手册下载
H3C SecPath DM2000-D数据脱敏产品
典型配置举例
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
H3C SecPath DM2000-D数据脱敏系统是一款高性能、广兼容、多场景支持的数据去标识化产品。支持全遮蔽、置空、部分遮蔽等脱敏算法和策略。能够解决大多数用户针对合规性满足以及敏感数据泄露防护等场景的业务需求。
H3C SecPath DM2000-D数据脱敏系统支持Oracle数据库、Mysql数据库、Sqlserver数据库、PostgreSQL数据库、达梦数据库、金仓数据库、GreenPlum数据库、高斯100/200/300数据库、Teradata数据库、ShenTong数据库、及Elastic Search大数据、Phoenix大数据、HBase大数据、Hive大数据、Kudu大数据、Max Compute大数据以及API网关。
H3C SecPath DM2000-D数据脱敏系统的功能,以满足用户针对业务脱敏、运维脱敏、交换脱敏等多场景即时数据脱敏的需求。H3C SecPath DM2000-D数据脱敏系统支持数据库用户、访问IP、数据库服务名、操作时间段等精细颗粒度的访问控制功能,提供指定用户类型对应指定策略的定向数据脱敏。确保不同身份、不同权限、不同来源、不同目的数据库用户,能够合理合规、安全可控的访问数据库中的敏感数据。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 只对字符串类型的数据进行敏感数据扫描发现,其它类型的敏感数据类型不支持扫描发现。
· 支持数据源资产的表名、列名包含字母、数字、中文字符的脱敏操作,除字母、数字、中文字符范围之外的特殊字符存在无法正常脱敏的情况。
· 脱敏sql语法支持:单表查询,多表查询,表别名查询,特殊符号””,as语法,or语法,like语法,in语法,左连接,右连接,内连接,自然连接,ALL语法,distinct语法,exists语法,group by语法,having语法。
· 脱敏sql语法不支持:表达式语法,union语法(脱敏字段非脱敏字段union)。
· 其它数据库对象不支持脱敏:视图、分区表、函数、存储过程、触发器。
· 敏感数据发现和脱敏单表限制最大列数100列,最大行数500万行。
适用版本:H3C i-Ware Software, Version 3.1, ESS 6701P01
表4-1 数据库版本支持列表
数据库类型 |
数据库版本 |
Oracle |
Oracle 10g-10.2.0.1.0、11g-11.2.0.1.0、12c-12.2.0.1.0、 18c-18.3.0.0.0、19c-19.0.0.0.0 |
Mysql |
Mysql 5.5.6、5.6.43、5.7.26 |
Postgresql |
Postgresql 9.4、9.5、9.6、10.4 |
SQLserver |
SQLserver 2008-10.0.1600.22、2012-11.0.3000.0、2014-12.0.2000.8 |
达梦 |
达梦7.6.1.60 |
金仓 |
金仓7.1.2.0832 |
神舟通用 |
神通7.0.8.181104 |
ElasticSearch |
ElasticSearch 5.4.1、6.2.2 |
Phoenix |
Phoenix 5.0.0 |
Hive |
Hive 2.1.1 |
Hbase |
Hbase 2.0.5 |
Kudu |
Kudu 1.5.0 |
GreenPlum |
GreenPlum 5.0.0、6.0.0 |
Teradata |
Teradata 14.00.05.02、16.20.00.01 |
Maxcompute |
Maxcompute 2.0 |
高斯DB |
GaussDB 100、200、300 |
API网关/数据接口 |
支持数据格式为JSON/XML/HTML |
设备目前支持旁路反向代理模式部署,设备旁路部署在交换机侧,客户端的SQL数据连接请求转发到脱敏代理系统,由数据脱敏系统解析请求后,再将SQL语句转发到数据库服务器,数据库服务器返回的数据同样经过数据脱敏系统后由脱敏系统返回给客户端。
举例:
如图5-1所示,满足客户端到设备管理端,设备管理端到后端真实数据库服务器,皆网络可达。
数据脱敏系统部署方式为反向代理部署。应用系统的SQL数据连接请求转发到脱敏代理系统,由数据脱敏系统解析请求后,再将SQL语句转发到数据库服务器,数据库服务器返回的数据同样经过数据脱敏系统后由脱敏系统返回给应用服务器。返回脱敏数据是数据脱敏系统的核心功能,本举例为用户展示数据脱敏系统实现数据脱敏的操作过程。
图6-1 组网图
浏览器中输入URL:https://服务器IP地址:8282(如https://192.168.11.81:8282),进入数据脱敏系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。
