風險識別管理 - DataWorks

風險識別管理提供了多維度關聯分析及演算法，智能化的分析技術協助您通過風險識別規則，主動發現風險操作並預警，使用可視化方式進行一站式審計。DataWorks內建了多種情境的風險識別規則，您可以直接使用，也可以根據業務情境自訂規則。本文為您介紹如何建立並管理風險識別規則。

背景資訊

資料輸入DataWorks後會經過資料保護傘進行過濾處理，DataWorks為解決各類情境的敏感性資料識別問題，為您提供了功能更加全面的風險識別管理功能。具體如下：

易用性好
包含資料訪問風險、資料匯出風險、資料操作風險、其他風險類型等4類風險類型，並支援訪問時間、敏感類型、訪問量等多種維度組合識別各類風險。
精準度高
增加事件彙總統計比較，通過比較時間視窗內事件發生次數的閾值，更精準識別風險，減少大量誤判。例如，在10分鐘內發生相同事件3次以上才會命中風險。
精細化管理
支援配置高、中、低的風險層級，根據風險層級精細化管理風險。
規則靈活
內建了多種情境的常用規則，可以直接使用；同時，您也可以基於業務需求，自訂風險識別規則。詳情請參見系統內建風險識別規則及建立風險識別規則。

使用限制

版本限制
- 僅DataWorks專業版及以上版本支援使用風險識別管理功能。
- 僅DataWorks企業版支援內建風險識別規則。
警示方式
僅支援郵件和WebHook警示方式。
說明
DataWorks支援使用DingTalk群、企業微信和飛書的WebHook地址。其中，僅企業版支援推送警示資訊至企業微信或飛書。

進入風險識別管理

進入資料保護傘。
1. 登入DataWorks控制台，切換至目標地區後，單擊左側導覽列的資料治理 > 資訊安全中心，在右側頁面中單擊進入資訊安全中心。
2. 單擊左側導覽列的資料使用安全 > 敏感性資料管理，單擊立即體驗，進入資料保護傘。
  說明
  - 若阿里雲主帳號已授權，則直接進入資料保護傘的首頁。
  - 若阿里雲主帳號未授權，則進入資料保護傘的授權頁面。進入資料使用安全 > 敏感性資料管理，在頁面彈窗內，首次需選擇資料保護傘，授權後才可使用保護傘的相關功能。
進入風險識別管理。
在資料保護傘頁面的左側導覽列，單擊規則配置 > 風險識別管理，進入風險識別管理頁面，使用風險識別管理功能建立並管理風險識別規則。
風險識別管理內建了多種情境的常用規則，可以直接使用；同時，您也可以基於業務需求，自訂風險識別規則。詳情請參見系統內建風險識別規則及建立風險識別規則。

系統內建風險識別規則

風險識別管理功能支援的內建規則如下表。

規則名稱	規則類型	規則等級	規則配置
非工作時間查詢巨量資料量敏感性資料	資料訪問風險	低	如下時間段查詢資料量大於10,000時命中該規則。周一至周五：`19:00～24:00`。周六至周日：`00:00～24:00`。
相似SQL查詢	資料訪問風險	低	十分鐘內查詢相似SQL大於等於5次時，命中該規則。
批量查詢大量敏感性資料	資料訪問風險	中	單次查詢資料量大於10000時命中該規則。
大量匯出大量敏感性資料	資料匯出風險	高	單次匯出資料量大於10000時命中該規則。
非工作時間匯出巨量資料量敏感性資料	資料匯出風險	高	如下時間段匯出資料量大於10000時命中該規則。周一至周五：`22:00～24:00`。周六至周日：`00:00～24:00`。

建立風險識別規則

建立規則的規劃和準備工作。

您可以基於實際情境，選擇從資料位元置、資料屬性、使用者資訊、操作時間等維度識別風險資料，配置更精細的風險識別條件。當使用資料屬性及使用者資訊的不同細分類別配置風險識別條件時，需要進行如下準備工作。

風險識別維度	細分類別	描述
資料屬性	資料分級	識別指定層級的風險資料，您需要提前定義資料的分級，詳情請參見配置敏感性資料分類分級。
	資料分類	識別指定類別的風險資料，您需要提前定義資料的類別，詳情請參見配置資料識別規則並執行識別任務。
	敏感欄位類型	識別指定敏感欄位的風險資料，您需要提前定義敏感欄位類型，詳情請參見配置資料識別規則並執行識別任務。
使用者資訊	使用者組	識別當前登入帳號下指定使用者組的風險資料，您需要提前配置使用者組，詳情請參見配置使用者組。
使用者資訊	RAM角色	識別當前登入帳號下RAM使用者的風險資料，您需要提前在當前阿里雲帳號下添加RAM使用者，詳情請參見建立RAM使用者。

