SQL Server 2019中的SENSITIVITY CLASSIFICATION命令
對(duì)于數(shù)據(jù)庫(kù)管理員而言����,常見(jiàn)的日常實(shí)踐涉及運(yùn)行多個(gè)旨在確保數(shù)據(jù)庫(kù)安全性和完整性的操作�。 因此,在任何情況下���,我們都不應(yīng)忽略存儲(chǔ)在數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)的重要性�����。 有鑒于此�,我們很高興演示SQL Server 2019中引入的新的ADD SENSITIVITY CLASSIFICATION命令�����,該命令允許將敏感度分類元數(shù)據(jù)添加到數(shù)據(jù)庫(kù)列中��。
數(shù)據(jù)保護(hù)為什么重要
有許多類型的應(yīng)用程序可以為用戶存儲(chǔ)敏感信息,例如信用卡號(hào)�,密碼,醫(yī)療保健信息����,ID,SSN��,以及其他應(yīng)用程序���,例如憑證數(shù)據(jù)����,商業(yè)秘密���,證書(shū)���。
此類信息的泄漏或破壞可能導(dǎo)致可怕的后果,因?yàn)楣究赡鼙黄认蚩蛻艉徒鹑跈C(jī)構(gòu)支付數(shù)百萬(wàn)美元的損害賠償�����。
為了符合個(gè)人數(shù)據(jù)(例如GDPR或醫(yī)療數(shù)據(jù)(HIPAA))的法規(guī)��,該公司需要獲得數(shù)據(jù)安全性和保護(hù)性的最佳實(shí)踐。
該命令提供了什么
數(shù)據(jù)庫(kù)中最敏感的數(shù)據(jù)主要是指業(yè)務(wù)�����,財(cái)務(wù)�,醫(yī)療保健或個(gè)人信息�����。 要建立高級(jí)別的組織數(shù)據(jù)保護(hù)��,您應(yīng)該執(zhí)行的關(guān)鍵步驟是發(fā)現(xiàn)敏感數(shù)據(jù)��,然后對(duì)其進(jìn)行分類��。 這是新命令將發(fā)揮最大優(yōu)勢(shì)的地方�。
最重要的是,它將幫助您滿足數(shù)據(jù)隱私標(biāo)準(zhǔn)和法規(guī)遵從性要求���。 此外�����,借助它的幫助�����,您可以實(shí)施多種方案來(lái)監(jiān)視(審計(jì))和警告對(duì)敏感數(shù)據(jù)的異常訪問(wèn)��。 最后��,您將能夠加強(qiáng)包含高度敏感數(shù)據(jù)的數(shù)據(jù)庫(kù)的安全性并管理對(duì)其的訪問(wèn)��。
綜上所述���,合規(guī)性實(shí)踐中的關(guān)鍵點(diǎn)之一是要知道必須保護(hù)哪些數(shù)據(jù)���,對(duì)這些數(shù)據(jù)進(jìn)行分類,僅允許被允許查看或修改該數(shù)據(jù)的有限數(shù)量的人員訪問(wèn)���,并不斷監(jiān)視對(duì)您的敏感數(shù)據(jù)的訪問(wèn)���。 了解所有訪問(wèn)模式。
ADD SENSITIVITY CLASSIFICATION命令的工作方式
首先���,讓我提醒您����,SSMS v17.5中引入了類似的功能–數(shù)據(jù)發(fā)現(xiàn)和分類。除了ADD SENSITIVITY CLASSIFICATION命令外�,SSMS向?qū)н€允許對(duì)數(shù)據(jù)進(jìn)行分類并使用靈敏度標(biāo)簽對(duì)其進(jìn)行標(biāo)記。要了解這兩者的詳細(xì)信息和區(qū)別�,請(qǐng)參閱關(guān)于SSMS中SQL數(shù)據(jù)發(fā)現(xiàn)和分類的文章。
現(xiàn)在讓我們更詳細(xì)地討論“添加靈敏度分類”命令�。因此,本節(jié)將處理與發(fā)現(xiàn)����,分類和標(biāo)記數(shù)據(jù)庫(kù)中包含敏感數(shù)據(jù)的列有關(guān)的最重要問(wèn)題�����,以及查看數(shù)據(jù)庫(kù)的當(dāng)前分類狀態(tài)��。
以下是敏感數(shù)據(jù)分類中使用的兩個(gè)元數(shù)據(jù)屬性:
標(biāo)簽是主要的分類屬性�。他們的任務(wù)是定義存儲(chǔ)在列中的數(shù)據(jù)的敏感度級(jí)別。您可以將您的數(shù)據(jù)表示為公開(kāi)�,常規(guī),機(jī)密�,高度機(jī)密等。
信息類型為數(shù)據(jù)庫(kù)列中存儲(chǔ)的數(shù)據(jù)類型提供了附加說(shuō)明��。 它們指示您的敏感數(shù)據(jù)涉及的字段����,無(wú)論是銀行����,聯(lián)系方式�����,憑據(jù)��,財(cái)務(wù)還是其他�����。
等級(jí)定義靈敏度等級(jí)��,范圍從無(wú)到嚴(yán)格�����,如下所示:
SQL語(yǔ)言
要將靈敏度分類添加到數(shù)據(jù)庫(kù)對(duì)象����,只需應(yīng)用以下語(yǔ)言:
將靈敏度分類添加到
[, ...n ]
用 ( [, ...n ] )
::=
{
[schema_name.]table_name.column_name
}
::=
{
LABEL = string |
LABEL_ID = guidOrString |
INFORMATION_TYPE = string |
