全部產品
Search
文件中心

DataWorks:資料保護傘入門

更新時間:Apr 26, 2026

資料保護傘是一款資料安全管理產品,提供資料發現、資料脫敏、資料浮水印、風險識別、資料溯源等功能,協助您快速梳理敏感性資料並進行安全管控,保障資料安全。本文樣本使用內建規則對xc_dpe_e2_dev專案的phone資料脫敏,並設定匯出風險審計,為您示範資料保護傘的基本使用流程。

進入資料保護傘

  1. 登入DataWorks控制台,切換至目標地區後,單擊左側導覽列的數據治理 > 資訊安全中心,在右側頁面中單擊進入資訊安全中心

  2. 單擊左側導覽列的資料使用安全 > 敏感性資料管理,單擊立即體驗,進入資料保護傘。

    說明
    • 若阿里雲主帳號已授權,則直接進入資料保護傘的首頁。

    • 若阿里雲主帳號未授權,則進入資料保護傘的授權頁面。進入資料使用安全 > 敏感性資料管理,在頁面彈窗內,首次需選擇資料保護傘,授權後才可使用保護傘的相關功能。

操作流程

  1. 步驟一:配置資料分類分級

    用於對您當前的資料按照資料價值、內容敏感程度、影響範圍和分發範圍進行敏感層級劃分。不同敏感層級的資料管控原則和資料開發要求存在差異。

  2. 步驟二:配置敏感性資料識別規則

    根據資料的來源、用途,定義資料分類並配置敏感欄位類型,識別當前工作空間中的敏感性資料。DataWorks提供了內建資料分類及識別規則,您也可根據需要自訂資料分類及敏感性資料識別規則。

  3. 步驟三:配置資料脫敏規則

    用於對識別到的敏感性資料配置脫敏規則。根據業務管控要求,不同敏感層級的資料脫敏管控存在差異。

  4. 步驟四:配置風險識別規則

    根據智能化的分析技術,通過風險識別規則,主動發現風險操作並預警。協助您進行更加全面的風險管理,有效識別並規避風險。

  5. 步驟五:查看資料

    完成上述配置後,您可在資料保護傘對應功能模組查看資料。

步驟一:配置資料分類分級

您可對當前的資料資產按照資料價值、內容敏感程度、影響和分發範圍進行敏感層級劃分,不同敏感層級的資料有不同的管控原則和資料開發要求。DataWorks提供了內建的分類分級模板,您也可基於業務需要,在資料保護傘介面,單擊左側導覽列的規則配置 > 数据分类分级,編輯資料分類分級。本文樣本使用DataWorks提供的預設資料分級。更多資料分類分級詳情,請參見配置敏感性資料分類分級

步驟二:配置敏感性資料識別規則

DataWorks支援按照資料的敏感層級和所屬分類,定義敏感欄位類型,協助您識別工作空間內的敏感性資料。您可使用內建識別規則和自訂識別規則,配置敏感欄位類型,詳情請參見配置資料識別規則並執行識別任務

本文樣本配置phone敏感欄位類型,使用內建識別規則將手機號定義為敏感性資料,識別xc_dpe_e2_dev工作空間下的手機號。

  1. 在資料保護傘介面,單擊左側導覽列規則配置,進入敏感性資料識別介面。

  2. 配置資料的分類分級。

    在分類分級配置地區,為您提供了預設資料分類,您也可根據需要建立新的分類。本文樣本使用預設分類基本資料

  3. 配置敏感欄位類型。

    1. 單擊+敏感欄位類型,建立敏感欄位類型。

    2. 配置敏感欄位類型基本資料。

      主要參數說明如下。

      參數

      描述

      敏感欄位類型

      基於業務需要自訂敏感欄位類型名稱。本文樣本配置為phone

      所屬分類

      配置該敏感欄位類型所屬資料分類。資料分類可在分類分級配置地區定義。

      本文樣本配置為DataWorks預設提供的基本資料分類。

      所屬分級

      配置該敏感欄位類型所屬資料分級。資料分級可在步驟一:配置資料分類分級定義。

      本文樣本配置分級為3

    3. 單擊下一步

    4. 配置敏感欄位類型規則。

      本文樣本規則配置如下圖。

      image

      參數說明如下。

      參數

      描述

      命中條件

      定義識別規則的命中條件。取值如下:

      • 满足任一规则:滿足資料內容識別、欄位注釋識別或欄位名稱識別規則中任何一個條件,即可命中識別規則。

      • 滿足全部規則:同時滿足所配置的資料內容識別、欄位注釋識別及欄位名稱識別規則,才可命中識別規則。

      說明

      本文僅以配置数据内容识别規則為例,更多規則配置,請參見配置資料識別規則並執行識別任務

      本文樣本配置為满足任一规则

      数据内容识别

      根據規則類型定義敏感性資料識別規則的內容,用於匹配敏感性資料的文本。

      本文樣本規則類型選擇內建識別規則,並配置規則識別的資料內容為手機。當查詢的資料具有手機號內容特徵時,將被識別為敏感性資料。

      命中率配置

      自訂識別規則的命中率。當一列非空資料中,滿足上述識別條件的資料大於指定閾值時,則命中該規則,會將該資料識別為當前類型的敏感性資料。

      本文樣本閾值配置為50%,即當某列資料中,滿足上述條件的資料超過50%時,則將其識別為敏感性資料。

    5. 配置完成後,單擊發布使用,使規則生效。

      識別任務類型不同,敏感性資料識別任務開啟啟動並執行時間不同。

      說明
      1. 即時任務:即時開啟運行。

      2. 定時任務:開啟任務執行按鈕,到達任務配置的掃描時間後,平台將按照相關配置進行敏感性資料識別。

      3. 建立識別任務:建立後即時開啟,變更為任務進度條,待進度達到100%後表示任務掃描完成。進度計算方式為=(本次任務中已識別的表數量/本次任務中全部要識別的表數量)*100%。

