WizardWu 編程網

一位台灣的工程師,接觸 .NET 逾十年,近年研究 SQL Server、Performance Tuning、手機應用

博客园 首页 新随笔 联系 订阅 管理

一些特別注重資訊安全、個人資料的公司或產業 (如: 金融、保險業),通常「測試用資料庫」的資料,會加上「遮蔽;去識別化」的功能,避免個資外洩。以往必須自己撰寫 SQL 語句或 Stored Procedure 來處理,且遇到不同的資料庫使用者,要給予不同瀏覽權限時,寫起來就更麻煩。現在 SQL Server 2016 已內建「動態資料遮罩 (Dynamic Data Masking)」功能,除了資料可針對自訂邏輯來遮蔽,還可針對不同的資料庫使用者,給予不同的瀏覽權限。

 --建立測試資料表
 CREATE TABLE Employee(
  EmpNo int identity primary key,
  [Name] nvarchar(5),
  ID varchar(10),
  Hireday date,
  Birthday date,
  Age as datediff(year,Birthday,getdate())+1,
  Gender bit,
  Email varchar(50), 
  Tel varchar(20),
  Salary money,
  CreditCard varchar(20))
 
 --新增測試資料
 INSERT Employee 
 VALUES (N'王二','A123456789','19700101','19800101',0,'aaa@wizard.com','02-12345678',100500,'1234-5678-9012-3456')
       ,(N'李二三','B123456789','19771010','19851010',1,'bbb@wizard.com','03-12345678',88000,'7890-1234-5678-9012')
       ,(N'陳二三四','C123456789','19851231','19951231',1,'ccc@wizard.com','04-12345678',723456,'3456-7890-1234-5678')
建立測試資料
 --測試 default 遮罩,在 varchar 型別
 ALTER TABLE Employee ALTER COLUMN Tel ADD MASKED WITH(FUNCTION='default()')
 GO
 --測試 default 遮罩,在 bit 型別 (bit會全為零)
 ALTER TABLE Employee ALTER COLUMN Gender ADD MASKED WITH(FUNCTION='default()')
 GO
 --測試 default 遮罩,在 money 型別
 ALTER TABLE Employee ALTER COLUMN Salary ADD MASKED WITH(FUNCTION='default()')
 GO
 --測試 default 遮罩,在 date 型別
 ALTER TABLE Employee ALTER COLUMN Hireday ADD MASKED WITH(FUNCTION='default()')
 GO
 --測試 email 遮罩,在 varchar 型別
 ALTER TABLE Employee ALTER COLUMN Email ADD MASKED WITH (FUNCTION = 'email()')
 --建立一般使用者 user1
CREATE USER user1 WITHOUT LOGIN
GRANT SELECT ON Employee TO user1
 
--以 sa (最高權限者) 瀏覽 (無遮罩)
SELECT * FROM Employee (NOLOCK);
 
--以 user1 瀏覽 (有遮罩)
EXEC AS USER='user1'
      SELECT * FROM Employee (NOLOCK);
 REVERT


圖 1 使用者 sa 和 user1 看到的結果,前者無遮罩,後者有遮罩

--------------------------------------------

 --測試自訂遮罩
 ALTER TABLE Employee ALTER COLUMN [Name] ADD MASKED WITH (FUNCTION = 'partial(1,"X",1)')  --Name 保留第一個和最後一個字,其他用 X 取代
 ALTER TABLE Employee ALTER COLUMN CreditCard ADD MASKED WITH (FUNCTION = 'partial(0,"xxxx-xxxx-xxxx-",4)') --信用卡,只顯示最後四碼
 ALTER TABLE Employee ALTER COLUMN ID ADD MASKED WITH (FUNCTION = 'partial(2,"________",0)')  --ID 保留前兩個字,其他用 8 個底線符號取代
  
 --測試亂數遮罩
 ALTER TABLE Employee ALTER COLUMN Salary ADD MASKED WITH(FUNCTION = 'random(10000,100000)')  --Salary 顯示介於 10000 到 100000 的亂數


圖 2 使用者 sa 和 user1 看到的結果,前者無遮罩,後者有遮罩

--------------------------------------------

--查詢有啟用 Dynamic Data Masking 功能的資料表和欄位

SELECT m.name, t.name, c.user_type_id, m.is_masked, m.masking_function
 FROM sys.masked_columns (NOLOCK) m
 JOIN sys.tables (NOLOCK) t ON m.[object_id]=t.[object_id]
 JOIN sys.columns (NOLOCK) c ON m.[object_id]=c.[object_id] AND m.name=c.name
 WHERE m.is_masked=1;

--------------------------------------------

--希望某個使用者 user2 瀏覽時,不受遮罩影響
GRANT UNMASK TO user2

--------------------------------------------

--針對某個資料表或欄位,移除 Dynamic Data Masking 功能
ALTER TABLE Employee ALTER COLUMN CreditCard DROP MASKED

--測試是否已移除 Dynamic Data Masking 功能
exec('SELECT * FROM Employee (NOLOCK)') as user='user1'

--------------------------------------------
--------------------------------------------
參考書籍:

[1] Microsoft SQL Server 2016 資訊安全實戰, ch6, 悅知出版社
http://www.delightpress.com.tw/book.aspx?book_id=SKUD00027
--------------------------------------------
相關文章:

[1] 動態資料遮罩
https://msdn.microsoft.com/zh-tw/library/mt130841.aspx

[2] SQL2016-動態資料遮罩
https://dotblogs-testslot.azurewebsites.net/ricochen/2016/12/02/222254

[3] sql server 里面的 dynamic Data Masking
http://www.cnblogs.com/Gin-23333/p/5412028.html

[4] Dynamic Data Masking筆記(SQL Server 2016新功能)
https://dotblogs.com.tw/stanley14/2016/03/19/090752

[5] CP2-新功能-Dynamic Data Masking
https://dotblogs.com.tw/colinlin/2015/06/16/151581

[6] SQL Server 2016 Security Roadmap Session Notes
https://www.brentozar.com/archive/2015/05/sql-server-2016-security-roadmap-session-notes-msignite/
--------------------------------------------
--------------------------------------------

 

posted on 2017-01-12 13:56  WizardWu  阅读(2011)  评论(0编辑  收藏  举报