数据保护规则根据数据资产和用户的属性以及要对受影响的数据资产执行的操作来定义要控制的数据。 监管团队创建数据保护规则后,将自动保护受管目录中的数据资产。 您还可以选择在虚拟化表上执行规则,创建数据资产的永久屏蔽副本,或将规则应用于受深度执行解决方案(如IBM Data Virtualization或IBM watsonx.data)保护的数据。
当满足强制实施的所有通行条件时,将在目录中强制实施数据保护规则。 实施条件可以包括目录设置,用户身份,数据格式以及读取数据的工具。 每当用户尝试访问受管目录中的数据资产时,都会评估数据保护规则以进行实施。 请参阅 数据保护规则实施。
要使用数据保护规则保护数据,请完成以下任务。
| 任务 | 必填? | 计时 |
|---|---|---|
| 接受用于实施数据保护规则的修订协议 | 是 | 多个确认 |
| 更改缺省规则行为 | False | 仅在设置期间 |
| 文档数据保护标准 | False | anytime |
| 创建定义如何保护数据的规则 | 是 | anytime |
| 使用屏蔽流永久屏蔽数据 | False | anytime |
| 利用IBM Data Virtualization执行数据保护规则 | False | anytime |
| 使用 IBM watsonx.data | False | anytime |
| 通过 IBM Match 360 | False | anytime |
接受用于实施数据保护规则的修订协议
平台会在多个任务中提示您确认了解如何实施数据保护规则。
数据保护规则现在在受管目录中实施,或者由深度实施解决方案实施。 深度实施解决方案 是一种保护解决方案,用于在数据源与以下某个服务集成时对 Cloud Pak for Data 外部的数据实施规则:
- IBM Data Virtualization
- IBM watsonx.data
要使用深度执行解决方案配置平台,可以创建数据源定义来设置数据源类型。 数据源类型决定了数据源定义可关联的连接类型以及可用的保护解决方案选项。 有关详细信息,请参阅数据源定义的保护解决方案。
如果未配置深度实施解决方案,那么不会在未管理的目录或项目中实施任何资产。 如果配置了深度实施解决方案,那么将保护资产,而不管数据是在受管目录还是不受管目录中,还是在项目中。 您在预览中看到的数据与 Notebook 中看到的数据相匹配,因为深度实施解决方案会强制实施这些数据。
从受管目录添加到项目的资产可能会根据将该资产添加到项目的用户和时间来保留静态实施行为。
在您执行以下操作时,将会提醒您已修订的数据保护规则实施协议:
更改缺省规则行为
规则行为设置确定如何实施数据保护规则。 缺省情况下,除非规则阻止用户访问数据资产,否则用户可以访问这些数据资产。 当多个规则影响同一数据资产时,更安全的数据保护规则和更多私有屏蔽方法优先。
如果要更改缺省规则行为设置,那么必须先更改这些设置,然后才能创建任何数据保护规则。 否则,必须先删除所有现有规则,然后才能更改设置。 评估数据访问约定的哪个方向最简单或更适合您的规则。
- 缺省数据访问约定
- 选择缺省情况下是解锁还是锁定数据,以及是否编写规则以拒绝或允许访问数据。 缺省情况下,数据已解锁。
- 规则操作优先顺序
- 选择当多个规则应用于相同的数据值或使用分层实施时,是更安全还是更宽松的规则优先。 安全顺序中的操作为: 拒绝访问,掩码和允许访问。 缺省情况下,最安全的操作优先。
- 分层实施行为取决于您是在 缺省数据访问约定 设置下选择解锁还是锁定选项:
- 对于解锁约定,分层实施优先顺序等同于大多数安全操作优先顺序。
- 对于锁定约定,要查看任何掩码或原始数据,至少需要一个允许决策。 要获取被掩盖的结果,需要掩盖决策和允许决策。 否则,访问将被拒绝。
- 规则屏蔽方法优先顺序
- 选择当多个屏蔽数据的规则应用于相同的数据值时,是否优先使用具有更专用或更有用的屏蔽的规则。 按隐私顺序排序的屏蔽方法有:编辑、替换和模糊处理。 缺省情况下,具有大多数隐私的方法优先。
了解有关更改规则设置的更多信息
文档数据保护标准
您可以编写策略来描述创建数据保护规则的原因以及这些规则的必要结果。 策略及其关联的监管规则描述组织的标准以及如何使数据资产符合这些标准。 您可根据策略的含义及其相互关系按层次结构对这些策略进行组织。 监管规则提供实现特定监管策略所需的行为或操作的业务描述。 策略和监管规则不可执行。 但是,您可以将数据保护规则分配给策略,以链接确保符合有关标准的信息的方法。
了解有关编写策略和监管规则的更多信息
创建定义如何保护数据的规则
数据保护规则定义如何控制对数据的访问,屏蔽数据值或过滤数据资产中的行。 每次用户尝试访问实施了规则的工作空间中的资产时,都会对数据保护规则进行强制评估。 实施基于访问数据资产的人员,用户访问数据资产的位置以及数据资产属性是否与规则中指定的条件匹配。
通常,您会构建规则条件,并使用描述数据的监管工件 (例如,业务术语,数据类和分类) 来指定屏蔽。 如果数据保护规则基于某些数据类,那么可以指定高级屏蔽选项以增加屏蔽数据的有用性。
如果规则依赖于监管工件,那么必须确保将相应的监管工件分配给数据资产。 例如,您可以创建规则以屏蔽分配了 "信用卡号" 数据类的列的信用卡号。 未分配 "信用卡号" 数据类的任何具有信用卡数据的列都不会被屏蔽。
数据保护规则在创建后立即生效。
了解有关创建数据保护规则的更多信息
使用屏蔽流永久屏蔽数据
如果您具有屏蔽数据的数据保护规则,那么可以运行屏蔽流以创建永久屏蔽的数据资产,这些数据资产是受管目录中数据资产的副本。 您可以将资产从目录添加到项目,运行屏蔽流,然后将生成的数据资产作为新资产发布到目录。 您可以选择复制一个或多个表并屏蔽其列,或者选择屏蔽相关表的子集。 在这两种情况下,您都可以定义条件以过滤生成的数据资产中的数据。
了解有关屏蔽流的更多信息
利用IBM Data Virtualization执行数据保护规则
如果您具有拒绝访问数据或屏蔽数据的数据保护规则,那么无论当前资产位于何处,都可以在目录中的虚拟化表的平台上实施这些规则。 资产是位于受管目录还是非受管目录中,还是位于项目中; 假定该资产的一个副本存在于平台内的受管目录中。
了解有关对虚拟化表实施规则的更多信息
通过 IBM watsonx.data 实施数据保护规则
如果您具有拒绝访问数据或屏蔽数据的数据保护规则,那么可以在平台上针对目录中的表强制实施这些规则,而不考虑当前资产所在的位置。 资产是位于受管目录还是非受管目录中,还是位于项目中; 假定该资产的一个副本存在于平台内的受管目录中。
了解有关 IBM watsonx.data 的更多信息
通过 IBM Match 360 实施数据保护规则
如果您具有拒绝访问数据或屏蔽数据的数据保护规则,那么可以在主数据实体和记录中实施这些规则。 必须在 IBM Match 360 设置中启用数据保护规则的实施。
了解有关实施主数据规则的更多信息
先前的规划任务
下一个规划任务
父主题: 规划以实施数据监管