GBase 8a数据脱敏功能全解析及使用示例‌——保护敏感数据,提升数据库安全性

最新推荐文章于 2025-08-04 23:14:52 发布
原创 最新推荐文章于 2025-08-04 23:14:52 发布 · 766 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#GBASE南大通用 #GBase数据库 #GBASE #数据库 #GBase

原文链接:https://www.gbase.cn/community/post/5497
更多精彩内容尽在南大通用GBase技术社区,南大通用致力于成为用户最信赖的数据库产品供应商。

概述

     由于敏感数据是数据库安全中重要的一部分,因此对于敏感数据的脱敏是很有必要的。GBase 8a MPP Cluster 提供动态数据脱敏功能供不同用户使用,以满足不同需求。

  • 使得开发人员或者数据库管理员能够有效控制数据库中敏感数据的暴露程度,并且在数据库层面生成脱敏数据,大大简化了业务应用层的安全设计和编码。
  • 使得用户可以通过 SQL 语法的形式,给需要进行数据脱敏的字段添加脱敏属性,并通过用户权限控制,决定是否对有查询要求的用户暴露原始数据。

数据脱敏功能

     动态数据脱敏并不会真正改动表中存储的实际数据,只是在查询的时候应用该特性控制查询返回的数据。
     动态数据脱敏是否启用受当前用户权限影响:
     super 用户和拥有 unmask 权限的用户不受脱敏规则影响可以访问实际数据;
     没有 unmask 权限的用户受脱敏规则影响只能访问到脱敏后的数据;
     没有 unmask 权限的用户执行 sql 的 warning 信息中含有的表数据显示为'******';
     脱敏只对投影列有效;
     数据脱敏功能不支持 blob、longtext、longblob 列。

脱敏表创建示例介绍

数据脱敏用户创建

创建脱敏数据库用户:     

例如使用dba账户创建数据库用户testuser,密码为123456

create user testuser identified by '123456'; 

授予testuser用户对库testdb的操作权限,例如授于create、select、insert权限(有其它权限需求,可以根据需求授权)

grant select,insert,create on testdb.* to testuser;

启用脱敏函数使用,执行set global _gbase_skip_mask_func=0; 

默认脱敏

功能说明

1. 默认脱敏函数针对基本类型的数据列进行脱敏。 
若数据类型包含 date、datetime 和 time。 

  • date 会以“1900-01-01”显示; 
  • datetime 会以“1900-01-01 00:00:00”显示;
  • time 会以“00:00:00”显示。

 2. 若数据类型是整型、浮点型和 decimal。 

  • 整型和浮点型会显示 0; 
  • decimal 会显示为 0.000...,带有结果小数位(定义的类型或者评估的类型) 个数 0。 

3. 若数据类型是字符串类型的。 
将会替换为固定 4 个 X 字符“xxxx”。 
4. NULL 值。 
不做脱敏处理,显示为 NULL。 
5. SQL 函数。 
如果 SQL 函数的任一参数含有脱敏属性,则按照函数返回结果类型,执行默认脱敏。
示例
创建默认脱敏表:

CREATE TABLE t_m_default

(name VARCHAR(10) MASKED WITH(FUNCTION = 'DEFAULT()'),

b_date DATETIME MASKED WITH(FUNCTION = 'DEFAULT()'),

age INT MASKED WITH(FUNCTION = 'DEFAULT()')

);

插入1条数据

INSERT INTO t_m_default VALUES('Jone smith','1989-03-04 12:31:24.123000',29);

脱敏前后数据

select * from t_m_default;

脱敏前数据(非脱敏用户查看)

脱敏后数据(脱敏用户查看)

 

随机脱敏

功能说明

随机脱敏函数只对数字类型起作用。 
它会将数字随机显示成指定范围内的值,若多次执行,同一行的随机值会不同。 
示例 

创建随机脱敏表

假设设置脱敏范围为(1,4)。

CREATE TABLE t_m_random(age INT MASKED WITH(FUNCTION = 'RANDOM(1,4)'));

插入1条数据

INSERT INTO t_m_random VALUES(29),(19);

