SQL Server 2016新特性:动态数据屏蔽(Dynamic Data Masking)

原创 2016年06月02日 09:33:55


       动态数据屏蔽是SQL Server 2016引入的一项新的特性,通过数据屏蔽,你可以对非授权用户限制敏感数据的曝光。动态数据屏蔽会在查询结果集里隐藏指定栏位的敏感数据,而数据库中的实际数据并没有任何变化。动态数据屏蔽很容易应用到现有的应用系统中,因为屏蔽规则是应用在查询结果上,很多应用程序能够在不修改现有查询语句的情况下屏蔽敏感数据。

        动态数据屏蔽是其他SQL Server安全特性(审计、加密、行级别安全控制等)的补充,微软推荐动态数据屏蔽和其他安全特性结合使用,以更好地保护敏感数据。

        屏蔽规则可以在表的某列上定义,以保护该列的数据,有4种屏蔽类型:DefaultEmailCustom StringRandom。在一个列上创建屏蔽不会阻止该列的更新操作;使用SELECT INTOINSERT INTO把数据从屏蔽列复制到另一张表时,会导致屏蔽的数据存放在目标表;对于没有UNMASK权限的用户来讲,动态数据屏蔽用在SQLServer导入/导出时,会导致目标数据库或文件包含屏蔽的数据。屏蔽规则不能应用于Encrypted columns, FILESTREAM, computed column等。


通过下面的SQL,可以查看哪些表的哪些栏位应用了屏蔽功能:

SELECT c.name, tbl.name as table_name, c.is_masked, c.masking_function
FROM sys.masked_columns AS c
JOIN sys.tables AS tbl 
    ON c.[object_id] = tbl.[object_id]
WHERE is_masked = 1;


下面看看MSDN给的示例,以此来学习如何使用该功能。

1  创建Dynamix Data Mask
1.1  创建一张表,并定义不同类型的dynamic data masks

CREATE TABLE Membership
  (MemberID int IDENTITY PRIMARY KEY,
   FirstName varchar(100) MASKED WITH (FUNCTION = 'partial(1,"XXXXXXX",0)') NULL,
   LastName varchar(100) NOT NULL,
   Phone# varchar(12) MASKED WITH (FUNCTION = 'default()') NULL,
   Email varchar(100) MASKED WITH (FUNCTION = 'email()') NULL);

INSERT Membership (FirstName, LastName, Phone#, Email) VALUES 
('Roberto', 'Tamburello', '555.123.4567', 'RTamburello@contoso.com'),
('Janice', 'Galvin', '555.123.4568', 'JGalvin@contoso.com.co'),
('Zheng', 'Mu', '555.123.4569', 'ZMu@contoso.net');
SELECT * FROM Membership;


1.2  创建一个user,并授SELECT权限,该user执行查询,就能看到屏蔽的数据。

CREATE USER TestUser WITHOUT LOGIN;
GRANT SELECT ON Membership TO TestUser;

EXECUTE AS USER = 'TestUser';
SELECT * FROM Membership;
REVERT;


2  在已存在的列上添加或编辑屏蔽功能
2.1  添加屏蔽功能

ALTER TABLE Membership
ALTER COLUMN LastName ADD MASKED WITH (FUNCTION = 'partial(2,"XXX",0)');
2.2  修改屏蔽功能

ALTER TABLE Membership
ALTER COLUMN LastName varchar(100) MASKED WITH (FUNCTION = 'default()');

3  授权查看未屏蔽的数据

GRANT UNMASK TO TestUser;
EXECUTE AS USER = 'TestUser';
SELECT * FROM Membership;
REVERT; 

-- 解除UNMASK权限
REVOKE UNMASK TO TestUser;


4  删除动态数据屏蔽

ALTER TABLE Membership 
ALTER COLUMN LastName DROP MASKED;


数据脱敏 Data Masking

数据脱敏(Data Masking)是指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏。 1、身份证脱敏 (现...

Oracle Data Security - Data Masking(数据屏蔽)

Data Masking可对数据进行不可逆的去身份化后,再用于非生产环境,同时自动保留引用完整性,以便应用程序能够继续正常运行。Data Masking Pack与Oracle Enterprise ...

动态SQL(Dynamic SQL)

----start     动态SQL是在程序运行时构造的,要执行单条SQL,使用EXECUTE IMMEDATE 语句;当批量执行SQL时,先使用PREPARE 语句构造SQL,然后使用EXECU...

给你的项目添加一个灵活的“开关”

项目中对接了一个代付通道,每次测试代付功能都是发起代付请求之后,需要等十几到二十几分钟才能返回代付结果,甚至期间通道偶尔会出现一些问题,更尴尬的是等了好长时间,返回的结果是代付失败(代付通道测试环境返...

自制Java虚拟机(六)静态属性和静态方法(getstatic, putstatic, invokestatic, <clinit>)

自制Java虚拟机(六)静态属性和静态方法(getstatic, putstatic, invokestatic, )Java中,静态属性和静态方法都是属于类的,类的诸多实例共享同一个静态属性和静态方...

SQL Server 2014 BI新特性(一)五个关键点带你了解Excel下的Data Explorer

Data Explorer是即将发布的SQL Server 2014里的一个新特性,借助这个特性讲使企业中的自助式的商业智能变得更加的灵活,从而也降低了商业智能的门槛。 此文是在微软商业智能官方博客里...
  • aspnetx
  • aspnetx
  • 2013年07月02日 00:24
  • 6873

SQL Server 2016新特性: In-Memory OLTP

内存中OLTP有助于OLTP工作负荷实现显著的性能改进,并减少了处理时间。可以通过将表声明成“内存中优化”来启用内存中OLTP的功能。内存优化表完全支持事务,并且可以使用Transact-SQL进行访...

SQL Server 2016新特性: tempdb增强(Multiple TempDB Files)

在数据处理的过程中,我们习惯使用SELECT INTO #Table这样的语句,用临时表来存放中间数据。大量使用临时表,会造成资源争夺,降低性能,因为在SQL Server 2012及之前的版本,t...

Dynamic Data——动态数据

Example of dynamic data. 动态数据的例子。 代码: Dynamic Data ...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:SQL Server 2016新特性:动态数据屏蔽(Dynamic Data Masking)
举报原因:
原因补充:

(最多只允许输入30个字)