取決于你們公司的實(shí)際業(yè)務(wù)場(chǎng)景和數(shù)據(jù)敏感度,。比如如果你現(xiàn)在的單位是銀行,因?yàn)樯婕坝脩舻呢?cái)產(chǎn)安全,,數(shù)據(jù)庫(kù)是肯定需要進(jìn)行---處理的,,
以防用戶數(shù)據(jù)泄露,對(duì)銀行或者儲(chǔ)戶造成損失,。這里的泄露有可能是被別人技術(shù)套取,,也有可能是內(nèi)部員工職業(yè)操守出現(xiàn)問(wèn)題而導(dǎo)致“家賊難防”的事情發(fā)生,
這時(shí)候數(shù)據(jù)庫(kù)---就顯得尤為---,。當(dāng)然銀行也不是對(duì)所有數(shù)據(jù)都進(jìn)行---處理,,對(duì)一些不重要不涉及用戶或單位---息的數(shù)據(jù),是不需要也不會(huì)對(duì)其進(jìn)行---處理的,。
因?yàn)閿?shù)據(jù)---是有操作維護(hù)成本以及使用成本的,,而且成本不小,在后續(xù)的數(shù)據(jù)維護(hù)和數(shù)據(jù)使用過(guò)程中,,會(huì)產(chǎn)生各種不方便及額外的時(shí)間及性能損耗,。
數(shù)據(jù)---功能,基于sql引擎既有的實(shí)現(xiàn)框架,,在受限用戶執(zhí)行查詢語(yǔ)句過(guò)程中,,實(shí)現(xiàn)外部不感知的實(shí)時(shí)---處理。關(guān)于其內(nèi)部實(shí)現(xiàn),,如上圖所示,。我們將---策略redaction policy視為表對(duì)象上綁定的規(guī)則,在優(yōu)化器查詢重寫階段,,遍歷query tree中targetlist的每個(gè)targetentry,,如若涉及基表的某個(gè)---列,且當(dāng)前---規(guī)則生效即滿足---策略的生效條件且enable開啟狀態(tài),,則斷定此targetentry中涉及要---的var對(duì)象,,此時(shí),遍歷---列系統(tǒng)表pg_redaction_column,,查找到對(duì)應(yīng)---列綁定的---函數(shù),將其替換成對(duì)應(yīng)的funcexpr即可,。
經(jīng)過(guò)上述對(duì)query tree的重寫處理,,優(yōu)化器會(huì)自動(dòng)生成新的執(zhí)行計(jì)劃,執(zhí)行器遵照新的計(jì)劃執(zhí)行,,查詢結(jié)果將對(duì)敏感數(shù)據(jù)做---處理,。
靜態(tài)---直接通過(guò)屏蔽,、變形、替換,、隨機(jī),、格式保留加密fpe和強(qiáng)加密算法如aes等多種---算法,針對(duì)不同數(shù)據(jù)類型進(jìn)行數(shù)據(jù)掩碼---,,---數(shù)據(jù)庫(kù)---軟件,,并可將---后的數(shù)據(jù)按用戶需求,金融數(shù)據(jù)庫(kù)---軟件,,裝載至不同環(huán)境中,。靜態(tài)---可提供文件至文件,醫(yī)院數(shù)據(jù)庫(kù)---軟件,,文件至數(shù)據(jù)庫(kù),,數(shù)據(jù)庫(kù)至數(shù)據(jù)庫(kù),數(shù)據(jù)庫(kù)至文件等不同裝載方式,。導(dǎo)出的數(shù)據(jù)是以---后的形式存儲(chǔ)于外部存貯介質(zhì)中,,實(shí)際上已經(jīng)改變了存儲(chǔ)的數(shù)據(jù)內(nèi)容。
動(dòng)態(tài)---通過(guò)準(zhǔn)確的解析sql語(yǔ)句匹配---條件,,例如:訪問(wèn)ip,、mac、數(shù)據(jù)庫(kù)用戶,、---工具,、操作系統(tǒng)用戶、主機(jī)名,、時(shí)間,、影響行數(shù)等,在匹配成功后改寫查詢sql或者攔截防護(hù)返回---后的數(shù)據(jù)到應(yīng)用端,,從而實(shí)現(xiàn)敏感數(shù)據(jù)的---,。實(shí)際上存儲(chǔ)于生產(chǎn)庫(kù)的數(shù)據(jù)未發(fā)生任何變化。
|
登錄后臺(tái)
滇公網(wǎng)安備 53011202000392