处理敏感数据分类的结果

本主题介绍了如何查看敏感数据分类结果,以及如何通过跟踪分类标签来监控敏感数据。

使用 Trust Center 查看结果

要在 Trust Center 中查看敏感数据分类结果,请完成以下步骤:

  1. 以具有 |sf-web-interface-link|所需权限 :ref:`<label-classify_trust_center_access_control> 的用户身份登录 `

  2. 在导航菜单中,选择 Governance & security » Trust Center

  3. 选择 Data Security 选项卡。

  4. 执行下列操作之一:

    • 如果您希望从宏观层面了解敏感数据的安全状况,请选择 Dashboard 选项卡。有关更多信息,请参阅 仪表板页面

    • 如果您希望列出所有被分类为包含敏感数据的表和视图,请选择 Sensitive objects 选项卡。

      页面打开后,选择一个表,以查看哪些列包含敏感数据、这些列所属的 语义类别,以及是否已对这些列应用标签。

仪表板页面

Dashboard 页面通过提供已分类的数据库和表的数量等信息,帮助您从整体上了解敏感数据的安全状况。该页面包含以下磁贴。

磁贴

描述

Objects by compliance category

根据对象中包含的信息类型,识别可能受法规或其他合规标准约束的数据对象数量。

备注

合规性类别与语义类别之间的映射并不全面。只有 Snowflake 支持的原生语义类别才会映射到合规性类别。有关完整映射,请参阅 合规性类别映射

您需自行负责确定哪些法规或法律适用于您的数据,并确保遵守相关法规或法律。

Objects by semantic category

识别最常见的语义类别,以及包含这些类别数据的对象数量。

Databases monitored by auto-classification

识别当前由敏感数据分类监控的数据库。如果有人使用 SQL 在数据库中的某个架构上直接设置分类配置文件,而不是在数据库级别设置配置文件,则该数据库将被视为部分监控。

Classification status

识别当前受敏感数据监控的所有数据库是否均已完成分类。

Sensitive data masking status

识别敏感数据是否受 掩码策略 保护。掩码策略可以是基于标签的策略,也可以是手动应用到列上的策略。

如果包含敏感数据的每一列都关联了掩码策略,则该表为 完全掩码。如果仅有部分包含敏感数据的列关联了掩码策略,则该表为 部分掩码

合规性类别映射

备注

您需自行负责确定哪些法规或法律适用于您的数据,并确保遵守相关法规或法律。敏感数据分类中的合规性类别旨在为您提供开箱即用的工具支持,但并不全面。 仅 Snowflake 支持的 原生语义类别 会映射到合规性类别。

请使用下表来了解 Dashboard 页面 中的 Objects by compliance category 磁贴。

合规类别

原生语义类别

区域设置

数字个人数据保护法 (DPDPA)

DATE_OF_BIRTH

不适用

DRIVERS_LICENSE

印度 (IN)

EMAIL

不适用

NAME

不适用

NATIONAL_IDENTIFIER

印度 (IN)

PHONE_NUMBER

不适用

STREET_ADDRESS

不适用

TAX_IDENTIFIER

印度 (IN)

通用数据保护条例 (GDPR)

AGE

不适用

EMAIL

不适用

ETHNICITY

不适用

GENDER

不适用

IBAN

不适用

IMEI

不适用

IP_ADDRESS

不适用

NAME

不适用

PAYMENT_CARD

不适用

PHONE_NUMBER

不适用

SALARY

不适用

VIN

不适用

Gramm-Leach-Bliley Act (GLBA)

BANK_ACCOUNT

美国 (US)

DRIVERS_LICENSE

美国 (US)

NAME

美国 (US)

NATIONAL_IDENTIFIER

美国 (US)

PASSPORT

美国 (US)

PAYMENT_CARD

不适用

STREET_ADDRESS

美国 (US)

TAX_IDENTIFIER

美国 (US)

健康保险流通与责任法 (HIPAA)

ADMINISTRATIVE_AREA_1

美国 (US)

ADMINISTRATIVE_AREA_2

美国 (US)

AGE

不适用

CITY

美国 (US)

DATE_OF_BIRTH

不适用

EMAIL

不适用

ETHNICITY

不适用

IMEI

不适用

IP_ADDRESS

不适用

NAME

不适用

NATIONAL_IDENTIFIER

美国 (US)

PHONE_NUMBER

美国 (US)

POSTAL_CODE

美国 (US)

STREET_ADDRESS

美国 (US)

URL

不适用

VIN

不适用

支付卡行业 (PCI)

PAYMENT_CARD

不适用

个人身份信息 (PII)

DATE_OF_BIRTH

不适用

DRIVERS_LICENSE

不适用

EMAIL

不适用

NAME

不适用

NATIONAL_IDENTIFIER

不适用

PHONE_NUMBER

不适用

STREET_ADDRESS

不适用

TAX_IDENTIFIER

不适用

使用 SQL 查看结果

您可以通过以下方式使用 SQL 查看自动分类的结果:

  • 调用 SYSTEM$GET_CLASSIFICATION_RESULT 函数。例如:

    CALL SYSTEM$GET_CLASSIFICATION_RESULT('mydb.sch.t1');
    Copy

    在分类过程完成之前,您无法返回结果。在数据库上设置分类配置文件一小时后,自动分类过程才会启动。

  • 使用被授予 SNOWFLAKE.GOVERNANCE_VIEWER 数据库角色的角色查询 DATA_CLASSIFICATION_LATEST 视图。例如:

    SELECT * FROM SNOWFLAKE.ACCOUNT_USAGE.DATA_CLASSIFICATION_LATEST;
    Copy

    分类完成三小时后,结果可能才会出现。

使用标签跟踪敏感数据

当 Snowflake 对敏感数据进行分类时,会建议或自动将系统定义和用户定义的标签应用到包含敏感数据的列上。由于包含敏感数据的列被分配了这些标签,您可以通过运行查询和调用函数来跟踪这些标签,从而监控敏感数据。

例如,要列出所有已完成分类并被分配语义类别的列,可以运行以下查询:

SELECT * FROM SNOWFLAKE.ACCOUNT_USAGE.TAG_REFERENCES
  WHERE TAG_NAME = 'SEMANTIC_CATEGORY'
  ORDER BY object_database, object_schema, object_name, column_name;
Copy

如果您想确定 hr_data 表中的 fname 列被分配了哪个语义类别,可以运行以下查询以获取 SEMANTIC_CATEGORY 标签的值:

SELECT SYSTEM$GET_TAG(
  'SNOWFLAKE.CORE.SEMANTIC_CATEGORY',
  'hr_data.fname',
  'COLUMN');
Copy

有关跟踪标签的不同方式,请参阅 监控对象标签

语言: 中文