Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к:
SQL Server
Обнаружение и классификация данных добавляет возможности для обнаружения, классификации, маркировки и создания отчетов о конфиденциальных данных в базах данных. Это можно сделать с помощью T-SQL или с помощью SQL Server Management Studio (SSMS). Обнаружение и классификация наиболее конфиденциальных данных (бизнес, финансы, здравоохранение и т. д.) может играть ключевую роль в защите информации вашей организации. Она может использоваться в качестве инфраструктуры для следующего:
- помощь в соблюдении стандартов конфиденциальности данных.
- Мониторинг доступа к базам данных или столбцам, содержащим весьма конфиденциальные данные.
Примечание.
Обнаружение данных и классификация поддерживаются для SQL Server 2012 и более поздних версий и могут использоваться с SSMS 17.5 или более поздними версиями. Сведения о Azure SQL Database см. в разделе Обнаружение и классификация данных в Azure SQL Database.
Обзор
Обнаружение данных и & Классификация формирует новую парадигму защиты информации для базы данных SQL, SQL Managed Instance и Azure Synapse, направленную на защиту данных и не только базы данных. В настоящее время она поддерживает следующие возможности:
- Обнаружение и рекомендации. Подсистема классификации проверяет базу данных и определяет столбцы, содержащие потенциально конфиденциальные данные. Затем вы можете легко просмотреть и применить рекомендации по классификации, а также классифицировать столбцы вручную.
- Маркировка - на столбцы можно постоянно назначать метки классификации чувствительности.
- Видимость. Состояние классификации базы данных можно просматривать в подробном отчете, который можно напечатать или экспортировать для использования в целях соблюдения требований или аудита.
Обнаружение, классификация конфиденциальных столбцов и назначение им меток
В следующем разделе описываются действия по обнаружению в базе данных столбцов, содержащих конфиденциальные данные, их классификации и назначению им меток, а также просмотру текущего состояния классификации базы данных и экспорту отчетов.
Классификация включает в себя два типа атрибутов метаданных:
- метки — основные атрибуты классификации, которые служат для определения уровня конфиденциальности данных, хранящихся в столбце;
- типы сведений — предоставляют дополнительную информацию о типе данных, хранящихся в столбце.
Для классификации базы данных SQL Server:
В SQL Server Management Studio (SSMS) подключитесь к SQL Server.
В SSMS Object Explorer выберите базу данных, которую вы хотите классифицировать и выбрать Таскс>Data Discovery and Classification>Classify Data... .
Подсистема классификации сканирует базу данных для столбцов (только на основе имен столбцов), содержащих потенциально конфиденциальные данные и предоставляет список рекомендуемых классификаций столбцов:
Чтобы просмотреть список рекомендуемых классификаций столбцов, выберите поле уведомлений о рекомендациях в верхней части окна или панель рекомендаций в нижней части окна:
Просмотрите список рекомендаций.
Чтобы применить рекомендацию для определенного столбца, установите флажок в левом поле соответствующей строки. Вы также можете принять все рекомендации, установив флажок в заголовке таблицы рекомендаций.
Кроме того, вы можете изменить рекомендованный тип сведений и метку конфиденциальности с помощью полей с раскрывающимися списками.
Чтобы применить выбранные рекомендации, нажмите кнопку Сохранить выбранные рекомендации.
Примечание.
Подсистема рекомендаций, которая выполняет автоматическое обнаружение данных и предоставляет рекомендации по конфиденциальным столбцам, отключается при использовании режима политики Microsoft Purview Information Protection.
Чтобы отобразить классифицированные столбцы, выберите соответствующую схему и соответствующую таблицу из раскрывающегося списка, а затем выберите Load Columns (Загрузить столбцы).
Вы также можете классифицировать столбцы вручную вместо использования рекомендованных классификаций или в дополнение к ним.
Выберите " Добавить классификацию " в верхнем меню окна.
В открывшемся контекстном окне введите имя столбца, который вы хотите классифицировать, тип сведений и метку конфиденциальности. Схема и таблица выбираются на основе записей на главной странице.
Если необходимо добавить классификацию для всех неклассифицированных столбцов конкретной таблицы в одной попытке, выберите Все неклассифицированные сведения в раскрывающемся списке Столбец на странице Добавление классификации.
Чтобы завершить классификацию и назначить столбцам базы данных новые метаданные (метки) классификации, нажмите кнопку Сохранить в меню в верхней части окна.
