Udostępnij za pośrednictwem

Odnajdywanie i klasyfikacja danych SQL

Applies to:SQL Server

Odnajdywanie i klasyfikacja danych dodaje możliwości odnajdywania, klasyfikowania, etykietowania i raportowania poufnych danych w bazach danych. Można to zrobić za pomocą języka T-SQL lub SQL Server Management Studio (SSMS). Odnajdywanie i klasyfikowanie najbardziej poufnych danych organizacyjnych (biznesowych, finansowych, zdrowotnych itp.) może mieć kluczowe znaczenie dla poziomu ochrony informacji w organizacji. Może ona służyć jako infrastruktura dla:

  • Pomoc w spełnianiu standardów prywatności danych.
  • Monitorowanie dostępu do baz danych/kolumn zawierających wysoce poufne dane.

Uwaga

Odnajdywanie i klasyfikacja danych jest obsługiwana dla SQL Server 2012 i nowszych oraz może być używana z SSMS 17.5 lub nowszym. Aby uzyskać więcej informacji na temat Azure SQL Database, zobacz Azure SQL Database Data Discovery & Klasyfikacja.

Przegląd

Odnajdywanie i klasyfikacja danych stanowi nowy paradygmat ochrony informacji dla SQL Database, SQL Managed Instance oraz Azure Synapse, którego celem jest ochrona danych, a nie tylko bazy danych. Obecnie obsługuje następujące możliwości:

  • Odnajdywanie i zalecenia — aparat klasyfikacji skanuje bazę danych i identyfikuje kolumny zawierające potencjalnie poufne dane. Następnie zapewnia łatwy sposób przeglądania i stosowania odpowiednich zaleceń dotyczących klasyfikacji, a także ręcznego klasyfikowania kolumn.
  • Etykietowanie — etykiety klasyfikacji poufności mogą być trwale oznaczone na kolumnach.
  • Widoczność — stan klasyfikacji bazy danych można wyświetlić w szczegółowym raporcie, który można wydrukować lub wyeksportować do użycia na potrzeby zgodności i inspekcji.

Odnajdywanie, klasyfikowanie i etykietowanie poufnych kolumn

W poniższej sekcji opisano kroki odnajdywania, klasyfikowania i etykietowania kolumn zawierających poufne dane w bazie danych, a także wyświetlanie bieżącego stanu klasyfikacji bazy danych i eksportowanie raportów.

Klasyfikacja zawiera dwa atrybuty metadanych:

  • Etykiety — główne atrybuty klasyfikacji używane do definiowania poziomu poufności danych przechowywanych w kolumnie.
  • Typy informacji — zapewniają większą stopień szczegółowości w typie danych przechowywanych w kolumnie.

Do klasyfikowania bazy danych SQL Server:

  1. W programie SQL Server Management Studio (SSMS) połącz się z SQL Server.

  2. W programie SSMS Object Explorer wybierz bazę danych, którą chcesz sklasyfikować, a następnie wybierz Tasks>Data Discovery and Classification>Classify Data... .

    Screenshot przedstawiający Object Explorer SSMS z zadaniami > Odnajdywanie i klasyfikacja danych > Klasyfikuj dane... wybrano.

  3. Aparat klasyfikacji skanuje bazę danych pod kątem kolumn (tylko na podstawie nazw kolumn) zawierających potencjalnie poufne dane i udostępnia listę zalecanych klasyfikacji kolumn:

    • Aby wyświetlić listę zalecanych klasyfikacji kolumn, wybierz okno powiadomień o zaleceniach znajdujące się na górze okna lub panel rekomendacji umieszczony na dole okna.

      Zrzut ekranu przedstawiający powiadomienie z informacją Znaleźliśmy 39 kolumn z zaleceniami dotyczącymi klasyfikacji. Kliknij tutaj, aby je wyświetlić.

      Zrzut ekranu przedstawiający powiadomienie z informacją o 39 kolumnach z zaleceniami dotyczącymi klasyfikacji (kliknij, aby wyświetlić).

    • Przejrzyj listę zaleceń:

      • Aby zaakceptować zalecenie dla określonej kolumny, zaznacz pole wyboru w lewej kolumnie odpowiedniego wiersza. Wszystkie zalecenia można również oznaczyć jako zaakceptowane, zaznaczając pole wyboru w nagłówku tabeli zaleceń.