在風險識別管理頁面右上方，單擊+風險識別規則。

在建立風險識別規則對話方塊配置規則資訊。

說明

當前僅支援建立統計關聯規則。統計關聯規則用於對單一事件進行彙總統計和閾值比較，當事件數目量超過設定的閾值時，則命中規則。例如，設定的規則為低許可權使用者在非工作時間訪問敏感性資料超過1萬條。

配置規則基本資料。

參數	描述
（必填）規則名稱	建立的風險識別規則名稱。名稱長度為1~30字元，並且不能包含特殊字元。
（必填）規則類型	風險識別規則的類型，取值如下：資料訪問風險：訪問資料時可能存在風險。資料匯出風險：匯出資料時可能存在風險。資料刪除風險：刪除資料時可能存在風險。資料更新風險：更新資料時可能存在風險。庫表操作風險：庫表操作資料時可能存在風險。資料授權風險：授權資料時可能存在風險。
（必填）規則等級	風險識別規則的層級。包含低、中、高等級。您可以根據實際需求，將識別重要資料資訊的規則設定為高等級。
（選填）描述資訊	風險識別規則的描述資訊。長度為1~100字元。

單擊下一步。

配置風險識別條件及閾值。

配置風險識別的條件。

DataWorks支援設定從資料位元置、資料屬性、使用者資訊、操作時間等維度識別風險資料，協助您基於實際情境配置更精細的風險識別條件。

說明

當前最多支援添加10個條件。單擊所選維度中的+添加比較關係即可添加多個識別條件，並且添加的多個條件邏輯關係為且。

資料位元置

用於設定識別風險資料的位置範圍。

參數	描述	是否必配
是否過濾所選位置	選擇是否過濾所選位置的風險資料。取值如下： ≠：表示過濾目標位置，即配置的風險識別規則不會識別所選位置中的風險資料。 =：表示僅識別目標位置，即配置的風險識別規則僅識別所選位置中的風險資料。	是
資料引擎名稱	選擇識別規則限定的引擎範圍。說明當前僅支援識別MaxCompute引擎中的風險資料。每條比較關係只能選擇一個引擎，如果您需要限定多個引擎範圍，則請單擊+添加比較關係配置多條風險識別條件。	是
專案空間名稱	選擇識別規則限定的目標專案空間。專案空間名稱需要配置為所選引擎中的專案空間，您可以在下拉式清單選擇，也可以輸入專案空間名稱進行搜尋。說明下拉式清單最多顯示100個專案空間名稱。名稱搜尋支援模糊比對，即輸入關鍵詞，即可搜尋到名稱包含關鍵詞的專案。每條比較關係只能選擇一個專案空間，如果您需要限定多重專案空間範圍，則請單擊+添加比較關係配置多條風險識別條件。	是
資料表名稱	輸入識別規則限定的目標表。您可以輸入單個或多個表名稱，多個表名稱之間使用英文逗號（,）分隔。輸入表名稱的說明如下：單個表名不超過30個字元，輸入的表名整體不超過100字元。支援使用``萬用字元。例如，`name`表示識別所有名稱為`name`尾碼的表資料。	否。不配置時，預設識別所選專案空間中所有表的風險資料。

資料屬性

用於篩選識別風險資料的屬性範圍。

參數

描述

屬性

您可以根據業務需求選擇識別風險資料的屬性類別。當前支援的屬性類別如下：

資料分級：用於指定識別哪個層級的風險資料。您需要提前定義資料的分級，詳情請參見配置敏感性資料分類分級。
資料分類：用於指定識別哪個類別的風險資料。您需要提前定義資料的類別，詳情請參見配置資料識別規則並執行識別任務。
敏感欄位類型：用於指定識別哪類敏感欄位的風險資料。您需要提前定義敏感欄位類型，詳情請參見配置資料識別規則並執行識別任務。

是否過濾所選屬性

選擇是否過濾所選屬性的風險資料。取值如下：

≠：表示過濾目標屬性，即配置的風險識別規則不會識別所選屬性中的風險資料。
=：表示僅識別目標屬性，即配置的風險識別規則僅識別所選屬性中的風險資料。

使用者資訊

用於篩選識別風險資料的使用者資訊範圍。

參數

描述

資訊類別

選擇識別風險資料的使用者資訊類別，取值如下：

使用者組：當前登入帳號下的使用者組名稱。您需要提前配置使用者組，詳情請參見配置使用者組。
RAM角色：當前登入帳號下的RAM使用者。您需要提前在當前阿里雲帳號下添加RAM使用者，詳情請參見建立RAM使用者。
使用者名稱稱：當前登入使用者。

是否過濾所選使用者資訊

≠：表示過濾目標使用者資訊，即配置的風險識別規則不會識別所選使用者資訊中的風險資料。
=：表示僅識別目標使用者資訊，即配置的風險識別規則僅識別所選使用者資訊中的風險資料。