步驟三:配置資料脫敏規則

用於對識別到的敏感性資料進行脫敏規則配置。根據業務管控要求,不同敏感層級的資料脫敏管控存在差異。DataWorks目前支援動態脫敏和靜態脫敏,更多資料脫敏介紹,詳情請參見建立資料脫敏規則

本文樣本對步驟二phone規則識別到的敏感性資料,配置相應脫敏規則phone

  1. 在資料保護傘介面,單擊左側導覽列規則配置,進入資料脫敏管理介面。

  2. 配置資料脫敏規則。

    1. 單擊image表徵圖,建立脫敏規則。

    2. 配置規則資訊。

      本文樣本規則資訊配置如下圖。

      image

      配置

      描述

      敏感欄位類型

      選擇需要脫敏的敏感欄位類型。本文樣本選擇步驟二配置的phone類型敏感欄位。

      脫敏規則名稱

      定義脫敏規則的名稱。本文樣本名稱配置為phone

      所屬脫敏情境

      選擇該脫敏規則適用的脫敏情境。預設為步驟一所選的脫敏情境,使用者也可根據需要更改或添加多個情境。

      脫敏方法

      用於定義使用什麼方式對所選類型資料進行脫敏。本文樣本選擇掩蓋 > 只展示前三后二的方式,即對於手機號碼,只展示前三位和後兩位,其餘位置均使用星號(*)掩蓋。

      更多脫敏規則配置,請參見建立資料脫敏規則

  3. 開啟工作空間資料脫敏。

    脫敏規則配置後,需確保目標工作空間已開啟查詢內容脫敏。開啟後,脫敏規則才會生效。

    1. 進入資料開發(DataStudio)。

    2. 在左下角單擊設定表徵圖,進入設定頁面。

    3. 安全設置與其他頁簽的數據安全地區,啟用頁面查詢內容脫敏。

  4. 驗證資料脫敏規則是否生效。

    您可在資料開發(DataStudio)介面,建立臨時查詢任務,查詢相關手機號資料,通過查詢結果驗證手機號脫敏效果。具體表資料及查詢語句請根據實際業務配置。樣本展示的脫敏效果如下。驗證脫敏

步驟四:配置風險識別規則

風險識別管理提供了多維度關聯分析及演算法,智能化的分析技術協助您通過風險識別規則,主動發現風險操作並預警,使用可視化方式進行一站式審計。DataWorks內建了多種情境的風險識別規則,您也可根據業務情境自訂風險規則。更多風險識別規則的介紹,請參見風險識別管理

本文樣本建立自訂規則,對步驟二配置的phone規則所識別的敏感性資料進行風險識別。當10分鐘內,xc_dpe_e2_dev專案下滿足phone規則的資料匯出次數大於等於10次時,則將該匯出操作識別為高風險操作。

  1. 在資料保護傘介面,單擊左側導覽列的規則配置,進入風險識別管理介面。

  2. 配置風險識別規則。

    1. 單擊風險識別規則表徵圖,建立風險識別規則。

    2. 配置規則資訊。

      本文樣本規則資訊配置如下圖。風險識別規則配置參數說明如下。

      地區

      參數

      描述

      基本信息

      規則名稱

      自訂規則名稱。本文樣本配置為phone資料的匯出風險

      規則類型

      定義資料風險類型,支援資料訪問、資料匯出、資料操作、其他等類型。

      本文樣本選擇資料匯出風險,即匯出phone類型資料的操作將被認為是風險操作。

      規則等級

      定義該操作的風險等級。本文樣本將phone資料的匯出定義為高風險。

      規則定義

      選擇條件

      定義風險識別規則。您可根據資料位元置、資料屬性、使用者資訊、操作時間等條件配置識別規則。

      本文樣本選擇資料屬性,配置步驟二中的phone類型敏感性資料在10分鐘內匯出操作大於等於10次時,則認為觸發規則。

      警示設定

      告警方式

      可選擇郵件或webHook方式發送警示資訊。

      本文樣本選擇webHook。關於DingTalk機器人webHook的配置說明,請參見發送警示訊息至DingTalk群

      更多風險識別管理配置,請參見風險識別管理

  3. 啟用規則。

    建立的自訂規則預設不生效,您需在風險識別管理頁面,找到建立的phone資料的匯出風險規則,單擊重新生效,手動啟用該規則。

步驟五:查看資料

敏感性資料識別規則、風險識別規則等配置完成後,您可進入資料保護傘的各個功能模組,查看風險資料。風險資料結果是(T+1)天產生。

功能模組

描述

敏感性資料概況

從工作空間、分級等不同維度,為您提供可視化的資料資產展示。您可在該頁面查看命中識別規則的欄位總數、表總數及對應佔比,命中規則的欄位各分級、專案數量分布和清單。

敏感性資料訪問及匯出情況

展示基於配置規則識別出的敏感性資料的訪問量、訪問趨勢、匯出量和匯出明細等,協助您掌控每一次訪問敏感性資料的情況。

查看資料風險

從多維度呈現了通過配置的風險識別規則命中的風險資料,方便您瞭解不同維度風險分布、指定時間的風險趨勢及風險專案空間排名,擷取風險高發的時間及專案空間,也可查看產生風險的使用者、時間、操作等詳情,及時定位並處理風險。

資料溯源

通過提取資料泄露檔案中資料的浮水印資訊,協助您定位到可能泄露目標資料的責任人。