Чтобы создать отчет с полной сводкой состояния классификации базы данных, в меню в верхней части окна выберите Просмотреть отчет. (Вы также можете создать отчет с помощью SSMS. Выберите базу данных, в которой вы хотите создать отчет, и выберите >создания отчета...)
Классификация базы данных с помощью политики Microsoft Purview Information Protection
Примечание.
Microsoft Information Protection (сокращенная как MIP) была переименована в Microsoft Purview Information Protection. Оба термина MIP и Microsoft Purview Information Protection часто используются взаимозаменяемо в этом документе, но оба относятся к одной концепции.
Microsoft Purview Information Protection метки позволяют пользователям классифицировать конфиденциальные данные в SQL Server. Метки конфиденциальности MIP создаются и управляются в центре соответствия Microsoft 365 [переименован в портал соответствия Microsoft Purview]. Сведения о создании и публикации меток чувствительности MIP в портале Microsoft Purview Compliance см. в статье метки чувствительности Microsoft Information Protection.
Теперь можно использовать SSMS для классификации данных в источнике (SQL Server) с помощью меток Microsoft Purview Information Protection, которые используются в Power BI, Office и других продуктах Майкрософт. Эти метки конфиденциальности применяются на уровне столбцов в базе данных, так же, как политика SQL Information Protection.
Наборы данных или отчеты Power BI, которые подключаются к данным с меткой конфиденциальности в поддерживаемых источниках данных, могут автоматически наследовать эти метки, чтобы данные оставались классифицированными при переносе в Power BI и при экспорте в нижестоящие приложения. Доступность политики MIP в SSMS позволяет получить комплексное решение классификации на уровне предприятия.
Действия по настройке политики Microsoft Purview Information Protection
В SQL Server Management Studio (SSMS) подключитесь к SQL Server.
В Object Explorer SSMS выберите базу данных, которую вы хотите классифицировать, а затем выберите Tasks>Data Discovery and Classification>Set Microsoft Information Protection Policy
Откроется окно аутентификации Microsoft 365 для установки политики Microsoft Information Protection. Выберите Sign In и введите или выберите допустимые учетные данные пользователя для проверки подлинности в клиенте Microsoft 365.
Если проверка подлинности прошла успешно, вы увидите всплывающее окно с состоянием Успешно.
Необязательно. Если вы хотите войти в одну из суверенных облачных систем Майкрософт для аутентификации в Microsoft 365, перейдите в SSMS >Tools>Options>Azure Services>Azure Cloud и измените Name на соответствующую суверенную облачную систему Майкрософт.
В окне SSMS Object Explorer Щелкните правой кнопкой мыши базу данных, которую вы хотите классифицировать и выберите Tasks>Data Discovery and Classification>Classify Data. Теперь можно добавить новую классификацию с помощью меток конфиденциальности MIP, определенных в клиенте Microsoft 365, и использовать эти метки для классификации столбцов в SQL Server.
Автоматическое обнаружение данных и рекомендация отключены в режиме политики microsoft Information Protection. В настоящее время доступен только в режиме политики SQL Information Protection.
Чтобы сбросить политику защиты информации по умолчанию или SQL Information Protection, перейдите к Object Explorer SSMS, щелкните базу данных правой кнопкой мыши и выберите Tasks>Data Discovery and Classification>Сброс политики защиты информации по умолчанию. Это приведет к применению политики по умолчанию или SQL Information Protection, и вы можете классифицировать данные с помощью меток конфиденциальности SQL вместо меток MIP.
Чтобы включить политику защиты информации из пользовательского JSON-файла, перейдите к Object Explorer SSMS, щелкните базу данных правой кнопкой мыши и выберите Задачи>Обнаружение и классификация данных>Установить файл политики защиты информации.
Примечание.
Значок предупреждения указывает, что столбец был ранее классифицирован с помощью другой политики Information Protection, отличной от выбранного в данный момент режима политики. Например, если в настоящее время вы находитесь в режиме Microsoft Information Protection, и один из столбцов был ранее классифицирован с помощью политики SQL Information Protection или политики защиты информации из пользовательского файла политики, вы увидите значок предупреждения около этого столбца. Можно выбрать, следует ли изменить классификацию столбца на любую из меток конфиденциальности, доступных в текущем режиме политики, или оставить ее как есть.