      • Możesz również zmienić zalecany typ informacji i etykietę poufności przy użyciu pól rozwijanych.

      Zrzut ekranu przedstawiający listę zaleceń.

    • Aby zastosować wybrane zalecenia, wybierz przycisk Zapisz wybrane zalecenia .

      Zrzut ekranu przedstawiający przycisk Akceptuj wybrane zalecenia.

Uwaga

Silnik rekomendacji, który automatycznie odkrywa dane i dostarcza zalecenia dotyczące kolumn poufnych, jest wyłączony, gdy jest używany tryb polityki Microsoft Purview Information Protection.

  1. Aby wyświetlić kolumny sklasyfikowane, wybierz odpowiedni schemat i odpowiednią tabelę z listy rozwijanej, a następnie wybierz pozycję Załaduj kolumny.

    zrzut ekranu przedstawiający klasyfikację danych programu SSMS ładujący kolumny sklasyfikowane.

  2. Możesz również ręcznie sklasyfikować kolumny jako alternatywę lub dodatkowo klasyfikację opartą na rekomendacjach:

    • Wybierz pozycję Dodaj klasyfikację w górnym menu okna.

      Zrzut ekranu przedstawiający górne menu z wywołaną opcją Dodaj klasyfikację.

    • W wyświetlonym oknie kontekstowym wprowadź nazwę kolumny, którą chcesz sklasyfikować, typ informacji i etykietę poufności. Schemat i tabela są wybierane na podstawie wpisów na stronie głównej.

      Zrzut ekranu przedstawiający okno kontekstowe Dodawanie klasyfikacji.

    • Jeśli chcesz dodać klasyfikację dla wszystkich niesklasyfikowanych kolumn dla określonej tabeli w jednej próbie, wybierz pozycję Wszystkie niesklasyfikowane na liście rozwijanej Kolumna na stronie Dodaj klasyfikację .

      zrzut ekranu przedstawiający klasyfikację danych programu SSMS, która wybiera wszystkie niesklasyfikowane kolumny

  3. Aby ukończyć klasyfikację i trwale oznaczyć kolumny bazy danych przy użyciu nowych metadanych klasyfikacji, wybierz przycisk Zapisz w górnym menu okna.

    Zrzut ekranu przedstawiający górne menu z wywołaną opcją Zapisz.

  4. Aby wygenerować raport z pełnym podsumowaniem stanu klasyfikacji bazy danych, wybierz pozycję Wyświetl raport w górnym menu okna. (Raport można również wygenerować przy użyciu programu SSMS. Wybierz bazę danych, w której chcesz wygenerować raport, a następnie wybierz pozycję Zadania>Odnajdywanie danych i Generowanie raportu klasyfikacji>...)

    Zrzut ekranu przedstawiający górne menu z wybraną opcją Wyświetl raport.

    Zrzut ekranu przedstawiający raport klasyfikacji danych SQL.

Klasyfikowanie bazy danych przy użyciu zasad Microsoft Purview Information Protection

Uwaga

Nazwa microsoft Information Protection (skrócona jako MIP) została zmieniona na Microsoft Purview Information Protection. Oba terminy MIP i Microsoft Purview Information Protection są często używane zamiennie w tym dokumencie, ale oba odnoszą się do tej samej koncepcji.

Microsoft Purview Information Protection etykiety zapewniają użytkownikom prosty i jednolity sposób klasyfikowania poufnych danych w SQL Server. Etykiety poufności MIP są tworzone i zarządzane w centrum zgodności Microsoft 365 [jako przemianowane portal zgodności Microsoft Purview]. Aby dowiedzieć się, jak tworzyć i publikować etykiety poufności MIP w portalu zgodności Microsoft Purview, zobacz artykuł etykiety poufności Microsoft Information Protection.

Teraz możesz użyć programu SSMS do klasyfikowania danych w źródle (SQL Server) przy użyciu etykiet Microsoft Purview Information Protection, które są używane w usługach Power BI, Office i innych produktach firmy Microsoft. Te etykiety wrażliwości są stosowane na poziomie kolumny w bazie danych, tak samo jak zasady ochrony informacji SQL.

Zestawy danych lub raporty Power BI, które łączą się z danymi oznaczonymi etykietami poufności w obsługiwanych źródłach danych, mogą automatycznie dziedziczyć te etykiety, co zapewnia, że dane pozostają sklasyfikowane, gdy są przenoszone do Power BI i eksportowane do innych aplikacji. Dostępność zasad programu MIP w programie SSMS umożliwia osiągnięcie kompleksowego rozwiązania do klasyfikacji w całym przedsiębiorstwie.

Kroki konfigurowania zasad Microsoft Purview Information Protection

  1. W programie SQL Server Management Studio (SSMS) połącz się z SQL Server.

  2. W Object Explorer SSMS wybierz bazę danych, którą chcesz sklasyfikować, i wybierz Tasks>Data Discovery and Classification>Set Microsoft Information Protection Policy

    Zrzut ekranu przedstawia politykę ochrony informacji Microsoft w programie SSMS

  3. Zostanie wyświetlone okno uwierzytelniania dla Microsoft 365, aby ustawić zasadę Ochrony Informacji firmy Microsoft. Wybierz pozycję Sign In i wprowadź lub wybierz prawidłowe poświadczenie użytkownika, aby uwierzytelnić się w dzierżawie Microsoft 365.

    Zrzut ekranu przedstawiający uwierzytelnianie w celu ustawienia zasad Microsoft Information Protection

  4. Jeśli uwierzytelnianie zakończy się pomyślnie, zostanie wyświetlone wyskakujące okienko z informacją o stanie Powodzenie.

    Zrzut ekranu przedstawiający pomyślne ustawienie zasad Microsoft Ochrona Informacji w programie SSMS

  5. Opcjonalnie — jeśli chcesz zalogować się do którejkolwiek z suwerennych chmur Microsoft w celu uwierzytelnienia się w Microsoft 365, przejdź do ustawień SSMS >Tools>Options>Azure Services>Azure Cloud i zmień Name na odpowiednią suwerenną chmurę Microsoft.

    Zrzut ekranu przedstawiający wybieranie typu chmury Azure w programie SSMS

  6. W oknie SSMS Object Explorer Kliknij prawym przyciskiem myszy bazę danych, którą chcesz sklasyfikować i wybierz Tasks>Data Discovery and Classification>Classify Data. Teraz możesz dodać nową klasyfikację przy użyciu etykiet wrażliwości MIP zdefiniowanych w dzierżawie Microsoft 365 i używać tych etykiet do klasyfikowania kolumn w SQL Server.

    Wybór etykiet poufności zasad ochrony informacji Microsoft w programie SSMS

    Automatyczne odnajdywanie i rekomendacje dotyczące danych są wyłączone w trybie zasad Ochrony Informacji firmy Microsoft. Obecnie jest dostępna tylko w trybie zasad ochrony informacji SQL.

Aby zresetować zasady Ochrony Informacji do wartości domyślnej lub ustawienia dla Ochrony Informacji w SQL, przejdź do Eksploratora Obiektów w SSMS, kliknij prawym przyciskiem myszy na bazę danych i wybierz pozycję Zadania>Odkrywanie i Klasyfikacja Danych>Zresetuj zasady Ochrony Informacji do domyślnych. Spowoduje to zastosowanie domyślnej lub zasady ochrony informacji SQL i umożliwi bezpośrednio sklasyfikować dane przy użyciu etykiet poufności SQL, zamiast etykiet MIP.

Zrzut ekranu przedstawiający resetowanie zasad ochrony informacji w programie SSMS

Aby włączyć zasady ochrony informacji z dostosowanego pliku JSON, przejdź do SSMS Object Explorer, kliknij prawym przyciskiem myszy bazę danych i wybierz pozycję Zadania>Data Discovery and Classification>Set Information Protection Policy File.

Uwaga

Ikona ostrzeżenia wskazuje, że kolumna została wcześniej sklasyfikowana przy użyciu innej polityki ochrony informacji niż aktualnie wybrany tryb polityki. Jeśli na przykład jesteś obecnie w trybie Information Protection firmy Microsoft, a jedna z kolumn została wcześniej sklasyfikowana przy użyciu zasad Information Protection SQL lub zasad Information Protection z pliku zasad niestandardowych, zobaczysz ikonę ostrzeżenia dla tej kolumny. Możesz zdecydować, czy chcesz zmienić klasyfikację kolumny na dowolną z etykiet poufności dostępnych w bieżącym trybie zasad, czy pozostawić ją tak, jak jest. Zrzut ekranu ostrzeżenia o klasyfikacji danych dotyczącego niezgodnych zasad

Zarządzanie zasadami Information Protection za pomocą programu SSMS

Można zarządzać polityką ochrony informacji za pomocą najnowszej wersji SQL Server Management Studio.

  1. W programie SQL Server Management Studio (SSMS) połącz się z SQL Server.

  2. W Object Explorer SSMS wybierz jedną z baz danych i wybierz Tasks>Data Discovery and Classification.

    Następujące opcje menu umożliwiają zarządzanie zasadami Information Protection:

  • Set Microsoft Information Protection Policy: ustawia zasady Ochrony Informacji na zasady Microsoft Purview Ochrony Informacji.

  • Ustaw Plik Zasad Ochrony Informacji: używa zasad ochrony informacji SQL zgodnie z definicją w wybranym pliku JSON. (Zobacz domyślny plik zasad Zabezpieczania Informacji)

  • Eksportuj politykę ochrony informacji: eksportuje politykę ochrony informacji do pliku JSON.

  • Reset Information Protection Policy: resetuje politykę ochrony informacji do domyślnej polityki ochrony informacji SQL.

Ważne

Plik zasad ochrony informacji nie jest przechowywany na serwerze SQL. Program SSMS używa domyślnej polityki ochrony informacji. Jeśli dostosowanie zasad Information Protection zakończy się niepowodzeniem, program SSMS nie może użyć zasad domyślnych. Klasyfikacja danych kończy się niepowodzeniem. Aby rozwiązać problem, kliknij Resetuj polityki ochrony informacji, aby użyć domyślnej polityki i ponownie włączyć klasyfikację danych.

Uzyskiwanie dostępu do metadanych klasyfikacji

SQL Server 2019 wprowadza widok katalogu systemowego sys.sensitivity_classifications. Ten widok zwraca typy informacji i etykiety poufności.

W przypadku wystąpień SQL Server 2019 wykonaj zapytanie sys.sensitivity_classifications, aby przejrzeć wszystkie sklasyfikowane kolumny z odpowiednimi klasyfikacjami. Na przykład:

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
	label,
	rank,
	rank_desc
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
	JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

Przed SQL Server 2019 metadane klasyfikacyjne dla typów informacji i etykiet poufności są przechowywane w następujących właściwościach rozszerzonych:

  • sys_information_type_name
  • sys_sensitivity_label_name

W przypadku wystąpień SQL Server 2017 i wcześniejszych poniższy przykład zwraca wszystkie sklasyfikowane kolumny z odpowiednimi klasyfikacjami:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Uprawnienia

W przypadku wystąpień SQL Server 2019 wyświetlanie klasyfikacji wymaga uprawnień VIEW ANY SENSITIVITY CLASSIFICATION. Aby uzyskać więcej informacji, zobacz Konfiguracja widoczności metadanych.

Przed SQL Server 2019 r. można uzyskać dostęp do metadanych przy użyciu widoku wykazu właściwości rozszerzonych sys.extended_properties.

Zarządzanie klasyfikacją wymaga uprawnienia ALTER ANY SENSITIVITY CLASSIFICATION. Uprawnienie ALTER ANY SENSITIVITY CLASSIFICATION jest implikowane przez uprawnienie bazy danych ALTER lub przez uprawnienie serwera CONTROL SERVER.

Zarządzaj klasyfikacjami

Języka T-SQL można użyć do dodawania lub usuwania klasyfikacji kolumn, a także pobierania wszystkich klasyfikacji dla całej bazy danych.

Następne kroki

Aby uzyskać więcej informacji na temat Azure SQL Database, zobacz Azure SQL Database Data Discovery & Klasyfikacja.

Rozważ ochronę poufnych kolumn, stosując mechanizmy zabezpieczeń na poziomie kolumn:

  • Last updated on