脱敏前后数据

SELECT * FROM t_m_random;

脱敏前数据(非脱敏用户查看)

脱敏后数据(脱敏用户查看)

自定义脱敏

功能说明
自定义脱敏是对字符列进行脱敏,用户可以设定三个参数,prefix 开始保留字符数 
量,suffix 结尾保留字符数量以及 padding 遮挡字符,如果实际内容长度小于等于 
prefix+suffix+length(padding)长度,则直接显示 padding 的字符内容。 
示例
创建自定义脱敏表

设定 prefix 为 3,suffix 为 6,padding 字符“XXXX”。

CREATE TABLE t_m_partial_1(context VARCHAR(255) MASKED WITH(FUNCTION = 'PARTIAL(3,"XXXX",6)'));

插入1条数据

 INSERT INTO t_m_partial_1 VALUES('This is a book on the desk.'),('Hello');

查询脱敏后数据

select * from t_m_partial_1;

脱敏前数据(非脱敏用户查看)

脱敏后数据(脱敏用户查看)

SHA脱敏

功能说明
SHA 脱敏对字符列起作用,对列内容应用 SHA 算法处理。
示例
创建SHA脱敏表

CREATE TABLE t_m_sha(context VARCHAR(255) MASKED WITH(FUNCTION = 'SHA()'));

插入1条数据

INSERT INTO t_m_sha VALUES('abc');

查询脱敏后数据

SELECT * FROM t_m_sha;

脱敏前数据(非脱敏用户查看)

脱敏后数据(脱敏用户查看)

keymask 脱敏 

功能说明
指定字符位置脱敏函数 keymask(substr,padding,pos) 。
功能:指定字符为初始计数位置,指定位数内脱敏功能。keymask 脱敏函数只用于 
varchar/char 列进行脱敏,其他类型列使用该函数将报错返回。 
参数说明如下:

参数类型参数说明
varchar/char需要查找的子字符串,如:xiaoming@gbase.cn 的substr被设置为"@"。注,如 substr 长度长于被查找字符串长度将会报错。
varchar/char表示在查找到 substr 位置的之前或者之后用于覆盖的字符串。如,"xxx"、"***"等。
int0/1 覆盖方向,0 表示向前覆盖,1 表示向后覆盖。

脱敏规则如下: 
1)如果在内容中未发现 substr,则不做脱敏操作。并在 show warnings 中看到对应 
不脱敏操作的原因。如:substr ‘xxxx’is not exist in string ‘xxxxxx’。 
2)如果待查找字符串中存在多个 substr,那么只处理第一次出现的 substr 的位置。 
3)如果脱敏后的字符串超过字段定义的列宽,则按照 pos 的值在前或在后截断。

示例
创建keymask 脱敏表

create table t(a varchar(255) masked with(function='keymask("@gbase","****",0)'));

插入1条数据

insert into t values('gbase@gbase.cn');

查看脱敏后数据

select * from t;

脱敏前数据(非脱敏用户查看)

脱敏后数据(脱敏用户)

原文链接:https://www.gbase.cn/community/post/5497
更多精彩内容尽在南大通用GBase技术社区,南大通用致力于成为用户最信赖的数据库产品供应商。