操作時間

用於篩選識別風險資料的操作時間範圍。

參數	描述
選擇時間範圍	單擊目標星期及小時，即可選擇所需的時間範圍。使用者可以選擇周一至周日的任意時間，精確到小時。可添加多條時間範圍，添加的多條時間範圍為互斥關係，即在條件1內選擇周一，在條件2則無法選擇周一。
是否過濾所選時間	≠：表示過濾目標操作時間，即配置的風險識別規則不會識別所選操作時間中的風險資料。 =：表示僅識別目標操作時間，即配置的風險識別規則僅識別所選操作時間中的風險資料。

配置閾值。

DataWorks支援事件彙總統計，您也可以選擇通過比較時間視窗內事件發生次數的閾值識別風險資料。單擊+添加閾值比較 即可配置多個風險識別閾值條件。

參數

描述

閾值類別

單次資料量：通過操作的資料量大小識別風險資料。當操作的資料量超過設定的閾值時，則此次操作命中風險。資料量取值為1至1000萬的整數，單位為條。預設取值為1。
累計發生次數：通過指定時間範圍單一事件發生的次數識別風險資料。當在指定時間範圍內，某單一事件的發生次數超過設定的閾值時，則命中風險。發生次數取值為1至10000的整數，單位為次。預設取值為10。
累計資料量：通過指定時間範圍操作的資料量大小識別風險資料。當操作的資料量超過設定的閾值時，則此次操作命中風險。資料量取值為1至1000萬的整數，單位為條。預設取值為1。
說明
DataWorks自動幫您歸類識別單一事件。

時間視窗

事件發生次數限定的時間範圍，預設為10分鐘。取值如下：

分鐘：取值範圍為1~59。
小時：取值範圍為1~23。
天：取值範圍為1~7。

說明

僅當閾值類別取值為發生次數時，需要配置該參數。

單擊下一步。
配置警示方式。
在識別到資料風險後，您可以根據配置的警示方式，及時接收到警示資訊，以便對風險進行相應的處理。支援您選擇郵件和webHook的警示方式。
說明
選擇警示方式前請確保已在系統配置中完成郵箱及webHook的相關配置。
單擊儲存，規則建立完成。
建立的自訂規則預設不生效，您需要在風險識別規則頁面單擊目標規則的重新生效，手動使規則生效。

管理風險識別規則

在風險識別管理頁面，您可以查看已建立的規則列表及規則詳細資料。同時，也可以編輯目標規則，

地區	描述
1	在該地區，您可以通過風險類型、風險等級、是否內建、風險規則名稱等條件進行篩選，查看目標條件的規則列表。說明通過名稱搜尋識別規則時支援模糊比對，輸入關鍵詞即可搜尋名稱中包含關鍵詞的風險識別規則。
2	在該地區，您可以執行如下操作：查看規則基本資料：查看已建立規則的風險類型、風險等級、生效狀態等基本資料，以及該規則識別到的風險資料。您可以基於命中風險、待處理風險、已處理風險，瞭解當前租戶存在的風險及風險處理情況。查看規則詳情並編輯規則：單擊查看詳情，即可查看規則的詳細配置資訊，您也可以根據實際需求修改規則。重新生效規則：單擊表徵圖，即可使失效的規則重新生效。說明 DataWorks僅支援失效狀態的規則執行該操作。
3	在該地區，您可以大量操作目標規則。當前支援執行批量生效、批量失效、大量刪除等大量操作，單擊表徵圖，即可切換大量操作類別。說明 DataWorks不支援刪除系統內建的風險識別規則，僅支援刪除失效狀態的自訂規則。

後續步驟

風險識別規則建立並生效後，您可以進入資料風險頁面，查看規則命中的風險詳情，及時處理存在風險。詳情請參見查看資料風險。

地區	描述
1	在該地區，您可以通過風險類型、風險等級、是否內建、風險規則名稱等條件進行篩選，查看目標條件的規則列表。說明通過名稱搜尋識別規則時支援模糊比對，輸入關鍵詞即可搜尋名稱中包含關鍵詞的風險識別規則。
2	在該地區，您可以執行如下操作：查看規則基本資料：查看已建立規則的風險類型、風險等級、生效狀態等基本資料，以及該規則識別到的風險資料。您可以基於命中風險、待處理風險、已處理風險，瞭解當前租戶存在的風險及風險處理情況。查看規則詳情並編輯規則：單擊查看詳情，即可查看規則的詳細配置資訊，您也可以根據實際需求修改規則。重新生效規則：單擊表徵圖，即可使失效的規則重新生效。說明 DataWorks僅支援失效狀態的規則執行該操作。
3	在該地區，您可以大量操作目標規則。當前支援執行批量生效、批量失效、大量刪除等大量操作，單擊表徵圖，即可切換大量操作類別。說明 DataWorks不支援刪除系統內建的風險識別規則，僅支援刪除失效狀態的自訂規則。