【SQL Server 2016動態數據屏蔽入門】配置動態數據屏蔽

作者：Rick Heiges 2015-10-28 10:37:13

動態數據屏蔽（Dynamic data masking）是SQL Server 2016諸多新增安全功能之一，Azure SQL數據庫V12預覽版中也提供了這個功能。該功能支持對普通用戶隱藏部分數據.

　　動態數據屏蔽(Dynamic data masking)是SQL Server 2016諸多新增安全功能之一，Azure SQL數據庫V12預覽版中也提供了這個功能。該功能支持對普通用戶隱藏部分數據，例如，應用可能會要求顯示社會安全號(編者注：美國的社會安全號，即SSN，類似中國的身份證號碼)，除了后四位數字以外都要隱藏掉。也就是說，不會顯示“123-45-6789”，而是“XXX-XX-6789”。如果是特權用戶查看信息，則不會顯示掩碼。這個功能不同于加密。數據在存儲設備上是沒有屏蔽的，只是根據請求者是普通用戶還是特權用戶而對輸出進行隱藏或者混淆。該功能提供的不是完整的安全解決方案，但是它可以作為安全策略的一部分進行部署。

　　動態數據屏蔽在一些場合很有用。最明顯的場景是在規則遵從方面。不管法規是政府的，還是行業機構制定的，往往都會要求保護敏感數據不外顯，這也是一種常見的最佳實踐。還有一種場景，該功能可以用于內部開發人員。開發人員為了開發和測試目的索要正式數據進行測試的情況是很普遍的。在這種情況下提供數據時，通常提供方應該處理敏感數據，不管是表面混淆還是真實刪除都可以。處理數據可能會影響測試的有效性，因為查詢結果不是完全一致的。但是如果在這種情況下應用了動態數據屏蔽功能，數據就可以被保護起來，同時又保證提供了更真實的測試環境。大多數情況，屏蔽功能會用在這種場合，不過傳統靜態屏蔽會把數據以真正屏蔽的格式存儲，而不是只在輸出顯示時屏蔽，因此這種方法會帶來其它問題，比如破壞數據完整性。

　　本文我們將通過例子了解SQL Server 2016 CTP2和Azure SQL數據庫V12版本中如何設置動態數據屏蔽。動態數據測試吸引人的地方在于，它可以對表添加定義約束而無需重寫應用程序代碼。

　　配置動態數據屏蔽

　　本文示例基于公開發布的SQL Server 2016 CTP 2.2版本運行，配置動態數據屏蔽的第一步是要創建數據庫和測試表，如圖1。

　　創建測試表

　　圖1：測試數據屏蔽所用的示例數據庫

　　插入幾行測試數據

　　圖2：插入測試數據的SQL腳本

　　驗證測試數據有效存在

　　圖3：檢驗測試數據確實已有效保存

　　這里尚未定義屏蔽規則，所以所有數據都是可見的。

　　創建測試用戶并配置訪問該表的測試權限

　　圖4：數據未經屏蔽的員工信息表

　　因為尚未定義屏蔽功能，所以“TestUser”用戶可以看到所有數據。

　　在SQL Server 2016中，屏蔽配置是表定義的一部分

　　圖5：屏蔽“HomePhone”字段信息之后的員工信息表

　　修改員工信息表(“Employee”)定義后給“HomePhone”字段增加了自定義的屏蔽(如圖5)。本例中我們使用的是“partial”函數。“partial(0,"XXX-XXX-",4) ”語句的意思是從字段最左邊第0位開始用指定字符串替換(前面顯示字符數為0)，后面只顯示該字段最后四個字符。以上格式中提到的那些“X”以及連字符沒有實際意義。屏蔽字符串與字段中已有數據結構是類似的。我們來看看給“WorkPhone”字段用稍有差異的字符串屏蔽以后是什么效果。(編者注：在計算機領域，第一位置的編號通常用0表示，這里所說的第0位指的就是從第一個字符開始。)