Обнаружение и классификация данных SQLSQL Data Discovery and Classification

ОБЛАСТЬ ПРИМЕНЕНИЯ: даSQL Server нетБаза данных SQL Azure нетAzure Synapse Analytics (хранилище данных SQL) нетParallel Data Warehouse APPLIES TO: yesSQL Server noAzure SQL Database noAzure Synapse Analytics (SQL DW) noParallel Data Warehouse

Обнаружение и классификация данных — это новое средство, встроенное в SQL Server Management Studio (SSMS), для обнаружения, классификации, пометки & и создания отчетов о конфиденциальных данных в базах данных.Data Discovery & Classification introduces a new tool built into SQL Server Management Studio (SSMS) for discovering, classifying, labeling & reporting the sensitive data in your databases. Обнаружение и классификация наиболее важных данных (деловых, финансовых, персональных и т. д.) может играть ключевую роль в защите информации в вашей организации.Discovering and classifying your most sensitive data (business, financial, healthcare, etc.) can play a pivotal role in your organizational information protection stature. На основе этих процессов может формироваться инфраструктура для решения следующих задач:It can serve as infrastructure for:

  • соблюдение стандартов конфиденциальности данных;Helping meet data privacy standards.
  • управление доступом к базам данных и столбцам, содержащим конфиденциальные данные, а также усиление их безопасности.Controlling access to and hardening the security of databases/columns containing highly sensitive data.

Примечание

Средство обнаружения и классификации данных поддерживается в SQL Server 2008 и более поздних версий и может использоваться с SSMS 17.5 и более поздних версий.Data Discovery & Classification is supported for SQL Server 2008 and later, and can be used with SSMS 17.5 or later. Сведения, касающиеся Базы данных SQL Azure, см. в статье Обнаружение и классификация данных в Базе данных SQL Azure.For Azure SQL Database, see Azure SQL Database Data Discovery & Classification.

ОбзорOverview

Средство обнаружения и классификации данных включает в себя набор эффективных служб, которые образуют новую парадигму SQL Information Protection, направленную на защиту данных, а не только базы данных.Data Discovery & Classification introduces a set of advanced services, forming a new SQL Information Protection paradigm aimed at protecting the data, not just the database:

  • Обнаружение и рекомендации. Подсистема классификации проверяет базу данных и определяет столбцы, содержащие потенциально конфиденциальные данные.Discovery & recommendations - The classification engine scans your database and identifies columns containing potentially sensitive data. Затем вы можете легко просмотреть и применить рекомендации по классификации, а также классифицировать столбцы вручную.It then provides you an easy way to review and apply the appropriate classification recommendations, as well as to manually classify columns.
  • Метки. Столбцам можно назначать постоянные метки классификации конфиденциальных данных.Labeling - Sensitivity classification labels can be persistently tagged on columns.
  • Видимость. Состояние классификации базы данных можно просматривать в подробном отчете, который можно напечатать или экспортировать для использования в целях соблюдения требований или аудита, а также в других целях.Visibility - The database classification state can be viewed in a detailed report that can be printed/exported to be used for compliance & auditing purposes, as well as other needs.

Обнаружение, классификация конфиденциальных столбцов и назначение им метокDiscovering, classifying & labeling sensitive columns

В следующем разделе описываются действия по обнаружению в базе данных столбцов, содержащих конфиденциальные данные, их классификации и назначению им меток, а также просмотру текущего состояния классификации базы данных и экспорту отчетов.The following section describes the steps for discovering, classifying, and labeling columns containing sensitive data in your database, as well as viewing the current classification state of your database and exporting reports.

Классификация включает в себя два типа атрибутов метаданных:The classification includes two metadata attributes:

  • метки — основные атрибуты классификации, которые служат для определения уровня конфиденциальности данных, хранящихся в столбце;Labels - The main classification attributes, used to define the sensitivity level of the data stored in the column.
  • типы сведений — предоставляют более подробные сведения о типе данных, хранящихся в столбце.Information Types - Provide additional granularity into the type of data stored in the column.

Классификация базы данных SQL ServerTo classify your SQL Server database:

  1. В SQL Server Management Studio (SSMS) подключитесь к серверу SQL Server.In SQL Server Management Studio (SSMS) connect to the SQL Server.