如图6-2所示,进入“资产管理>数据源管理>”页面,以添加oracle数据源为例,点击“添加数据资产”按钮。进入添加数据资产页面,页面如图6-3所示。填入数据库信息,点击“测试”按钮,系统提示数据库连接成功。点击“保存”按钮,可在“数据源管理”页面查看新增的相应的数据源,如图6-4所示。
如图6-5所示,进入“敏感数据发现>敏感数据扫描”页面选择已添加的数据源,点击对应任务的“”按钮。进入任务配置页面,具体页面如图6-6所示。选择例外模式、选择表、勾选需要发现的数据类型,点击“保存”按钮进行任务配置。点击“”按钮,开启敏感数据扫描。系统提示“启用成功”,页面通过进度条显示扫描进度,具体页面如图6-7所示。
如图6-8所示,进入“敏感数据发现>敏感数据扫描”页面选择已添加的数据源,点击“”按钮。打开敏感数据发现页面,具体页面如图6-9所示。点击“批量创建规则”按钮,具体页面如图6-10所示。选择数据类型和对应的算法,点击“保存”按钮,即可批量创建规则。
如图6-11所示,进入“脱敏规则>规则树”页面,点击需要进行脱敏的资产名称,查看创建的规则信息,勾选需要脱敏规则的规则名称,点击“批量操作”按钮,选择“启用规则”,可批量进行脱敏规则的启用,具体页面如图6-12所示。
对脱敏前后的表数据进行查询,对比,如下图6-13、图6-14所示。
数据脱敏系统部署方式为反向代理部署。应用系统的SQL数据连接请求转发到脱敏代理系统,由数据脱敏系统解析请求后,再将SQL语句转发到数据库服务器,数据库服务器返回的数据同样经过数据脱敏系统后由脱敏系统返回给应用服务器。因此,通过代理连接工具为展示数据脱敏结果的关键一步,本举例为用户展示数据脱敏系统代理连接工具的操作过程。
图7-1 组网图
浏览器中输入URL:https://服务器IP地址:8282(如https://192.168.11.81:8282),进入数据脱敏系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。
如图7-2所示,进入“资产管理>数据源管理>”页面,点击“添加数据资产”按钮。进入添加数据资产页面,页面如图7-3所示。填入数据库信息,点击“测试”按钮,系统提示数据库连接成功。点击“保存”按钮,可在“数据源管理”页面查看新增的相应的数据源,如图7-4所示。
如图7-5所示,使用DBeaver工具,通过脱敏产品代理连接生产库,数据库IP选择脱敏web端的IP(例如:192.168.11.81),端口使用7.3步骤配置的脱敏服务端口(13008),数据库用户名、密码、库名与直连数据库保持一致。点击测试连接按钮,提示连接成功,如图7-6所示。
图7-5 通过DBeaver工具代理连接配置
代理连接后,执行SQL如图7-7所示。按照6.4、6.5、6.6步骤创建规则后,再次执行SQL如图7-8所示。
数据脱敏系统为用户提供自动创建脱敏规则的方式。用户配置脱敏规则时,通过敏感数据发现,批量自动创建脱敏规则,在数据列极多情况下,极大的降低了用户的时间成本。本举例为用户展示数据脱敏系统自动创建脱敏规则的操作过程。
图8-1 组网图
浏览器中输入URL:https://服务器IP地址:8282(如https://192.168.11.81:8282),进入数据脱敏系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。
如图8-2所示,进入“资产管理>数据源管理>”页面,点击“添加数据资产”按钮。进入添加数据资产页面,页面如图8-3所示。填入数据库信息,点击“测试”按钮,系统提示数据库连接成功。点击“保存”按钮,可在“数据源管理”页面查看新增的相应的数据源,如图8-4所示。
如图8-5所示,进入“资产管理>资产状态>”页面,脱敏规则栏点击“”按钮,选择“自动更新-自动创建并启用,如图8-6所示。在敏感数据范围栏选择模板,后续系统将按照模板来创建规则,点击“”按钮,选择“使用模板-个人敏感信息模板”,如图8-7所示。在敏感数据发现栏,点击“”按钮,选择“自动更新-1h”(待到达下一个小时的第五分钟开始更新),配置如图8-8所示。
到达指定时间后,敏感数据发现将自动进行扫描,如图8-9所示。发现完成后,显示扫描的全部数据类型,如图8-10所示。扫描结束后将自动创建并启用脱敏规则,如图8-11所示
当脱敏规则无法满足用户需求时,可通过拓展规则对SQL查询做一些限制处理,例如替换表名,阻断等响应动作。本举例为用户展示数据脱敏系统实现拓展规则的操作过程。
图9-1 组网图
浏览器中输入URL:https://服务器IP地址:8282(如https://192.168.11.81:8282),进入数据脱敏系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。
