如何在SQL Server 2019中添加数据敏感度分类的命令

作者 | Jordan Sanders

翻译 | 火火酱。责编 | 晋兆雨

头图 | CSDN付费下载于视觉中国

为了确保数据库安全性和完整性，数据库管理员日常需要运行多种操作。因此，无论在何种情况下，我们都不能忽视数据库中敏感数据的重要性。在本文中，我们将演示SQL Server 2019中更新的添加敏感度分类（ADD SENSITIVITY CLASSIFICATION ）命令，该命令能够帮助我们在数据库列中添加敏感度分类元数据。

数据保护为何如此重要？

很多应用程序中都存储着有关用户的敏感信息，如信用卡号、密码、医保信息、身份证、SSN等，或存储着有关应用程序自身的信息，如凭据数据、商业机密、证书等。

此类信息的泄露或许会导致可怕的后果，企业也可能要向客户和金融机构支付数百万美元的赔偿。

根据个人数据法规（如GDPR或医疗保健数据（HIPAA））的要求，公司需要具备保护数据安全的能力。

该命令能提供什么功能？

数据库中最敏感的数据主要是指商业、金融、医疗保健或个人信息。要想实现高级别数据保护，最关键的是要发现敏感数据，并对其进行分类。这便是此新命令的用武之地了。

最重要的是，该命令可以协助我们满足数据隐私标准和法规要求。此外，在它的帮助下，我们可以通过多种方案来监视（审计）并警报对敏感数据的异常访问。最后，还能够加强含有高度敏感数据的数据库的安全性，并对数据访问进行管理。

综上所述，合规性实践的关键是要能分辨出需要进行安全保护的数据、对这些数据进行分类、确保只有小部分需要对数据进行查看或修改的人才能对其进行访问、对访问进行持续监控并了解所有访问模式。

ADD SENSITIVITY CLASSIFICATION 命令的工作原理

需要提醒初学者的是，SSMS v17.5也有类似的数据发现和分类功能。与ADD SENSITIVITY CLASSIFICATION命令一样，SSMS向导也能对数据进行分类并使用敏感度标签对其进行标记。如果想了解这两者的详细信息和区别，可以参阅下方有关SSMS中的SQL数据发现和分类的文章。

文章链接：

http://blog.devart.com/manage-your-sensitive-data-with-sql-data-discovery-and-classification-in-ssms.html?ref=hackernoon.com

现在，让我们更加深入地了解一下ADD SENSITIVITY CLASSIFICATION命令吧。接下来，我们介绍与发现、分类和标记数据库中包含敏感数据的列相关的最重要的问题，并查看数据库当前分类状态。

在对敏感数据进行分类时会用到以下元数据属性：

标签（Label）是主要的分类属性。其任务是对存储列中存储数据的敏感度级别进行定义。我们可以将数据标示为“公开”、“一般”、“机密”、或“高度机密”等等。

信息类型（Information Type）为数据库列中存储的数据类型提供了附加说明。它将标示出敏感数据所涉及的领域，如银行、联系信息、证书、金融、或其他领域。

等级（Rank）定义了敏感度等级（范围从“none”到“critical”），如下所示：

SQL Syntax

可以使用以下方法将敏感度分类添加到数据库对象中：

ADD SENSITIVITY CLASSIFICATION TO <object_name> [, ...n ] WITH ( <sensitivity_option> [, ...n ] ) <object_name> ::= { [schema_name.]table_name.column_name } <sensitivity_option> ::= { LABEL = string | LABEL_ID = guidOrString | INFORMATION_TYPE = string | INFORMATION_TYPE_ID = guidOrString | RANK = NONE | LOW | MEDIUM | HIGH | CRITICAL }

此外，SQL Server 2019还带来了sys.sensitivity_classifications系统目录视图，能够返回信息类型和敏感度标签。我们可以借助它来管理数据库分类，并生成报告。但目前仅支持对列进行分类。

查看具有相应分类的所有分类列：

SELECT SCHEMA_NAME(sys.all_objects.schema_id) as SchemaName, sys.all_objects.name AS [TableName], sys.all_columns.name As [ColumnName], [Label], [Information_Type] FROM sys.sensitivity_classifications left join sys.all_objects on sys.sensitivity_classifications.major_id = sys.all_objects.object_id left join sys.all_columns on sys.sensitivity_classifications.major_id = sys.all_columns.object_id and sys.sensitivity_classifications.minor_id = sys.all_columns.column_id

Database Audit 数据库审计

数据库审计包括分析和跟踪与数据库安全、访问和使用、数据创建、更改或删除相关的数据库用户活动。因为数据库管理员和顾问必须确保只将数据访问权限授予给有需要的人员，所以审计是维护数据库安全的重要部分。

不可否认，数据对于任何机构来说都是极为重要的。或许很多用户都已经拥有了数据操作权限，但更重要的是，要禁止未经授权的用户对机密和受限制数据进行编辑。

使用“ADD SENSITIVITY CLASSIFICATION”命令，我们可以快速、轻松地检测出最易受攻击的数据并对其进行分类。然后，将分类状态添加到审计日志中，这将有助于监视对敏感数据的访问，以实现合规性和审计目的。

SQL Complete支持ADD SENSITIVITY CLASSIFICATION 命令

您可以通过查看下方SQL Complete v6.6链接来了解SQL Server 2019的最新变化，并找到合适的工具。工具提供了用于SQL数据库开发、控制和管理的自动完成功能。此外，SQL Complete 6.6还支持ADD SENSITIVITY CLASSIFICATION 命令。

SQL Complete v6.6：

https://blog.devart.com/embrace-data-protection-and-regulatory-requirements-with-sql-complete-suggestions.html?ref=hackernoon.com

在SQL Complete 6.6中，我们可以通过显示数据库列中数据脆弱性的敏感标签对数据库列进行分类。借助该工具提出的建议，我们可以根据数据敏感性级别快速且方便地对列进行标记。

除了敏感度标签外，列还有另一个属性——信息类型，这为数据库列中存储的数据类型提供了额外的颗粒度。同样，SQL Complete 6.6在这一方面快速且全面的建议也极大地促进了数据分类。

在建议窗口中，SQL Complete 6.6会根据GDPR将包含个人机密信息的列按照信息敏感程度用黑色或红色圆圈进行标记。

总结

下面，让我们来总结一下新版本提供的主要功能和优势。Add sensitivity classification是SQL Server 2019中引入的一个强大功能，旨在提高数据库安全性和数据保护规则的合规性。在它的帮助下，我们可以轻松定位包含潜在敏感数据的列、创建报告并添加分类元数据。同时，还可以借助该命令来帮助数据库进行审计，并控制对敏感数据的访问。