INFORMATION_TYPE_ID = guidOrString |
RANK = NONE | LOW | MEDIUM | HIGH | CRITICAL
}
讓我們考慮以下示例:
除此之外,SQL Server 2019引入了sys.sensitivity_classifications系統(tǒng)目錄視圖���,該視圖返回信息類型和敏感度標(biāo)簽�。 您可以使用它來(lái)管理數(shù)據(jù)庫(kù)分類以及生成報(bào)告。 限制是僅對(duì)列支持分類�。
使用以下查詢來(lái)查看具有相應(yīng)分類的所有分類列:
SELECT
SCHEMA_NAME(sys.all_objects.schema_id) as SchemaName,
sys.all_objects.name AS [TableName], sys.all_columns.name As [ColumnName], [Label], [Information_Type]
FROM
sys.sensitivity_classifications
left join sys.all_objects on sys.sensitivity_classifications.major_id = sys.all_objects.object_id
left join sys.all_columns on sys.sensitivity_classifications.major_id = sys.all_columns.object_id
and sys.sensitivity_classifications.minor_id = sys.all_columns.column_id
請(qǐng)參見(jiàn)下面的示例輸出:
數(shù)據(jù)庫(kù)審核
數(shù)據(jù)庫(kù)審計(jì)涉及分析和跟蹤與數(shù)據(jù)庫(kù)安全性,訪問(wèn)和使用�,數(shù)據(jù)創(chuàng)建,更改或刪除有關(guān)的數(shù)據(jù)庫(kù)用戶活動(dòng)����。 審計(jì)是數(shù)據(jù)庫(kù)安全性的重要組成部分,因?yàn)閿?shù)據(jù)庫(kù)管理員和顧問(wèn)通常必須確保訪問(wèn)數(shù)據(jù)的權(quán)限僅授予有需要的人員��,而沒(méi)有其他權(quán)限�。
不可否認(rèn)���,任何組織中最關(guān)鍵的部分就是其數(shù)據(jù)�����。 可能有許多用戶可能擁有操作數(shù)據(jù)的權(quán)限��,并且非常重要的一點(diǎn)是�,未經(jīng)授權(quán)的用戶不要編輯所有機(jī)密和受限制的數(shù)據(jù)����。
應(yīng)用ADD SENSITIVITY CLASSIFICATION命令���,您可以快速輕松地檢測(cè)出最易受攻擊的數(shù)據(jù)并將其分類。 之后���,將分類狀態(tài)添加到審核日志中��,這有助于監(jiān)視對(duì)敏感數(shù)據(jù)的訪問(wèn)以達(dá)到合規(guī)性和審核目的���。
在SQL Complete中添加靈敏度分類
與SQL Server 2019中引入的最新更改保持一致,Devart團(tuán)隊(duì)非常高興地宣布發(fā)布新的SQL Complete v6.6��。 該工具是具有強(qiáng)大的自動(dòng)完成功能的SQL數(shù)據(jù)庫(kù)開(kāi)發(fā)���,管理和管理的出色解決方案��。 新版本的其他有益更新包括對(duì)ADD SENSITIVITY CLASSIFICATION命令的支持�����。 讓我們概述一下SQL Complete中新功能的工作方式�����。
SQL Complete 6.6使您可以通過(guò)提示顯示數(shù)據(jù)庫(kù)列中數(shù)據(jù)漏洞的敏感度標(biāo)簽輕松地對(duì)數(shù)據(jù)庫(kù)列進(jìn)行分類����。 借助該工具的建議,您可以根據(jù)數(shù)據(jù)敏感度級(jí)別快速輕松地標(biāo)記列����。
除了靈敏度標(biāo)簽外,一列還可以具有另一個(gè)屬性–信息類型�����,它為存儲(chǔ)在數(shù)據(jù)庫(kù)列中的數(shù)據(jù)類型提供了額外的粒度���。 同樣,SQL Complete 6.6的快速而全面的提示大大促進(jìn)了數(shù)據(jù)分類��。
在建議窗口中��,根據(jù)敏感度�����,SQL Complete 6.6根據(jù)GDPR用黑色或紅色圓圈標(biāo)記包含個(gè)人或機(jī)密信息的列。
總結(jié)
關(guān)于這一點(diǎn)��,讓我們概述新功能必須提供的主要功能和優(yōu)勢(shì)�。 添加敏感度分類是SQL Server 2019中引入的一項(xiàng)強(qiáng)大功能,旨在提高數(shù)據(jù)庫(kù)安全性和對(duì)數(shù)據(jù)保護(hù)規(guī)則的遵從性�����。 借助其幫助���,您可以輕松發(fā)現(xiàn)包含潛在敏感數(shù)據(jù)的列�����,創(chuàng)建報(bào)告以及添加分類元數(shù)據(jù)�����。 通過(guò)使用該命令��,您確?���?梢苑奖愕剡M(jìn)行數(shù)據(jù)庫(kù)審核����,并使對(duì)敏感數(shù)據(jù)的訪問(wèn)受到控制��。
