动态数据屏蔽(Dynamic data masking)是SQL Server 2016诸多新增安全功能之一,Azure SQL数据库V12预览版中也提供了这个功能。该功能支持对普通用户隐藏部分数据,例如,应用可能会要求显示社会安全号(编者注:美国的社会安全号,即SSN,类似中国的身份证号码),除了后四位数字以外都要隐藏掉。也就是说,不会显示“123-45-6789”,而是“XXX-XX-6789”。如果是特权用户查看信息,则不会显示掩码。这个功能不同于加密。数据在存储设备上是没有屏蔽的,只是根据请求者是普通用户还是特权用户而对输出进行隐藏或者混淆。该功能提供的不是完整的安全解决方案,但是它可以作为安全策略的一部分进行部署。
清河网站制作公司哪家好,找创新互联建站!从网页设计、网站建设、微信开发、APP开发、成都响应式网站建设等网站项目制作,到程序开发,运营维护。创新互联建站于2013年成立到现在10年的时间,我们拥有了丰富的建站经验和运维经验,来保证我们的工作的顺利进行。专注于网站建设就选创新互联建站。
动态数据屏蔽在一些场合很有用。最明显的场景是在规则遵从方面。不管法规是政府的,还是行业机构制定的,往往都会要求保护敏感数据不外显,这也是一种常见的最佳实践。还有一种场景,该功能可以用于内部开发人员。开发人员为了开发和测试目的索要正式数据进行测试的情况是很普遍的。在这种情况下提供数据时,通常提供方应该处理敏感数据,不管是表面混淆还是真实删除都可以。处理数据可能会影响测试的有效性,因为查询结果不是完全一致的。但是如果在这种情况下应用了动态数据屏蔽功能,数据就可以被保护起来,同时又保证提供了更真实的测试环境。大多数情况,屏蔽功能会用在这种场合,不过传统静态屏蔽会把数据以真正屏蔽的格式存储,而不是只在输出显示时屏蔽,因此这种方法会带来其它问题,比如破坏数据完整性。
本文我们将通过例子了解SQL Server 2016 CTP2和Azure SQL数据库V12版本中如何设置动态数据屏蔽。动态数据测试吸引人的地方在于,它可以对表添加定义约束而无需重写应用程序代码。
配置动态数据屏蔽
本文示例基于公开发布的SQL Server 2016 CTP 2.2版本运行,配置动态数据屏蔽的第一步是要创建数据库和测试表,如图1。
创建测试表
图1:测试数据屏蔽所用的示例数据库
插入几行测试数据
图2:插入测试数据的SQL脚本
验证测试数据有效存在
图3:检验测试数据确实已有效保存
这里尚未定义屏蔽规则,所以所有数据都是可见的。
创建测试用户并配置访问该表的测试权限
图4:数据未经屏蔽的员工信息表
因为尚未定义屏蔽功能,所以“TestUser”用户可以看到所有数据。
在SQL Server 2016中,屏蔽配置是表定义的一部分
图5:屏蔽“HomePhone”字段信息之后的员工信息表
修改员工信息表(“Employee”)定义后给“HomePhone”字段增加了自定义的屏蔽(如图5)。本例中我们使用的是“partial”函数。“partial(0,"XXX-XXX-",4) ”语句的意思是从字段最左边第0位开始用指定字符串替换(前面显示字符数为0),后面只显示该字段最后四个字符。以上格式中提到的那些“X”以及连字符没有实际意义。屏蔽字符串与字段中已有数据结构是类似的。我们来看看给“WorkPhone”字段用稍有差异的字符串屏蔽以后是什么效果。(编者注:在计算机领域,第一位置的编号通常用0表示,这里所说的第0位指的就是从第一个字符开始。)
图6:员工表中的“HomePhone”和“WorkPhone”字段显示屏蔽码
“WorkPhone”字段的屏蔽码定义与“HomePhone”字段定义类似,只是替换所用字符不同。
现在我们已经展示了每个电话号码字段如何使用屏蔽功能,那么针对包含有屏蔽列的表运行查询语句能按条件查询到对应结果吗?我们一起来看看。
图7:查询屏蔽数据
因为屏蔽只是作用于数据的显示功能,屏蔽列的搜索是不受影响的。
下面我们给SSN添加屏蔽。
图8:给“HomePhone”、“WorkPhone”和“SSN”字段添加屏蔽后的员工信息表
给字段添加屏蔽有一些预定义的功能。例如,有针对电子邮件格式的预定义屏蔽。请看下图。
图9:设置“HomePhone”、“WorkPhone”、“SSN”和“Workemail”字段添加屏蔽后的员工表
请注意,上图中电子邮件预定义屏蔽后只显示了该字段的第一个字母,而其他字母屏蔽为“XXX@XXXX.com ”,把整个域名隐藏起来了。
那么屏蔽功能会破坏查询语句排序效果吗?我们来看一下。
图10:对员工表执行排序查询
排序效果是正常的,不过屏蔽后第一个字母仍然展示出来了(如图10)。如果我们不使用预定义的屏蔽功能,对该电子邮件地址字段使用自定义屏蔽会是什么效果呢?
图11:使用自定义屏蔽字段排序后的员工表
如上图所示,数据排序仍然正常。这里还要注意,我去掉了“workemail”字段的预定义屏蔽,取而代之使用“partial”函数自定义了屏蔽格式。
接下来,我演示了屏蔽字段用于“where”条件从句搜索指定数据的情况,仍然支持正确排序。如果开发人员希望获得无屏蔽数据,该怎么做呢(图12)?
图12:无屏蔽数据
我需要在“dbo”模式中提供更多权限给“TestUser”,不过“SELECT INTO”会把未屏蔽数据复制到另一个表中。未屏蔽数据现在复制到另一个表里了。
之后我们将继续介绍《Azure SQL 数据库V12(预览版)中的动态数据屏蔽》和《定义屏蔽》。
【责任编辑:honglu TEL:(010)68476606】
网页标题:【SQLServer2016动态数据屏蔽入门】配置动态数据屏蔽
网页地址:http://www.36103.cn/qtweb/news45/13045.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联