如图9-2所示,进入“资产管理>数据源管理>”页面,点击“添加数据资产”按钮。进入添加数据资产页面,页面如图9-3所示。填入数据库信息,点击“测试”按钮,系统提示数据库连接成功。点击“保存”按钮,可在“数据源管理”页面查看新增的相应的数据源,如图9-4所示。
如图9-5所示,进入“高级功能>拓展规则>”页面,在规则树栏根据对应的资产,在操作栏点击“”按钮启用拓展规则组,启用状态为“”,如图9-6所示。
如图9-7所示,进入“高级功能>拓展规则>”页面,在规则树栏点击资产名称,进入该资产的拓展规则页面,如图9-8所示。点击添加拓展规则按钮,正确填写规则名称、匹配条件、响应动脱等信息,如图9-9所示。添加完成后,拓展规则默认为“”(启用)状态,如图9-10所示。
通过代理连接IP+端口访问资产(代理连接可通过7代理连接配置举例参考),如图执行命中拓展规则的SQL,查看返回结果,如图9-11所示。与9.4配置的替换SQL进行对比,如图9-12所示,查看结果一致,替换SQL成功,拓展规则生效。
图9-11 拓展规则SQL查询结果展示
图9-12 被替换SQL查询结果展示
数据脱敏系统为用户提供多种创建脱敏规则的方式。用户配置脱敏规则时,既可以通过敏感数据发现,批量自动创建脱敏规则,也可以在脱敏规则页面自定义创建脱敏规则。本举例为用户展示数据脱敏系统自定义创建脱敏规则的操作过程。
图10-1 组网图
浏览器中输入URL:https://服务器IP地址:8282(如https://192.168.11.81:8282),进入数据脱敏系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。
如图10-2所示,进入“资产管理>数据源管理>”页面,点击“添加数据资产”按钮。进入添加数据资产页面,页面如图10-3所示。填入数据库信息,点击“测试”按钮,系统提示数据库连接成功。点击“保存”按钮,可在“数据源管理”页面查看新增的相应的数据源,如图10-4所示。
如图10-5所示,进入“敏感数据和算法>数据类型管理>”页面,点击添加自定义类型,输入正确的数据类型名称、正则表达式,点击保存按钮,如图10-6所示。保存成功后,数据类型列表如图10-7所示。
图10-6 添加自定义类型
图10-7 新增自定义类型
如图10-8所示,进入“敏感数据和算法>脱敏算法管理>”页面。默认展示oracle库数据脱敏算法,如需操作或查看其它库脱敏算法,需要在右上角进行切换,如图10-9所示,点击添加自定义算法,选择输入对应的算法名称、关联数据类型等,如图10-10所示,点击保存按钮。保存成功后,算法类型列表如图10-11所示。
如图10-12所示,进入“敏感数据发现>敏感数据扫描”页面选择已添加的数据源,点击对应任务的“”按钮。进入任务配置页面,具体页面如图10-13所示。选择例外模式、选择表、勾选自定义的数据类型,点击“保存”按钮进行任务配置。点击“”按钮,开启敏感数据扫描。系统提示“启用成功”,页面通过进度条显示扫描进度,具体页面如图10-14所示。
如图10-15所示,进入“敏感数据发现>敏感数据扫描”页面选择已添加的数据源,点击“”按钮。打开敏感数据发现页面,具体页面如图10-16所示。点击“批量创建规则”按钮,具体页面如图10-17所示。选择数据类型和对应的算法,点击“保存”按钮,即可批量创建规则。
如图10-18所示,进入“脱敏规则>规则树”页面,点击需要进行脱敏的资产名称,查看创建的规则信息,勾选需要脱敏规则的规则名称,点击“批量操作”按钮,选择“启用规则”,可批量进行脱敏规则的启用,具体页面如图10-19所示。
对脱敏前后的表数据进行查询,对比,如图10-20、图10-21所示。
大型的信息系统中一般都是通过数据网关以接口(API)的方式获取数据。数据共享的应用与应用之前通过API进行数据共享已成为一个广泛的趋势。在这个数据交换的过程中同样需要做到对敏感数据的脱敏。API脱敏还可以与数据治理平台联动,按照数据分类分级标准实现精细管控。本举例为用户展示数据脱敏系统API脱敏配置的过程。
图11-1 组网图
浏览器中输入URL:https://服务器IP地址:8282(如https://192.168.11.81:8282),进入数据脱敏系统登录页面,输入管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮。
进入“资产管理>数据源管理>”页面,点击又上角,切换至API网关,如图11-2所示,点击“添加数据资产”按钮。进入添加数据资产页面,页面如图11-3所示,填入正确API信息。点击“保存”按钮,可在“数据源管理”页面查看新增的相应的数据源,如图11-4所示。点击“”按钮检测资产可以是否正常连接,如图11-5所示。
如图11-6所示,进入“脱敏规则”页面,查看对应的API资产规则栏。操作栏中点击“”按钮,进入设置API脱敏规则页面,输入数据类型及其对应的算法、优先级,如图11-7所示,点击保存按钮。
图11-6 API资产规则栏
对API接口脱敏前后的表数据进行查询,对比,如图11-8、图11-9所示。