(如https://192.168.11.81:8282),进入数据脱敏系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。

7.3  添加数据源

7-2所示,进入“资产管理>数据源管理>”页面,点击“添加数据资产”按钮。进入添加数据资产页面,页面如7-3所示。填入数据库信息,点击“测试”按钮,系统提示数据库连接成功。点击“保存”按钮,可在“数据源管理”页面查看新增的相应的数据源,如7-4所示。

图7-2 添加数据源

 

图7-3 添加数据资产

 

图7-4 新增数据源

 

7.4  脱敏代理连接数据库

7-5所示,使用DBeaver工具,通过脱敏产品代理连接生产库,数据库IP选择脱敏web端的IP(例如:192.168.11.81),端口使用7.3步骤配置的脱敏服务端口(13008),数据库用户名、密码、库名与直连数据库保持一致。点击测试连接按钮,提示连接成功,如7-6所示。

图7-5 通过DBeaver工具代理连接配置

 

图7-6 测试代理方式是否连接成功

 

7.5  验证配置

代理连接后,执行SQL7-7所示。按照6.46.56.6步骤创建规则后,再次执行SQL7-8所示。

图7-7 脱敏前表数据图

 

图7-8 脱敏后表数据图

 

8 自动配置脱敏策略配置举例

数据脱敏系统为用户提供自动创建脱敏规则的方式。用户配置脱敏规则时,通过敏感数据发现,批量自动创建脱敏规则,在数据列极多情况下,极大的降低了用户的时间成本。本举例为用户展示数据脱敏系统自动创建脱敏规则的操作过程。

8.1  组网需求

图8-1 组网图

 

8.2  登录数据脱敏系统

浏览器中输入URLhttps://服务器IP地址:8282(如https://192.168.11.81:8282),进入数据脱敏系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。

8.3  添加数据源

8-2所示,进入“资产管理>数据源管理>”页面,点击“添加数据资产”按钮。进入添加数据资产页面,页面如8-3所示。填入数据库信息,点击“测试”按钮,系统提示数据库连接成功。点击“保存”按钮,可在“数据源管理”页面查看新增的相应的数据源,如8-4所示。

图8-2 添加数据源

 

图8-3 添加数据资产

 

图8-4 新增数据源

 

8.4  自动创建规则并启用

8-5所示,进入“资产管理>资产状态>”页面,脱敏规则栏点击“”按钮,选择“自动更新-自动创建并启用,如8-6所示。在敏感数据范围栏选择模板,后续系统将按照模板来创建规则,点击“”按钮,选择“使用模板-个人敏感信息模板”,如8-7所示。在敏感数据发现栏,点击“”按钮,选择“自动更新-1h”(待到达下一个小时的第五分钟开始更新),配置如8-8所示。

图8-5 资产状态页面

 

图8-6 脱敏规则选择自动创建并启用

 

图8-7 敏感数据范围选择模板

 

图8-8 敏感数据发现选择更新频率

 

8.5  验证配置

到达指定时间后,敏感数据发现将自动进行扫描,如8-9所示。发现完成后,显示扫描的全部数据类型,如8-10所示。扫描结束后将自动创建并启用脱敏规则,如8-11所示

图8-9 敏感数据发现自动扫描

 

图8-10 敏感数据发现结束

 

图8-11 规则创建并启用结束

 

9 拓展规则脱敏策略配置举例

当脱敏规则无法满足用户需求时,可通过拓展规则对SQL查询做一些限制处理,例如替换表名,阻断等响应动作。本举例为用户展示数据脱敏系统实现拓展规则的操作过程。

9.1  组网需求

图9-1 组网图

 

9.2  登录数据脱敏系统

浏览器中输入URLhttps://服务器IP地址:8282(如https://192.168.11.81:8282),进入数据脱敏系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。

9.3  添加数据源

9-2所示,进入“资产管理>数据源管理>”页面,点击“添加数据资产”按钮。进入添加数据资产页面,页面如9-3所示。填入数据库信息,点击“测试”按钮,系统提示数据库连接成功。点击“保存”按钮,可在“数据源管理”页面查看新增的相应的数据源,如9-4所示。

图9-2 添加数据源

 

图9-3 添加数据资产

 

图9-4 新增数据源

 

9.4  启用拓展规则组

9-5所示,进入“高级功能>拓展规则>”页面,在规则树栏根据对应的资产,在操作栏点击“”按钮启用拓展规则组,启用状态为“”,如9-6所示。

图9-5 拓展规则树展示

 

图9-6 启用拓展规则组

 

9.5  创建并启用拓展规则

9-7所示,进入“高级功能>拓展规则>”页面,在规则树栏点击资产名称,进入该资产的拓展规则页面,如9-8所示。点击添加拓展规则按钮,正确填写规则名称、匹配条件、响应动脱等信息,如9-9所示。添加完成后,拓展规则默认为“”(启用)状态,如9-10所示。

图9-7 拓展规则页面

 

图9-8 资产对应拓展规则页面

社交网络的手机截图

描述已自动生成

 

图9-9 添加拓展规则

 

图9-10 拓展规则列表展示

 

9.6  验证配置

通过代理连接IP+端口访问资产(代理连接可通过7代理连接配置举例参考),如图执行命中拓展规则的SQL,查看返回结果,如9-11所示。与9.4配置的替换SQL进行对比,如9-12所示,查看结果一致,替换SQL成功,拓展规则生效。

