資料分類分級是保障資料安全的重要前提。它為各行業提供對敏感性資料類型及其層級的識別與劃分能力,能夠有效檢測組織資料資產中是否存在敏感資訊,並根據其敏感程度進行等級劃分。分類分級不僅有助於準確掌握資料資產中的敏感內容,還為後續的資料管理和保護措施奠定堅實的基礎。掌握資料資產中的敏感性資料能夠協助正確管理相應資產的存取權限、資料脫敏和資料訪問行為審計等,從而提升資料安全性。
功能介紹
資料分類分級是DataWorks資訊安全中心所有資料保護能力的基礎和起點。它的核心目標是協助您自動探索和標記散落在各個資料來源中的敏感性資料,精準回答“我有哪些敏感性資料?”和“它們在哪裡?”這兩個關鍵問題。
第一步:配置資料分類分級準則
您首先需要定義一套敏感性資料的識別標準。這包括:
資料分級:為資料敏感度貼上標籤,如
S1(公開)、S2(內部)。数据分类:為資料進行業務分組,如
個人資訊、財務資料。数据类型:定義具體的敏感性資料種類,如
手機號、社會安全號碼。在建立時,您需要將其歸屬到一個数据分类,並為其指定一個資料分級。识别规则:這是自動化發現的核心。您可以為每個資料類型設定強大的識別規則,支援:
按內容識別:通過Regex或內建演算法(如身份證校正)匹配資料內容。
按欄位名稱/注釋識別:通過Regex匹配欄位的命名或注釋資訊。
第二步:建立識別任務
通過建立識別任務,將您定義好的規則應用到指定的資料來源(如MaxCompute、Hologres)上進行掃描。任務支援立即執行的單次掃描,也支援用於持續監控的周期性(天/周/月)掃描。
第三步:產生識別結果
任務執行後(週期性任務為T+1生效),系統會產生一份詳盡的識別結果清單,即您的敏感性資料資產目錄。它清晰地列出了哪個表的哪個欄位被識別為何種敏感類型。對於識別偏差,您還可以進行人工修訂,確保目錄的最終準確性。
最終,這份經過識別和確認的敏感性資料資產目錄,將作為下遊資料脫敏、風險監控、訪問審計等所有進階安全性原則的精確輸入。
限制說明
適用使用者:開通DataWorks的標準版、專業版、企業版,且在資訊安全中心選擇DataWorks新版資料安全的使用者。
支援地區:華東1(杭州)、華東2(上海)、華北2(北京)、華北3(張家口)、華北6(烏蘭察布)、華南1(深圳)、西南1(成都)、中國香港、日本(東京)、新加坡、印尼(雅加達)。
支援計算源:MaxCompute、Hologres。
前提條件
登入DataWorks主帳號或RAM帳號,且擁有以下許可權或角色滿足任一條件:
擁有AliyunDataWorksFullAccess許可權的帳號。
擁有DataWorks租戶安全性系統管理員角色的帳號。
擁有DataWorks租用戶系統管理員角色的帳號。
已完成新使用者指引。
功能入口
登入DataWorks控制台,切換至目標地區後,單擊左側導覽列的,在右側頁面中單擊進入資訊安全中心。
在左側導覽列,選擇進入頁面。
配置数据分类
進入資料分類。
在資料分類分級頁面,單擊進入数据分类頁簽。
資料分類頁簽左側為数据分类,右側為数据分类中包含的数据类型。單擊分類目錄中的任一分支,可以在右側查看當前類別中包含的数据类型,並且可以通過操作列對資料類型進行查看、编辑和删除操作。
新增資料類型。
重要系統內建預選模版的数据分类和数据类型,您可按需編輯。
在数据分类頁面,單擊左上方的新增数据类型添加新的資料類型。
新增資料類型需配置以下表格內容:
配置項
說明
数据类型
請輸入資料類型的名稱,該名稱為全域唯一。滿足識別規則的資料(列),DataWorks按照資料類型標記識別結果。
数据分类
指定資料類型所屬的資料分類。
数据级别
指定該資料類型對應的安全分級。滿足識別規則的資料(列),DataWorks按照資料層級標記識別結果。
识别规则
當滿足識別規則時,DataWorks會標記資料(列)的識別結果。
識別規則支援三種:数据内容识别、字段名称识别、字段注释识别。每一種識別規則都需要獨立設定和獨立驗證。
满足任一规则:三種識別規則,只要有一個規則命中,則判定為滿足識別規則。
同时满足以下规则:三種識別規則,全部命中,才會判定為滿足識別規則。
数据类型描述
根據您的業務情境自訂資料類型的描述內容。
完成配置後,可選擇立即生效或僅儲存。
立即生效:儲存配置,並且資料類型識別規則立即生效。資料識別任務執行時,會將滿足識別規則的資料(列)標記為該資料類型。
仅保存:只儲存配置,但是識別規則不會生效。資料識別任務執行時,不會標記該資料類型。
刪除資料類型:只能刪除新增的資料類型,無法刪除內建的資料類型。
重要刪除数据类型後,會產生以下影響:
刪除歷史的识别结果。同時,新的识别任务將不會再識別該資料類型。
刪除脱敏策略中該数据类型的脫敏規則。
刪除数据类型的敏感性資料訪問記錄。
刪除安全风险識別規則中該類型的相關規則。
配置資料分級
DataWorks最多支援十個分級,可以根據自己的業務需要修改分級描述。安全分級數值越大,安全層級越高。
進入資料分級:在資料分類分級頁面單擊進入資料分級頁簽。
編輯資料分級:單擊頁面左上方的编辑按鈕,即可對不同層級的資料分級的详细描述進行修改調整。
儲存資料分級:完成資料分級的詳細描述修改後,單擊左上方的保存按鈕,儲存資料分級。
管理資料识别任务
進入資料識別任務:在資料分類分級頁面單擊進入识别任务頁簽。
建立資料識別任務。
在识别任务頁簽單擊左上方的新建任务按鈕建立資料識別任務。
建立資料識別任務需配置以下表格內容:
配置項
說明
任务名称
資料分類分級識別任務的名稱,由使用者定義。
数据源类型
選擇資料來源類型。支援MaxCompute和Hologres類型。
任务类型
单次任务:僅執行1次,不會重複執行。
周期任务:在固定時間點,重複執行。
重要周期任務僅對新增的資料(列)進行識別。您可以通過單次任務,對歷史的識別結果進行二次判定。
DataWorks僅支援1個周期任務。
识别范围
指定資料識別任務執行時,要覆蓋的資料範圍。最小範圍:資料表。
當数据源类型選擇MaxCompute時,支援選擇專案或資料表。
當数据源类型選擇Hologres時,支援選擇為庫或資料表。需要選擇對應執行個體已綁定成為具體的工作空間下的數據源,並選擇资源组進行網路連通性驗證。
抽样数量
識別任務執行時,抽取每一列的資料量。
資料量越大,識別的準確度越高,任務耗時越長。最大支援200。
数据抽样使用
識別任務執行時,DataWorks僅能使用指定的帳號訪問資料。如果指定的帳號沒有許可權,就無法進行抽樣識別。
重要請確保您指定的帳號,在指定的識別範圍中能訪問表名、列名、列的描述資訊以及訪問列的資料。
配置完成後,單擊確定,即可儲存任務。
編輯資料識別任務。
針對於周期性的識別任務,在识别任务頁簽內,單擊目標任務操作列的编辑按鈕即可對選中任務重新進行配置。
重要單次運行任務無法編輯,需刪除任務後再建立。
查看資料識別任務。
在识别任务頁簽內,尋找到需要查看詳細資料的任務後,單擊操作列的查看按鈕,即可進入任務詳情頁面查看任務的詳細資料。
在任務詳情頁面,單擊运行记录後的運行次數,即可查看該任務每一次執行的开始执行时间和结束执行时间。
刪除資料識別任務。
在识别任务頁簽內,可以對資料識別任務單個進行刪除也可以選中多個任務進行大量刪除。
單個刪除:
尋找到需要查看詳細資料的任務後,單擊操作列的删除按鈕即可刪除選中任務。
大量刪除:
批量選中需要刪除的資料識別任務後,單擊左下角的批量删除按鈕,即可大量刪除選中任務。
重要刪除資料識別任務時,不會停止運行中的任務。
刪除資料識別任務後,週期性任務不會再執行新任務。
刪除資料識別任務後,歷史任務的識別結果仍然保留。
查看資料分類分級結果
資料識別每天淩晨擷取最新的表結構資訊。您新增的欄位/表/庫,在次日淩晨才能完成資料分類分級。
在資料分類分級頁面單擊進入识别结果頁簽。在資料分類分級識別結果頁面,可查看識別任務運行後,對錶欄位資訊的識別結果。
查看資料分類分級結果。
您可在識別結果頁面查看資料資產的資料分類、資料分級的識別結果資訊,以下為不同資訊的說明:
識別資訊
說明
数据源类型
資料資產歸屬的資料引擎。
实例/项目/数据库
資料資產歸屬的執行個體、專案或資料庫名稱。
表
資料資產歸屬的資料表的名稱。
字段
資料資產的列名稱。
数据分类
資料識別任務判定該資料匹配的資料類型;或者使用者修訂後的資料類型。
数据类型
資料類型對應的資料分類目錄;或者使用者修訂後的資料分類目錄。按照一級目錄/二級目錄/……的方式展示。
資料分級
資料類型對應的資料安全層級;或者使用者修訂後的資料分級。
判定方式
系统识别:由資料識別任務判定的結果。
修订:由使用者修訂後的結果。
更新时间
最後一次系統識別、使用者修訂判定結果的時間。
修訂資料分類分級結果。
您可在識別結果頁面的操作欄對分類分級結果進行刪除或修訂,您可以通過以下兩種方式對資料資產的識別結果進行修訂:
重新識別覆蓋:建立新的識別任務(任務類型為單次任務),對指定範圍的資產重新判定識別結果。
手動修訂結果:手動修訂資料資產的識別結果,操作方式如下:
通過識別結果頁簽內的搜尋欄過濾篩選出需要修改識別結果的資料資產,單擊操作欄的修订按鈕。
在修訂彈窗內手動選擇資料類型進行修改即可。