转载

【SQL Server 2016动态数据屏蔽入门】配置动态数据屏蔽

动态数据屏蔽(Dynamic data masking)是SQL Server 2016诸多新增安全功能之一，Azure SQL数据库V12预览版中也提供了这个功能。该功能支持对普通用户隐藏部分数据，例如，应用可能会要求显示社会安全号(编者注：美国的社会安全号，即SSN，类似中国的身份证号码)，除了后四位数字以外都要隐藏掉。也就是说，不会显示“123-45-6789”，而是“XXX-XX-6789”。如果是特权用户查看信息，则不会显示掩码。这个功能不同于加密。数据在存储设备上是没有屏蔽的，只是根据请求者是普通用户还是特权用户而对输出进行隐藏或者混淆。该功能提供的不是完整的安全解决方案，但是它可以作为安全策略的一部分进行部署。

动态数据屏蔽在一些场合很有用。最明显的场景是在规则遵从方面。不管法规是政府的，还是行业机构制定的，往往都会要求保护敏感数据不外显，这也是一种常见的最佳实践。还有一种场景，该功能可以用于内部开发人员。开发人员为了开发和测试目的索要正式数据进行测试的情况是很普遍的。在这种情况下提供数据时，通常提供方应该处理敏感数据，不管是表面混淆还是真实删除都可以。处理数据可能会影响测试的有效性，因为查询结果不是完全一致的。但是如果在这种情况下应用了动态数据屏蔽功能，数据就可以被保护起来，同时又保证提供了更真实的测试环境。大多数情况，屏蔽功能会用在这种场合，不过传统静态屏蔽会把数据以真正屏蔽的格式存储，而不是只在输出显示时屏蔽，因此这种方法会带来其它问题，比如破坏数据完整性。

本文我们将通过例子了解SQL Server 2016 CTP2和Azure SQL数据库V12版本中如何设置动态数据屏蔽。动态数据测试吸引人的地方在于，它可以对表添加定义约束而无需重写应用程序代码。

配置动态数据屏蔽

本文示例基于公开发布的SQL Server 2016 CTP 2.2版本运行，配置动态数据屏蔽的第一步是要创建数据库和测试表，如图1。

创建测试表

图1：测试数据屏蔽所用的示例数据库

插入几行测试数据

图2：插入测试数据的SQL脚本

验证测试数据有效存在

图3：检验测试数据确实已有效保存

这里尚未定义屏蔽规则，所以所有数据都是可见的。

创建测试用户并配置访问该表的测试权限

图4：数据未经屏蔽的员工信息表

因为尚未定义屏蔽功能，所以“TestUser”用户可以看到所有数据。

在SQL Server 2016中，屏蔽配置是表定义的一部分

图5：屏蔽“HomePhone”字段信息之后的员工信息表

修改员工信息表(“Employee”)定义后给“HomePhone”字段增加了自定义的屏蔽(如图5)。本例中我们使用的是“partial”函数。“partial(0,"XXX-XXX-",4) ”语句的意思是从字段最左边第0位开始用指定字符串替换(前面显示字符数为0)，后面只显示该字段最后四个字符。以上格式中提到的那些“X”以及连字符没有实际意义。屏蔽字符串与字段中已有数据结构是类似的。我们来看看给“WorkPhone”字段用稍有差异的字符串屏蔽以后是什么效果。(编者注：在计算机领域，第一位置的编号通常用0表示，这里所说的第0位指的就是从第一个字符开始。)