Управление политикой Information Protection с помощью SSMS
Вы можете управлять политикой Information Protection с помощью последней версии SQL Server Management Studio:
В SQL Server Management Studio (SSMS) подключитесь к SQL Server.
В Object Explorer SSMS выберите одну из баз данных и выберите Tasks>Data Discovery and Classification.
Следующие параметры меню позволяют управлять политикой Information Protection:
Set Microsoft Information Protection Policy: устанавливает политику защиты информации на политику защиты информации Microsoft Purview.
Set Information Protection Policy File: использует политику защиты информации в SQL, как определено в выбранном JSON-файле. (См. файл политики по умолчанию Information Protection Policy File)
Export Information Protection Policy: экспортирует политику Information Protection в JSON-файл.
Сброс политики защиты информации: сбрасывает политику защиты информации на SQL политику защиты информации по умолчанию.
Внимание
Файл политики защиты информации не хранится на сервере SQL. SSMS использует политику Information Protection по умолчанию. Если политика защиты информации, настроенная под пользователя, терпит неудачу, SSMS не может использовать политику по умолчанию. Происходит сбой классификации данных. Чтобы устранить проблему, щелкните Reset Information Protection Policy, чтобы использовать политику по умолчанию и повторно включить классификацию данных.
Доступ к метаданным классификации
SQL Server 2019 представляет представление системного каталога sys.sensitivity_classifications. Это представление возвращает типы информации и метки конфиденциальности.
На экземплярах SQL Server 2019 выполните запрос sys.sensitivity_classifications, чтобы проверить все столбцы с их соответствующими классификациями. Например:
SELECT
schema_name(O.schema_id) AS schema_name,
O.NAME AS table_name,
C.NAME AS column_name,
information_type,
label,
rank,
rank_desc
FROM sys.sensitivity_classifications sc
JOIN sys.objects O
ON sc.major_id = O.object_id
JOIN sys.columns C
ON sc.major_id = C.object_id AND sc.minor_id = C.column_id
До SQL Server 2019 г. метаданные классификации для типов информации и меток конфиденциальности приведены в следующих расширенных свойствах:
sys_information_type_namesys_sensitivity_label_name
Для экземпляров SQL Server 2017 и более ранних версий, следующий пример возвращает все классифицированные столбцы с их соответствующими классификациями.
SELECT
schema_name(O.schema_id) AS schema_name,
O.NAME AS table_name,
C.NAME AS column_name,
information_type,
sensitivity_label
FROM
(
SELECT
IT.major_id,
IT.minor_id,
IT.information_type,
L.sensitivity_label
FROM
(
SELECT
major_id,
minor_id,
value AS information_type
FROM sys.extended_properties
WHERE NAME = 'sys_information_type_name'
) IT
FULL OUTER JOIN
(
SELECT
major_id,
minor_id,
value AS sensitivity_label
FROM sys.extended_properties
WHERE NAME = 'sys_sensitivity_label_name'
) L
ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
) EP
JOIN sys.objects O
ON EP.major_id = O.object_id
JOIN sys.columns C
ON EP.major_id = C.object_id AND EP.minor_id = C.column_id
Разрешения
В инстанциях SQL Server 2019 для просмотра классификации требуется разрешение VIEW ANY SENSITIVITY CLASSIFICATION. Дополнительные сведения см. в разделе Metadata Visibility Configuration.
До SQL Server 2019 г. метаданные можно получить с помощью представления каталога расширенных свойств sys.extended_properties.
Для управления классификацией требуется разрешение ALTER ANY SENSITIVITY CLASSIFICATION. ALTER ANY SENSITIVITY CLASSIFICATION подразумевается разрешением ALTER для базы данных или разрешением CONTROL SERVER для сервера.
Управление классификациями
Используйте T-SQL, чтобы добавить или удалить классификацию столбца и извлечь все классификации всей базы данных.
- Добавление и обновление классификации одного или нескольких столбцов: ADD SENSITIVITY CLASSIFICATION
- Удалите классификацию чувствительности из одного или нескольких столбцов: DROP SENSITIVITY CLASSIFICATION
Следующие шаги
Сведения о Azure SQL Database см. в разделе Обнаружение и классификация данных в Azure SQL Database.
Рекомендуем защитить конфиденциальные столбцы путем применения механизмов защиты на уровне столбцов:
- динамическое маскирование данных для затемнения конфиденциальных столбцов в процессе использования;
- Always Encrypted для шифрования неактивных столбцов.