数据安全网关(云访问安全代理)(Data Security Gateway(Cloud Access Security Broker),CASB)支持“全部数据脱敏”和“指定元数据脱敏”两种策略类型,本文将为您介绍使用“全部元数据脱敏策略”实现敏感数据发现即脱敏,一次配置全局管控脱敏的实践。
策略类型 | 描述 | 适用场景 |
全部元数据脱敏 | 管控范围:所有数据源、所有代理账号。 脱敏规则:使用脱敏模板。即提前针对分类配置脱敏策略,基于敏感识别结果实时生效脱敏策略。(如配置“手机号-遮盖算法”,所有被识别为手机号的字段都执行遮盖脱敏算法) 特殊加白:针对特别场景,可在策略基础上对账号、数据源进行加白,加白后可不执行脱敏。 | 快速搭建安全防护体系:企业数据资产多,敏感数据分散多数据源,使用该策略可一次配置全局生效,无需对存量字段逐一配置。 敏感数据即时保护:敏感数据识别后自动触发动脱策略生效。 |
指定元数据脱敏 | 管控范围:指定数据源、指定代理账号。 脱敏规则:可选择下列任一种方式。 单字段逐一配置。即对每个字段单独配置不同脱敏算法。 使用脱敏模板。同全部元数据脱敏。 | 账号差异化管控:对同一分类数据在不同账号(内部系统、员工、供应商等)配置不同脱敏规则,适用于个性化管控诉求。 场景差异化管控:对同一分类数据在不同数据源时配置不同脱敏规则,适用于不同业务场景诉求,平衡安全和业务使用。 说明: |
接入场景
场景一:大量资产逐一配置策略,耗时耗力
核心痛点:资产多且分散,逐个字段配置需数天甚至数月。
方案概述:基于分类配置脱敏策略(如“手机号-遮盖”、“银行卡号-HASH”等),实现一次配置对全局所有敏感数据生效。
突出优势:降低成本数百倍,策略配置时间缩短至分钟级。
场景二:敏感资产持续新增,存在防护空白期
核心痛点:业务系统持续更新迭代,敏感数据分布不断变换,传统方案从“敏感识别”到“防护生效”存在一定时长,该阶段敏感资产处于防护空白期,易高敏数据泄漏,导致安全风险、合规风险泄。
方案概述:持续自动化监控全局资产,识别敏感数据(如“身份证号”、“邮箱”等),识别结果自动触发动态脱敏策略生效,及时控制敏感数据访问时脱敏,仅限特定账号可访问明文。
突出优势:敏感数据即时脱敏,避免过长的防护空白期。
前提条件
具备敏感识别资源:已 购买数据安全治理中心实例。
具备数据脱敏资源:已 购买开通 CASB 实例。
配置步骤
持续自动化识别数据分类分级
步骤一:配置分类分级模板
建立敏感数据 “识别标准”(定义分类、分级),为后续敏感数据识别与治理奠定基础。
1. 登录 数据安全治理中心控制台。
2. 在左侧导航栏中,单击分类分级 > 分类分级配置。
3. 参考 分类分级模板配置进行新建/导入模板。
步骤二:定期执行分类分级任务
全面梳理敏感资产,持续动态发现敏感数据,解决 “数据资产不清晰” 问题,避免新增敏感字段无感知。
1. 登录 数据安全治理中心控制台。
2. 在左侧导航栏中,单击分类分级 > 分类分级任务。
3. 参考 分类分级任务 进行分类分级任务的新建。
步骤三:分类分级结果查看与手动调整
人工矫正识别结果,可修正自动化识别误差(约 5%-10% 的模糊场景),确保分类分级结果贴合业务实际情况。
1. 登录 数据安全治理中心控制台。
2. 在左侧导航栏中,单击分类分级 > 敏感数据资产。
3. 在敏感数据资产页面,您可以查看指定数据库、表的敏感数据详情,同时也支持按照不同的分类、分级进行敏感数据的筛选。
4. 单击查看样本,可随机展示该字段的抽样数据信息,您可以依据抽样数据进行识别结果的判断。
5. 对误判字段(如 “普通编号” 被误标为 “身份证号”),您可以单击人工打标,对该字段进行识别结果的修改。
预设脱敏策略规范
步骤一:脱敏资源关联分类分级资源
指定识别资源与脱敏资源的关联关系,解决 “识别和防护断层” 问题,实现 “识别结果直接驱动防护策略”。
1. 登录 数据安全网关控制台,在左侧导航栏中,单击实例 > 实例列表。
2. 根据脱敏资源,单击其对应分类分级资源列的配置按钮。
3. 在配置弹窗中,选择需要绑定的数据安全治理中心实例和分类分级模板,单击确定即可完成分类分级资源的配置。更多操作详情参考分类分级资源管理。
步骤二:配置动态脱敏模板
基于企业安全规范,针对“分类-数据项”配置脱敏规则,在脱敏策略选用脱敏模版即可实现该分类所有字段都统一应用该算法,解决 “同一分类不同字段重复配置策略” 问题。
1. 登录 数据安全网关控制台,在左侧导航栏中,单击数据脱敏 > 脱敏模板。
步骤三:配置脱敏策略
配置“全部元数据脱敏”策略,实现策略对全局数据源、账号生效,避免“不同资产需逐一配置策略”问题,实现新增资产默认纳入管控。
1. 登录 数据安全网关控制台,在左侧导航栏中,单击数据脱敏 > 动态脱敏策略。
2. 在动态脱敏策略页面,参考新建脱敏策略,完成“全部元数据脱敏”策略的创建。
验证测试
通过以上配置,企业实现 “分类分级识别→脱敏策略生效” 的自动化流程,从根本上解决传统方案中 “重复配置、策略不一致、防护滞后” 的问题,尤其适合拥有海量数据字段(万级以上)的金融、医疗、政务等行业,策略管理成本显著降低,同时依托腾讯云内置模型和算法保障方案的安全性与合规性。
测试用例1:指定脱敏账号查询敏感数据(存量数据验证)
1. 通过 SQL 客户端(如 Navicat/MySQL Workbench)连接 CASB 代理地址,使用指定代理账号执行查询;
2. 查看查询结果是否符合脱敏模板配置(如中间字段被星号替换);
3. 使用普通账号(非代理账号)执行相同查询,确认敏感字段显示明文(未被错误脱敏),确保策略仅对目标账号生效。
测试用例2:新增表与敏感数据动态脱敏验证(增量数据验证)
1. 在数据库中创建新表,并添加不同分类分级的字段;
2. 在 DSGC 控制台手动启动或等待定期扫描任务(如步骤 2 配置的 “定期执行分类分级任务”),识别新增表和字段;
3. 通过 SQL 客户端(如 Navicat/MySQL Workbench)连接 CASB 代理地址,使用指定代理账号执行查询新增的字段;
4. 查看查询结果是否符合脱敏模板配置(如中间字段被星号替换)
常见问题
测试账号查询结果未脱敏(显示明文)如何进行排查?
1. 检查 DSGC 分类分级结果中,该字段是否正确标记为敏感数据;
2. 检查 CASB 脱敏模板中是否为该字段所命中的分类数据项配置脱敏算法;
3. 确认 CASB 动态脱敏策略中该账号是否被正确纳入脱敏范围;
4. 查看 CASB 策略优先级,确保优先级高于 “其他脱敏策略”。
新增字段未触发脱敏如何进行排查?
1. 确认 DSGC 扫描任务已包含新表,可以重新连接数据源,以同步最新的表结构信息;
2. 确认 CASB 中,该数据源的表结构信息已同步。可参考元数据表结构管理,手动同步元数据表结构信息。
