資料庫自治服務 DAS(Database Autonomy Service)為不同行業(例如金融、能源、汽車行業)提供了識別資料庫敏感性資料的解決方案。使用行業內建識別模板可以檢測您執行個體中是否存在敏感性資料。您可以直接使用內建的識別模板,也可以基於內建模板自訂識別模板。本文介紹識別模板相關概念以及如何使用。
支援的地區和資料庫
資料庫 | 地區 |
| 華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華南1(深圳)、西南1(成都)和中國(香港) |
PolarDB PostgreSQL版(相容Oracle) | 華東1(杭州)和馬來西亞(吉隆坡) |
模型與模板
什麼是識別模板
識別模板是針對不同行業規範定製的敏感性資料分類與分級的依據。通過識別模板,可以檢測敏感性資料是否符合安全合規要求。
什麼是識別模型和識別特徵
概念 | 說明 |
識別模型 | 識別模型基於一個或多個識別特徵來進行定義,識別模型直接關聯最終產生的識別結果,識別模型支援配置。 DAS提供了典型敏感性資料的內建識別模型,並支援自訂識別模型。 |
識別特徵 | 識別特徵支援基於內容識別、中繼資料(Meta資料)識別以及詞典識別的模式,結合Regex、包含、不包含等運算子進行敏感性資料特徵檢測,從而形成識別規則。識別特徵支援多個規則間通過AND、OR邏輯運算子進行關聯,形成複雜識別規則,從而更加靈活地進行資料特徵檢測。 DAS針對常見敏感性資料類型提供了內建識別特徵,並支援自訂識別特徵。 |
模板分類及任務規則
識別任務是根據對接入資料庫資料進行掃描並發現敏感性資料,產生掃描結果,並對敏感性資料進行分類分級。
識別任務必須有已啟用識別模板,已啟用識別模板分為主用識別模板、活躍識別模板和通用識別模板。
添加自訂識別任務時,僅支援選擇主用識別模板(僅1個)和活躍識別模板(最多2個)。
模板類型 | 說明 |
內建識別模板 | 根據實際業務情境選擇內建識別模板,DAS提供金融行業分類分級模板、內建雲安全內部保障模板、電源行業分類分級模板、車連網分類分級模板和互連網行業分類分級模板。 |
自訂識別模板 | 如果內建識別模板無法滿足需求,您可以添加總數不超過十個的自訂識別模板,通過配置識別特徵、識別模型建立符合需求的識別模板。 |
模板角色 | 說明 |
主用識別模板 | 系統預設任務預設使用的模板。DAS預設為互連網行業分類分級模板。主用識別模板不支援關閉。 主用識別模板只能有一個,您可以選擇一個活躍識別模板變更為主用識別模板。 DAS控制台識別結果均使用主用識別模板。 |
活躍識別模板 | 您可以啟用內建識別模板或自訂識別模板作為活躍識別模板。最多可以啟用兩個活躍識別模板。 |
通用識別模板 | 根據中國國家標準委員會發布的個人資訊安全規範 識別任務中只有使用了內建識別模板,才會預設使用該模板。 |
識別模板的敏感層級
DAS的敏感識別最高可有10個敏感等級(S1~S10),數字越大敏感等級越高。
內建識別模板中無法新增或刪除敏感層級,僅支援編輯描述資訊。
在自訂識模板中,可以添加、編輯和刪除敏感層級。
管理識別模板與模型
範本管理員
內建識別模板
登入DAS控制台。
在左側導覽列,選擇。
在範本管理員頁簽的模板配置頁面下方的模板列表中,找到類型為內建的識別模板。
單擊狀態列的開關
或
表徵圖,開啟或關閉該模板的狀態。單擊已啟用識別模板的主用、停用開關,可切換主用模板、停用活躍模板。
說明如果從未配置過識別模板,預設開啟的主用識別模板為互連網行業分類分級模板。
自訂識別模板
建立
登入DAS控制台。
在左側導覽列,選擇。
在範本管理員頁簽的模板配置頁面,單擊建立模板。
在建立模板導航頁面,設定基本資料(模板名稱和模板描述),單擊下一步。
在模板節點配置下,單擊添加分類,在彈出對話方塊中輸入敏感性資料的分類名稱,單擊確定。
單擊已添加分類右側的管理
表徵圖,單擊添加同級分類或添加下級分類,新增對應的敏感性資料分類。
說明重複此操作,可添加多個分類。
重複以下操作,在已添加敏感性資料分類下添加對應的識別模型。
單擊已添加分類右側的管理
表徵圖,單擊添加模型。在添加模型對話方塊中,選中目標識別模型前複選框,設定狀態列表徵圖為啟用
,單擊確定。重要識別模板中識別模型啟用後,識別模型才能在使用該識別模板的識別任務中生效。
複製
登入DAS控制台。
在左側導覽列,選擇。
在範本管理員頁簽的模板配置頁面,找到內建識別模板或者自訂識別模板,單擊操作列的複製。
在彈出框中修改模板名稱和備忘,單擊確認。
說明單擊該模板對應操作列的編輯,您可以繼續修改模板名稱、模型分類和識別模型。
模型管理
登入DAS控制台。
在左側導覽列,選擇。
單擊識別模型頁簽,單擊添加模型。
在添加模型面板,配置模型參數,然後單擊確定。
配置項類型
配置項
描述
基本資料
模型名稱
模型的名稱,不可重複。
模型描述
模型的描述資訊。
資料標籤
選擇模型對應資料標籤為個人敏感資訊、個人資訊、通用資訊。
資料分類
在下拉式清單中依次關聯新模型所屬的識別模板、敏感資訊分類和風險等級。
此處僅支援關聯自訂識別模板。
模型規則配置
識別特徵
在下拉式清單中選擇模型使用的識別特徵。
支援選擇內建識別特徵和自訂識別特徵。
支援選擇多個識別特徵,多個識別特徵之間以或關係生效。
識別範圍
在下拉式清單中選擇該模型生效的資產類型。預設為DAS已授權且可以正常連通的資產。
支援選擇多種資產類型,多種資產類型之間以或的關係生效。
進階設定
可選項。具體步驟如下:
在下拉式清單中選擇需要配置的資產類型。
選擇不同條件之間的生效關係,可選項:AND、OR。如需設定多個條件組,您可以單擊添加組。添加的條件組是第一個條件組的子集。
配置識別條件。如需添加多個條件,可單擊添加條件。
識別閾值配置
最小命中數(非結構化資料)
設定非結構化資料(如NOSQL)單個檔案命中識別特徵數的最小閾值。
單個檔案命中識別特徵個數達到最小命中數,即可判定該檔案滿足此模型定義的敏感性資料。
命中率(結構化資料)
設定結構化資料(例如RDS)的命中率。
在200條採樣資料中,命中模型的資料條數比例達到命中率時,判定對應資料滿足此模型定義的敏感性資料。
其他動作
查看模板詳情:單擊列表中對應操作列詳情,可查看規則配置和識別閾值。
刪除識別模板:僅支援刪除自訂識別模板,不支援刪除內建識別模板。單擊目標模板操作列的管理
表徵圖,單擊刪除。管理模型分類:僅支援設定自訂模板的模型分類,不支援修改內建模板的模型分類。單擊目標模板操作列編輯。
切換啟用的識別模型:當前正在執行的識別任務不受影響,下次執行開始生效。
管理敏感性資料識別
前提條件
什麼是識別任務
系統預設任務
資料庫授權時,勾選預設敏感識別掃描任務,DAS會用主用識別模板為增量資料庫建立一個預設掃描任務。
任務配置項 | 說明 |
識別模板 | 系統預設任務使用主用識別模板,不可修改。 說明 如果主用識別模板是內建識別模板,任務還會同時用通用識別模板。 |
掃描周期(預設) | 如果執行個體授權時勾選預設敏感識別掃描任務,確認後會立即執行對應系統預設任務。 說明 可以配置系統預設任務的掃描周期,兩次掃描至少間隔24小時。 |
掃描範圍 | 對於已授權的執行個體、資料庫、表名稱: 說明
如果您切換了主用識別模板,不會立即觸發掃描。在下次系統預設任務執行時,才會啟用新的識別模板進行掃描。 |
掃描限制 |
|
掃描結果 | 識別模板的敏感層級, |
自訂識別任務
您可以添加自訂識別任務,使用已啟用識別模板掃描指定資料庫表。如果需要使用的識別模板未啟用,您需要先啟用該識別模板。
按照自訂的掃描範圍、掃描周期,首次、重掃進行全量掃描,周期性掃描時對新增或存在修改的資料對象進行掃描。
識別模板的敏感層級,
N/A表示未識別到敏感性資料。
查看、建立、調整、管理、訂正系統預設任務
查看系統預設任務
登入DAS控制台。
在左側導覽列,選擇。
在任務管理頁面識別任務頁簽,單擊系統預設任務。
在識別任務監控頁面,查看預設工作清單。
您可在系統預設任務的操作列執行以下操作。
重掃:如果識別模型進行了升級、您更換了主用模板或資料庫內容有變更,可以執行重掃操作,對全量資料進行掃描。
暫停:如果資料庫業務存在異常,單擊操作列的暫停,暫時停止正在掃描的系統預設任務。