  2. В обозревателе объектов SSMS щелкните правой кнопкой мыши базу данных, которую необходимо классифицировать, и выберите пункты Задачи > Классифицировать данные... .In the SSMS Object Explorer, right click on the database that you would like to classify and choose Tasks > Classify Data....

    Область навигации

  3. Подсистема классификации ищет в базе данных столбцы с потенциально конфиденциальными данными и предоставляет список рекомендованных классификаций столбцов.The classification engine scans your database for columns containing potentially sensitive data and provides a list of recommended column classifications:

    • Чтобы просмотреть список рекомендованных классификаций столбцов, щелкните поле уведомления о рекомендациях в верхней части окна или панель рекомендаций в его нижней части.To view the list of recommended column classifications, click on the recommendations notification box at the top or the recommendations panel at the bottom of the window:

      Область навигации

      Область навигации

    • Просмотрите список рекомендаций.Review the list of recommendations:

      • Чтобы применить рекомендацию для определенного столбца, установите флажок в левом поле соответствующей строки.To accept a recommendation for a specific column, check the checkbox in the left column of the relevant row. Вы также можете принять все рекомендации, установив флажок в заголовке таблицы рекомендаций.You can also mark all recommendations as accepted by checking the checkbox in the recommendations table header.

      • Кроме того, вы можете изменить рекомендованные тип сведений и метку конфиденциальности с помощью полей с раскрывающимися списками.You can also change the recommended Information Type and Sensitivity Label using the drop down boxes.

      Область навигации

    • Чтобы применить выбранные рекомендации, нажмите синюю кнопку Принять выбранные рекомендации.To apply the selected recommendations, click on the blue Accept selected recommendations button.

      Область навигации

  4. Вы также можете классифицировать столбцы вручную вместо использования рекомендованных классификаций или в дополнение к ним.You can also manually classify columns as an alternative, or in addition, to the recommendation-based classification:

    • В меню в верхней части страницы щелкните Добавить классификацию.Click on Add classification in the top menu of the window.

      Область навигации

    • В открывшемся контекстном окне выберите схему, таблицу и столбец, которые нужно классифицировать, а затем выберите тип сведений и метку классификации.In the context window that opens, select the schema > table > column that you want to classify, and the information type and sensitivity label. После этого нажмите синюю кнопку Добавить классификацию в нижней части контекстного окна.Then click on the blue Add classification button at the bottom of the context window.

      Область навигации

  5. Чтобы завершить классификацию и назначить столбцам базы данных новые метаданные (метки) классификации, щелкните элемент Сохранить в меню в верхней части окна.To complete your classification and persistently label (tag) the database columns with the new classification metadata, click on Save in the top menu of the window.

    Область навигации

  6. Чтобы создать отчет с полной сводкой состояния классификации базы данных, в меню в верхней части окна щелкните Просмотреть отчет.To generate a report with a full summary of the database classification state, click on View Report in the top menu of the window.

    Область навигации

    Область навигации

Доступ к метаданным классификацииAccessing the classification metadata

Метаданные классификации для типов сведений и меток конфиденциальности хранятся в следующих расширенных свойствах:The classification metadata for Information Types and Sensitivity Labels is stored in the following Extended Properties:

  • sys_information_type_name;sys_information_type_name
  • sys_sensitivity_label_name.sys_sensitivity_label_name

Доступ к метаданным осуществляется с помощью представления каталога расширенных свойств sys.extended_properties.The metadata can be accessed using the Extended Properties catalog view sys.extended_properties.

Для SQL Server 2017 следующий пример кода возвращает все классифицированные столбцы с их соответствующими классификациями:For SQL Server 2017, the following code example returns all classified columns with their corresponding classifications:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

В SQL Server 2019:On SQL Server 2019:

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    label
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
    JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

Следующие шагиNext steps

Сведения, касающиеся Базы данных SQL Azure, см. в статье Обнаружение и классификация данных в Базе данных SQL Azure.For Azure SQL Database, see Azure SQL Database Data Discovery & Classification.

Рекомендуем защитить конфиденциальные столбцы путем применения механизмов защиты на уровне столбцов:Consider protecting your sensitive columns by applying column level security mechanisms: