要屏蔽数据,数据必须符合以下要求:
- 数据是结构化的。 数据必须在关系表或 CSV , Avro ,分区数据或 Parquet 文件中。
- 列标题仅包含字母数字字符 (a-z , A-Z 和 0-9)。 列标题不能包含不受支持的字符,例如多字节字符或特殊字符。
选择屏蔽操作时,必须指定屏蔽条件和屏蔽方法。
屏蔽条件
屏蔽条件标识要屏蔽的列。 选择列属性的类型,并指定该属性的一个或多个特定值,这些值在逻辑上与 OR 运算符组合。
| 列属性的类型 | 描述 | 特定值 |
|---|---|---|
| 业务术语 | 分配给列的业务术语。 | 搜索并选择一个或多个已发布的业务术语。 |
| 数据类 | 分配给列的数据类。 | 搜索并选择一个或多个已发布的数据类。 |
| 标记 | 分配给资产中的列的标记。 | 输入一个或多个以逗号分隔的标记。 |
| 列名 | 列的名称。 | 输入一个或多个列名,以逗号分隔。 |
例如,假设您选择数据类的列属性以及加利福尼亚州驾驶执照和内华达州驾驶执照的特定值。 然后,会在分配有 "加利福尼亚州驾驶执照" 或 "内华达州驾驶执照" 数据类的列中屏蔽值。
屏蔽方法概述
屏蔽方法之间的主要区别在于数据的原始特征保留了多少。 保留的数据的原始特征越多,越有用,但安全性越低,屏蔽的数据就会变得越不安全。 选择屏蔽方法时,请考虑以下因素:
数据完整性: 是否对重复的原始值重复相同的掩码值,以保持表之间的引用完整性。
数据格式: 是否保留原始数据的格式。 保留格式意味着用大小写相同的字母替换字母,用数字替换数字,字符数相同。
下表描述了每种屏蔽方法如何影响这些特征。
| 方法 | 描述 | 是否保留完整性? | 是否保留数据格式? |
|---|---|---|---|
| Redact | 缺省情况下,将值替换为 10 个 X 字符。 最安全的方法。 您还可以使用 高级屏蔽选项来编辑数据。 您可以定制替换字符和替换字符数。 对于具有某些已分配数据类的列,可以选择部分替换。 |
False | 否: 如果未使用高级屏蔽选项。 是: 如果使用高级屏蔽选项。 |
| 替换 | 将值替换为保留引用完整性的随机生成的值。 | 是 | False |
| 模糊处理 | 将值替换为保留引用完整性和原始数据格式的值。 最不安全的方法。 | 是 | 是 |
对于虚拟数据,根据数据字段定义,屏蔽行为略有不同。 请参阅屏蔽虚拟数据。
编辑
您可以使用两种不同的方法来编辑数据。
基本编辑方法将每个数据值替换为正好十个 X 字母的字符串。 通过编辑数据,不会保留数据格式和数据完整性。 Redact 是最安全的屏蔽方法,但会生成最不有用的屏蔽数据。
例如,电话号码 510-555-1234 将替换为 XXXXXXXXXX。 所有其他电话号码都将替换为相同的值。
您可以使用 高级屏蔽选项为基于数据类的条件指定高级编辑选项。 与缺省编辑方法不同,用于屏蔽数据的替换字符取决于为编辑数据而配置的特定字符。 您还可以指定要屏蔽数据的字符数。 使用高级编辑的数据,不会保留数据的格式,但会保留数据完整性。
例如,如果列类型为整数,并且配置了 0 以编辑整数,那么将使用 0000000000 来编辑数据。 如果列类型是字符串,并且为编辑字符串配置了 X ,那么将使用 XXXXXXXXXX 对数据进行编辑。 如果为日期配置了列类型,并为编辑日期配置了 2022-06-30 ,那么将使用 2022-06-30 对数据进行编辑。
但是,不会自动实施高级屏蔽选项。 您必须将其应用于项目中的所选数据资产,然后将掩码资产发布到目录。
替换
替代方法将数据替换为与原始格式不匹配的值。 但是,它会保留目录中所有资产的重复值的引用完整性。 替换值没有意义,无法确定值的原始格式。 替代方法在 Redact 和 Obfuscate 方法之间提供安全性和数据有效性。
例如,电话号码 510-555-1234 始终替换为 500ddcc98133703531re3456。
模糊处理
模糊处理方法将数据值替换为与原始格式匹配的格式相似的值,并保留重复值的引用完整性。 因为模糊化的值具有类似的格式,所以它们可以是有效值。 模糊处理是最不安全的掩蔽方法,但会生成最有用的掩蔽数据。
例如,电话号码 510-555-1234 始终替换为 415 -987-6543。
但是,模糊处理方法仅限于已分配具有以下类型信息的数据类的列中的数据值:
- 个人信息,例如个人的基本属性,例如荣誉或姓名后缀。
- 联系详细信息,例如电子邮件地址、电话号码、州、邮政地址、纬度或经度。
- 财务帐户,例如信用卡、银行或其他财务帐号。
- 政府身份(例如由政府发放的个人标识号),如 SSN(美国社会安全号)和 CCN(信用卡号)。
- 个人人口统计信息,例如,宗教,种族,婚姻状况,爱好或员工状况。
- 连接数据,例如, IP 地址或 MAC 地址。
如果创建用于对数据进行模糊处理的规则,并且对未分配支持模糊处理的数据类的数据强制实施该规则,那么将改为使用替代方法。
您可以为基于具有 高级数据屏蔽的数据类的屏蔽条件指定高级模糊处理选项。 但是,不会自动实施高级数据屏蔽。 您必须将其应用于项目中的所选数据资产,然后将掩码资产发布到目录。
观看此视频以了解如何屏蔽数据。
此视频提供了一种可视方法来学习本文档中的概念和任务。
了解更多信息
父主题: 数据保护规则