图9-11 拓展规则SQL查询结果展示

 

图9-12 被替换SQL查询结果展示

 

10 自定义规则脱敏策略配置举例

数据脱敏系统为用户提供多种创建脱敏规则的方式。用户配置脱敏规则时,既可以通过敏感数据发现,批量自动创建脱敏规则,也可以在脱敏规则页面自定义创建脱敏规则。本举例为用户展示数据脱敏系统自定义创建脱敏规则的操作过程。

10.1  组网需求

图10-1 组网图

 

10.2  登录数据脱敏系统

浏览器中输入URLhttps://服务器IP地址:8282(如https://192.168.11.81:8282),进入数据脱敏系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。

10.3  添加数据源

10-2所示,进入“资产管理>数据源管理>”页面,点击“添加数据资产”按钮。进入添加数据资产页面,页面如10-3所示。填入数据库信息,点击“测试”按钮,系统提示数据库连接成功。点击“保存”按钮,可在“数据源管理”页面查看新增的相应的数据源,如10-4所示。

图10-2 添加数据源

 

图10-3 添加数据资产

 

图10-4 新增数据源

 

10.4  添加自定义类型

10-5所示,进入“敏感数据和算法>数据类型管理>”页面,点击添加自定义类型,输入正确的数据类型名称、正则表达式,点击保存按钮,如10-6所示。保存成功后,数据类型列表如10-7所示。

图10-5 数据类型管理页面

 

图10-6 添加自定义类型

 

图10-7 新增自定义类型

 

10.5  添加自定义算法

10-8所示,进入“敏感数据和算法>脱敏算法管理>”页面。默认展示oracle库数据脱敏算法,如需操作或查看其它库脱敏算法,需要在右上角进行切换,如10-9所示,点击添加自定义算法,选择输入对应的算法名称、关联数据类型等,如10-10所示,点击保存按钮。保存成功后,算法类型列表如10-11所示。

图10-8 脱敏算法管理页面

 

图10-9 切换数据脱敏算法

 

图10-10 添加自定义算法

 

图10-11 脱敏算法列表展示

 

10.6  敏感数据扫描自定义类型

10-12所示,进入“敏感数据发现>敏感数据扫描”页面选择已添加的数据源,点击对应任务的“”按钮。进入任务配置页面,具体页面如10-13所示。选择例外模式、选择表、勾选自定义的数据类型,点击“保存”按钮进行任务配置。点击“”按钮,开启敏感数据扫描。系统提示“启用成功”,页面通过进度条显示扫描进度,具体页面如10-14所示。

图10-12 敏感数据发现任务配置

 

图10-13 任务配置

 

图10-14 敏感数据扫描

 

10.7  批量创建脱敏规则

10-15所示,进入“敏感数据发现>敏感数据扫描”页面选择已添加的数据源,点击“”按钮。打开敏感数据发现页面,具体页面如10-16所示。点击“批量创建规则”按钮,具体页面如10-17所示。选择数据类型和对应的算法,点击“保存”按钮,即可批量创建规则。

图10-15 查看任务

 

图10-16 批量创建规则

 

图10-17 批量创建规则

 

10.8  启用脱敏规则

10-18所示,进入“脱敏规则>规则树”页面,点击需要进行脱敏的资产名称,查看创建的规则信息,勾选需要脱敏规则的规则名称,点击“批量操作”按钮,选择“启用规则”,可批量进行脱敏规则的启用,具体页面如10-19所示。

图10-18 启用脱敏规则

 

 

图10-19 批量启用脱敏规则

 

10.9  验证配置

对脱敏前后的表数据进行查询,对比,如10-2010-21所示。

图10-20 未脱敏查询结果

 

图10-21 自定义类型、算法脱敏结果

 

11 API接口脱敏配置举例

大型的信息系统中一般都是通过数据网关以接口(API)的方式获取数据。数据共享的应用与应用之前通过API进行数据共享已成为一个广泛的趋势。在这个数据交换的过程中同样需要做到对敏感数据的脱敏。API脱敏还可以与数据治理平台联动,按照数据分类分级标准实现精细管控。本举例为用户展示数据脱敏系统API脱敏配置的过程。

11.1  组网需求

图11-1 组网图

 

11.2  登录数据脱敏系统

浏览器中输入URLhttps://服务器IP地址:8282(如https://192.168.11.81:8282),进入数据脱敏系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。

11.3  添加数据源

进入“资产管理>数据源管理>”页面,点击又上角,切换至API网关,如11-2所示,点击“添加数据资产”按钮。进入添加数据资产页面,页面如11-3所示,填入正确API信息。点击“保存”按钮,可在“数据源管理”页面查看新增的相应的数据源,如11-4所示。点击“”按钮检测资产可以是否正常连接,如11-5所示。

图11-2 切换至API网关

 

图11-3 添加数据资产

 

图11-4 添加数据资产

 

图11-5 测试连接状态

 

11.4  添加API脱敏规则

11-6所示,进入“脱敏规则”页面,查看对应的API资产规则栏。操作栏中点击“”按钮,进入设置API脱敏规则页面,输入数据类型及其对应的算法、优先级,如11-7所示,点击保存按钮。

图11-6 API资产规则栏

 

图11-7 任务配置

 

11.5  验证配置

API接口脱敏前后的表数据进行查询,对比,如11-811-9所示。

图11-8 未脱敏查询结果

 

图11-9 自定义类型、算法脱敏结果

新华三官网
联系我们