GBase 8a MPP数据脱敏功能
zzzPQ的博客
01-04 384
gbase 8a mpp 数据脱敏
GBase 8a 的脱敏功能新增需求
weixin_34421618的博客
03-25 413
GBase 8a 的脱敏功能新增需求
GBase 8s SQL 指南:教程———7修改数据
Joe72的博客
02-28 2038
GBase 8s SQL 指南:教程———7修改数据
GBASE 8A 管理员手册(5)数据脱敏
aisirea的博客
12-17 601
数据脱敏 背景 由于敏感数据数据库中重要的一部分,因此对于敏感数据脱敏是 很有必要的。GBase 8a MPP Cluster提供动态数据脱敏功能供不同用户使用, 以满足不同需求。 使得开发人员或者数据库管理员能够有效控制数据库敏感数据的暴露程 度,并且在数据库层面生成脱敏数据,大大简化了业务应用层的安设计和编 码。 使得用户可以通过SQL语法的形式,给需要进行数据脱敏的字段添加脱敏 属性,并通过用户权限控制,决定是否对有查询要求的用户暴露原始数据脱敏功能 动态数据脱敏并不会真正改动
Gbase 国产数据库
zzh18334820165的博客
12-07 490
使用 DBeaver 通过 JDBC 连接 GBase 8a视频GBase 8s快速入门-功能简介与演示-大数据教程-腾讯课堂 (qq.com)GBASE 数据库产品预备知识免费班-学习视频教程-腾讯课堂 (qq.com)gbase 8s安装-2~安相关配置_哔哩哔哩_bilibili虚拟机安装gbase 前提 jdk和 unzip 必须先安装。​​安配置hadoopKafka。
GBase8a--权限管理
xiarichuxun的博客
03-19 1640
gbase8a--权限管理
GBase 8c 使用之安函数(二)
TYD123013的博客
07-26 407
描述根据decrypttype,以keystr为密钥对decrypt字符串进行解密,返回解密后的字符串。解密使用的decrypttype及keystr必须保证与加密时使用的encrypttype及keystr一致才能正常解密。由于该函数的执行过程需要传入解密口令,为了安起见,gsql工具不会将该函数记录入执行历史;查看上一次登录认证通过的日期、时间和IP等信息。查看上一次登录认证失败的日期、时间和IP等信息。描述显示帐户密码到期前提醒的天数。描述查看登录用户的登录信息。返回值类型int32。...
5-GBase 8a MPP Cluster 数据加载.pdf
09-24
GBase 8a MPP Cluster 是一款由南大通用数据技术股份有限公司开发的高性能并行数据库系统,专门设计用于处理大规模的数据分析任务。MPP(Massively Parallel Processing)架构使得该系统能够在分布式环境下并行处理...
GBase 8a MPP Cluster 南大通用数据仓库NoLicense版本
03-06
此版本安装包无license授权限制,支持X86平台CPU和redhat8/CentOS8操作系统。 1 规模限制 节点规模为4节点 每个节点的容量为500G(总容量为...不支持GBMLLib插件,即数据挖掘和机器学习扩展库 不支持GBFS文件服务器
MySQL进阶:(第二篇)索引的结构、分类、语法
m0_73073987的博客
08-01 1115
本文系统介绍了MySQL索引的核心概念与实现原理。首先阐述了索引作为高效数据检索的有序数据结构,对比了有无索引的查询差异,并分析了索引在提升查询效率(降低IO和CPU消耗)与占用空间、影响更新操作之间的优缺点。重点剖析了多种索引数据结构:二叉树、红黑树在数据量大时的深度问题,B-Tree的多路平衡特性,以及MySQL优化后的B+Tree(增加相邻节点指针提升区间查询)。同时介绍了哈希索引的局限性和存储引擎支持情况,解释了InnoDB选择B+Tree的原因。最后详细说明了聚集索引的选取规则、索引分类及创建语法
Ubuntu 下 MySQL 离线部署教学(含手动步骤与一键脚本)
最新发布
The God Of BigData 的博客
08-04 182
本文介绍了在Ubuntu 20.04/22.04无网络环境下部署MySQL的方法。首先需要准备虚拟机环境和下载依赖包,建议初学者先手动部署以理解原理。主要步骤包括:挂载ISO文件、安装MySQL、启动服务、设置root密码和远程访问配置。文中提供了详细的命令操作,并推荐使用自动部署脚本mysql_offline_deploy.sh完成批量部署。脚本包含挂载ISO、安装MySQL、安设置和开放端口等功能。最后提供了补充建议,如扩展依赖包和使用tar.gz格式替代ISO等方案。