終止:該功能是指終止系統預設任務下個周期的執行,如果系統預設任務正在掃描中,執行終止操作不會影響本次任務的執行,但後續該系統預設任務將不會在下個周期被執行。
開啟:該功能會重新開啟已被終止的系統預設任務。
調整系統預設任務掃描設定
系統預設任務支援設定周期性掃描。建議您將掃描周期設定為與資料庫內容更新的頻率大致一致,以便及時探索資料庫中的變化資料存在的敏感資訊。可設定的最小的掃描周期為24小時。
在識別任務監控頁面,勾選相應任務,單擊工作清單上方的掃描設定,配置周期及掃描時間。
為了將掃描對資料庫的影響降到最低,建議您將掃描開始時間設定為業務低峰期。
在掃描任務執行期間,如果CPU使用率、記憶體使用量率存在異常突增。建議及時暫停或終止識別任務。您可以在任務管理頁面,單擊操作列的暫停或終止,停止識別任務的掃描。
建立自訂識別任務
登入DAS控制台。
在左側導覽列,選擇。
在識別任務頁簽,選擇需要建立識別任務的資產類型,單擊建立識別任務。
在建立識別任務面板,配置識別任務配置項,完成配置後單擊確認。
配置項分類
配置項
描述
識別範圍
結構化資料識別範圍
選擇結構化資料(例如RDS、PolarDB)的掃描範圍。可選項:
全域掃描:掃描您的結構化資料資產。
指定掃描:配置執行個體名、資料庫名和掃描限制。
配置執行個體名和資料庫名。如需添加多個執行個體,可單擊添加識別範圍。
配置掃描限制。預設掃描前200行,最大支援1000行。
其他配置
識別覆蓋
設定檢測到的敏感性資料曾經被訂正過時的處理方式。可選項:
跳過手工打標結果:保持原有的手工訂正結果。推薦選擇該方式。
覆蓋手工打標結果:使用新的識別結果覆蓋手工訂正的結果。
您可在自訂識別任務的操作列執行以下操作。
重掃:如果識別模型進行了升級、您更換了主用模板或資料庫內容有變更,可以執行重掃操作,對全量資料進行掃描。
暫停:如果資料庫業務存在異常,單擊操作列的暫停,暫時停止正在掃描的系統預設任務。
終止:該功能是指終止系統預設任務下個周期的執行,如果系統預設任務正在掃描中,執行終止操作不會影響本次任務的執行,但後續該系統預設任務將不會在下個周期被執行。
開啟:該功能會重新開啟已被終止的系統預設任務。
管理自訂識別任務
自訂識別任務支援指定模板進行掃描。如果需要使用已啟用模板(非主用)掃描指定資料庫,您可以建立識別任務。
系統最多支援5個活躍識別任務,其中每個周期性掃描任務將佔用一個活躍任務名額,因此當您配置了5個週期性任務後,將無法再建立新的識別任務。
訂正敏感性資料命中的識別模型
執行恢複操作後,會恢複未訂正前的識別模型。
登入DAS控制台。
在左側導覽列,選擇。
在頁簽,單擊訂正任務頁簽。
在左側資料類型導覽列,單擊需要訂正的資產類型。
單擊目標敏感性資料操作列的訂正或恢複,根據頁面提示,修改訂正後模型,然後單擊確定。
查看、匯出、下載識別結果
敏感識別任務掃描完成後,可以在資產透視頁面查看和匯出結果。DAS支援每5分鐘重新整理查看掃描結果。
查看識別結果
登入DAS控制台。
在左側導覽列,選擇。
在資產類型頁簽,單擊需要查看的資料類型。
如果需要查看資料資產執行個體中敏感性資料的詳細資料,您可以單擊操作列的表詳情。
在右側詳情面板,查看如下圖所示的敏感性資料統計資訊。
在敏感性資料列表中,您可以單擊操作列的列詳情,查看每列資料命中敏感性資料的規則詳情。
如果操作列存在訂正入口,您可以訂正敏感性資料識別結果。
匯出識別結果
登入DAS控制台。
在左側導覽列,選擇。
單擊建立匯出任務。設定匯出任務,然後單擊確定。
在基本資料地區,輸入任務名稱並選擇識別任務使用的模板。僅支援選擇已啟用模板。
在匯出維度地區,選擇資產類型或資產執行個體。
資產類型:選中全量引擎執行個體。
資產執行個體:選中需要匯出的引擎執行個體。
建立匯出任務後,您可以在匯出工作清單查看匯出任務的狀態。需要匯出的資料量越大,匯出需要的時間越長,請您耐心等待。
下載匯出識別結果
等待匯出狀態為已完成時,單擊目標匯出任務操作列的下載。
完成匯出後,您需要在三天內下載匯出的資料。超過三天匯出任務會到期,您將無法下載匯出的敏感性資料。