sql server 里面的 dynamic Data Masking

有时候啊,当我们存放在数据库里面的数据,需要明文存放,但是对于前台查询出来的,又不太希望明文放出去的时候(比方说客户的手机啊,邮箱啊)之类有点敏感的信息,之前通常是保存个明文,然后在前台展现的时候再特殊处理一下,然后就ok了。

而现在呢,在2016提供了data mask的功能,可以遮掩对应列的一些基础信息

事不宜迟,先做样例

 1 create table t2(ID int identity,Name nvarchar(50),PWD varchar(20),Phone varchar(50),Email varchar(200))
 2 
 3 go
 4 insert into t2 (Name ,PWD ,Phone ,Email )
 5 select '张三','zhangsan','12433281924','zhangsan@qq.com'
 6 union all
 7 select '李四','wojiaolisi','18734612309','lisi@sohu.com'
 8 union all
 9 select '王五','wangwu','15378198234','wangwu@21cn.com'
10 union all
11 select 'sixgod','godsixzhao','00834123642','sixgod@qq.com'
12 
13 select * from t2
14 
15 ID          Name                                               PWD                  Phone                                              Email
16 ----------- -------------------------------------------------- -------------------- -------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
17 1           张三                                                 zhangsan             12433281924                                        zhangsan@qq.com
18 2           李四                                                 wojiaolisi           18734612309                                        lisi@sohu.com
19 3           王五                                                 wangwu               15378198234                                        wangwu@21cn.com
20 4           sixgod                                             godsixzhao           00834123642                                        sixgod@qq.com
测试表搭建

 然后我们对这个表的某个列进行mask 的操作。比方说我们对密码进行一个mask 可以使用以下语句

alter table t2 alter column PWD add masked with (function='default()')

然后我创建来一个用户Test1 然后只对他授予一个查询的权限。运行如下

execute as login='Test1'

select * from t2

ID          Name                                               PWD                  Phone                                              Email
----------- -------------------------------------------------- -------------------- -------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1           张三                                                 xxxx                 12433281924                                        zhangsan@qq.com
2           李四                                                 xxxx                 18734612309                                        lisi@sohu.com
3           王五                                                 xxxx                 15378198234                                        wangwu@21cn.com
4           sixgod                                             xxxx                 00834123642                                        sixgod@qq.com

默认的方法,是将整个列的替换成XXXX来显示。(仅仅在查询的时候会变成这样,数据并没有真正修改成 XXXX)。这是一种mask 的方法。

2016提供给了4种mask 的方式,上面已经演示来一种,还有3种分别是 email(),ramdom(),Custom masking 这3种,下面就演示一下

alter table t2 alter column Email add masked with (function='Email()')
alter table t2 alter column ID add masked with (function='Random(1000,9999)')
alter table t2 alter column Phone add masked with (function='partial(4,"****",4)')

select * from t2

ID          Name                                               PWD                  Phone                                              Email
----------- -------------------------------------------------- -------------------- -------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
7952        张三                                                 xxxx                 1243****1924                                       zXXX@XXXX.com
7601        李四                                                 xxxx                 1873****2309                                       lXXX@XXXX.com
5583        王五                                                 xxxx                 1537****8234                                       wXXX@XXXX.com
3190        sixgod                                             xxxx                 0083****3642                                       sXXX@XXXX.com

2、Email() 这个函数只显示email 的第一位以及 @,其他全部使用X来Mask
3、Random(1000,9999) 显示的值从1000~9999 之间生成的随机整数进行mask

4、partial 相当于自定义mask 模式,格式 (前缀保留位数,mask串,后缀保留位数) 这个格式进行创建

 

那是不是加来mask之后就无法看到原始数据呢?并不是的,是需要使用权限进行控制

grant unmask to User
revoke unmask from User

只要有unmask这个权限,那么就可以看到原始数据啦~~~
PS:可以查看那些列有mask 的哦

 

 

 

select object_name(object_id),name,masking_function
    from sys.masked_columns

(无列名)    name    masking_function
t2    ID    random(1000, 9999)
t2    PWD    default()
t2    Phone    partial(4, "****", 4)
t2    Email    email()

 

posted on 2016-04-20 12:01  神崎橙  阅读(1405)  评论(0编辑  收藏  举报

导航