菜鸟集团招Java研发啦
jobleap.cn求职助手首页
08-04 223
菜鸟集团招聘JAVA研发工程师,工作地点杭州。岗位职责包括分布式系统开发、高性能服务端程序设计、搜索引擎模块实现及海量数据处理。要求精通JAVA等编程语言,熟悉网络编程、Linux环境和数据库技术,具备扎实的算法基础。优先考虑有互联网实习经历、ACM竞赛获奖或学术成果的候选人。该职位面向具备良好学习能力和团队协作精神的技术人才。
mysql 实现转行和行转
质量不太好的博客
08-04 307
mysql 实现转行和行转
人大金仓数据库Kingbase主备集群搭建和部署
求知若渴,虚心若愚。
08-01 1055
本文介绍了人大金仓数据库主备集群的安装部署流程。主要内容包括:1)从官网下载数据库软件和授权文件;2)配置主备服务器207和209的免密互信;3)修改install.conf配置文件,设置集群路径、IP地址、数据库参数等;4)执行集群安装脚本并验证状态;5)测试主备数据同步,通过创建测试表和插入数据验证主备一致性。部署过程中需注意服务器免密配置和集群文件夹清理问题,最后通过repmgr命令检查集群运行状态。
ORACLE复杂查询
ZZH1120KQ的博客
08-04 1191
在Oracle数据库中,逻辑判断和条件判断是两个密切相关但又不完相同的概念。逻辑判断主要关注的是根据逻辑运算符(如AND、OR、NOT)对条件表达式的结果进行逻辑运算,从而得出最终的布尔值(true或false)。条件判断则更侧重于根据给定的条件或表达式来判断某个操作是否应该执行,或者应该执行哪个分支的操作。
【Redis】安装Redis,通用命令,常用数据结构,单线程模型
2301_80224556的博客
08-04 676
客户端-服务器模型与 MySQL 等主流数据库系统类似,Redis 也严格遵循客户端-服务器 (Client-Server, C/S) 架构模型。服务端 (这是 Redis 的核心,一个常驻运行的后台进程。它负责数据存储、管理、执行命令、处理持久化、维护数据结构等核心功能。服务端通常运行在指定的服务器或主机上,监听配置的 TCP 端口(默认是著名的6379端口),等待客户端的连接请求。值得注意的是,Redis 服务端在处理命令时是单线程。
MySQL(170)如何使用MySQL的性能模式(Performance Schema)?
qq_43012298的博客
07-31 1189
摘要:MySQL Performance Schema是一个内置诊断工具,用于监控服务器性能和活动。本文介绍了如何检查、启用和配置Performance Schema,并详细说明其核心监控表的功能。通过SQL查询示例展示了常见监控场景,包括等待事件、语句执行统计等。最后提供Java代码示例,演示如何通过JDBC连接MySQL并查询Performance Schema数据,实现程序化性能监控。该工具能有效帮助开发者识别性能瓶颈,进行数据库优化。
dolphinscheduler中一个脚本用于从定义中提取
weixin_45357522的博客
08-01 480
dolphinscheduler中,我们从一个mysql表导出数据,上传到hdfs, 再创建一个临时表,所以需要用到名定义和表。后面的任务就可以用select ${slctColumns} from table1 t 使用参数了。所以考虑只定义定义变量,前一个任务从定义中提取名生成一个变量供后面任务使用。原来定义两个变量,不仅繁锁,还容易出现差错,比如两者序不对。dolphinscheduler示例。一个从定义中提取表的脚本。
MySQL进阶:(第三篇)索引性能分析
m0_73073987的博客
08-01 881
本文介绍了四种MySQL性能分析工具:1.通过SHOW GLOBAL STATUS查看SQL执行频率;2.配置慢查询日志记录执行超时的SQL;3.使用SHOW PROFILES分析SQL执行时间分布;4.EXPLAIN执行计划详解,包括各字段含义(如id、select_type、type等),重点解释了type字段的性能等级(从最优的NULL到最差的表扫描ALL)。这些工具可帮助DBA优化数据库性能,定位慢查询问题。
ORACLE向GBase8a迁移攻略:数据类型与谓词转换详解
本指南详细阐述了将Oracle数据库迁移到国产化数据库GBase8a的过程,由天津南大通用数据技术股份有限公司提供,旨在帮助用户在确保数据完整性和性能的前提下顺利进行迁移。内容涵盖多个关键主题: 1. **前言**: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值