„Nová úloha ochrany více tabulek…“ průvodce v IRI Workbench popsaný v tomto článku je jedním ze způsobů, jak mohou uživatelé produktu IRI FieldShield (nebo platformy IRI Voracity) automaticky maskovat osobně identifikovatelné informace (PII) ve sloupcích databáze, které jsou součástí vztahu cizího klíče, a zachovat tak referenční integritu mezi stoly. Tím je zajištěno, že záznamy zůstanou propojené i poté, co budou deidentifikace.
Všimněte si, že od roku 2018 je v našem článku o klasifikaci, zjišťování a maskování více databázových tabulek zde publikována novější a robustnější metoda k dosažení stejného výsledku, a je demonstrován na videích Youtube 1, 2, 3, 5 a 7 zde.
V tomto původním a stále oblíbeném průvodci však uživatelé zachovávají referenční integritu definováním pravidel maskování na úrovni polí, která jsou automaticky a konzistentně aplikována na podobně pojmenované sloupce. Na základě těchto pravidel lze použít kteroukoli z přibližně 14 kategorií funkcí maskování dat dostupných uživatelům FieldShield – včetně šifrování, pseudonymizace a redakce.
Tento průvodce je nejvhodnější pro uživatele, kteří maskují a mapují více tabulek ve schématu, které ne všechny obsahují PII. IRI by například doporučila tohoto průvodce, pokud máte 50 tabulek a potřebujete je všechny přesunout do nižšího prostředí, ale máte pouze 20 tabulek obsahujících PII, které chcete konzistentně maskovat (ostatních 30 nemá žádné PII).
Tento příklad používá pouze tři tabulky Oracle – Oddělení, Zaměstnanci a Historie_práce – k ukázce, jak tento průvodce funguje. Když byly tabulky původně navrženy, bylo pro jejich ID použito číslo sociálního zabezpečení zaměstnance. To vytváří bezpečnostní riziko při spouštění jakýchkoli sestav zobrazujících pole ID.
Výše uvedený E-R diagram pro tyto tabulky a dotaz SQL a jeho výsledky níže jsou zobrazeny v různých grafických rozhraních IRI Workbench pro zobrazení FieldShield. Viz tento článek o vytvoření ERD v IRI Workbench. Dotaz spojil informace o zaměstnancích, manažerech a odděleních, ale odkryl hodnoty čísla sociálního zabezpečení (SSN) ve sloupcích SID zaměstnance a SID manažera. Viz tento článek o kódování a spouštění úloh SQL v IRI Workbench.
Použití Úlohy ochrany více tabulek FieldShield průvodce, mohou být tato pole zašifrována (nebo jinak odidentifikována), aby byla v tabulkách a následných dotazech maskována skutečná čísla SSN. Referenční integrita je zachována, protože na všechny tabulky je aplikováno stejné šifrování pomocí jednoho pravidla.
Na stránce nastavení průvodce je jako zavaděč vybráno ODBC. Na stránce Extrakce dat jsou vybrány tři výše uvedené tabulky. Další stránka je stránka Pravidla pro úpravu polí. Na této stránce lze navrhnout pravidla, která se použijí na všechny vybrané extrahované tabulky.
Klikněte na Vytvořit otevře stránku Field Rule Matcher. Zde se zadávají podrobnosti o dohazovači. Začněte zadáním názvu dohazovače.
Po kliknutí na Vytvořit vedle položky Název pravidla , zobrazí se stránka Průvodce výběrem nového pravidla pole ochrany. Vyberte Funkce šifrování nebo dešifrování . Tento výběr zajišťuje, že stejný algoritmus ochrany platí pro všechna data a zajišťuje referenční integritu.
Na další stránce se vybírá typ šifrování. V tomto případě enc_fp_aes256_ascii se používá. Tento šifrovací algoritmus pro zachování formátu používá znakovou sadu ASCII k nahrazení skutečných dat. V této ukázce se používá, aby bylo šifrování na výstupu patrné. Realističtější volbou by normálně bylo alphanum verze, která by také zachovala skutečný vzhled SSN (v tomto případě 9 čísel).
Ačkoli tento příklad používá vnořenou přístupovou frázi, pro šifrovací klíč lze také použít soubor s hesly, stejně jako proměnnou prostředí.
Klikněte na Dokončit zadá toto pravidlo do dohazovače. Dále je třeba vytvořit samotný matcher. Klikněte na Přidat v Matchers sekce. Otevře se stránka Podrobnosti nástroje Field Rule Matcher. Zde lze použít vzor nebo datovou třídu. Podrobnosti o druhé možnosti najdete v článku Použití pravidel pole pomocí klasifikace.
V tomto příkladu Vzor je vybráno a .*SID je zadáno v podrobnostech. Tento regulární výraz se bude shodovat se všemi názvy sloupců končících na SID.
Dohazovač skončí s podrobnostmi zobrazenými níže. The Test Tlačítko lze použít k otestování párovačů, abyste se ujistili, že odpovídají všem zamýšleným sloupcům. Lze zadat více podrobností o párovačích a logiku AND/OR lze využít k vytvoření jemnozrnných párovačů. Existuje například další sloupec s názvem VP_SSN . Stejný přiřazovač výše lze použít s jiným přiřazovačem se vzorem .*SSN a operátor AND pro shodu v tomto dalším sloupci, ale se stejným pravidlem.
Kliknutím na OK zde se vrátíte na stránku Pravidla, kde je zobrazeno každé porovnávání pravidel. Pro různá pole lze použít různé párovače, takže je potřeba pouze jeden přechod transformace, i kdyby pravidla měla maskovat různé sloupce různými způsoby.
Klikněte na Další zobrazí stránku Fáze načítání dat. Zde se vybírá výstupní tabulka a možnosti. V tomto příkladu jsou vybrány stejné tabulky jako vstupní tabulky. Navíc se režim výstupu změní na Vytvořit ke zkrácení tabulek před načtením, aby nebyly narušeny jedinečné klíče.
Po kliknutí na Dokončit , vytvoří se složka s několika skripty, které budou spuštěny s přiloženým dávkovým souborem.
Chcete-li zjistit, jak pravidlo promění pole, a dát nám možnost věci ručně upravit, SCOTT_EMPLOYEES.fcl skript lze zkontrolovat v editoru Workbench. Ve výstupu jsou oba údaje EMPLOYEE_SID a MANAGER_SID zobrazit použitý šifrovací algoritmus.
Po spuštění dávkového souboru zobrazí stejný dotaz SQL stejné spojené výsledky, ale s Employee_SID a Manager_SID nyní zašifrované. Kromě toho je zachována referenční integrita. Původní vztahy mezi zaměstnancem a vedoucím jsou zachovány a ID vedoucího na řádku 2 a zaměstnance na řádku 26 jsou stejná.
Tento příklad ukazuje, jak lze jedno pravidlo šifrování použít ve více sloupcích ve více tabulkách při zachování referenční integrity. Všechna pravidla vytvořená během průvodců úlohami se uloží do knihovny pravidel. To umožňuje jejich opětovné použití a dokonce i sdílení s kolegy tak, aby byly zajištěny stejné výsledky na stejných datech.
Máte-li jakékoli dotazy týkající se pravidel maskování dat FieldShield nebo potřebujete pomoc s některým z jeho průvodců zjišťováním dat nebo maskováním, kontaktujte svého zástupce IRI.