安全風險功能提供多種內建的風險檢測專家項,旨在協助組織通過預設的風險識別規則,主動發現潛在的安全威脅和資料違規操作。該功能支援以可視化方式進行風險管理,從而提高風險檢測和響應的效率。此外,您還可以根據具體業務情境自訂風險識別規則,以滿足不同的安全性原則和業務需求。
功能介紹
安全風險功能主要由以下三個核心模組構成,它們共同協作,形成從“規則定義”到“事件發現”再到“警示響應”的完整閉環。
风险检测项
這裡是風險識別的規則庫。它包含系統內建的專家規則(如“批量查詢敏感性資料”、“頻繁刪除敏感性資料”等),同時也支援您根據獨特的業務需求,建立自訂的檢測規則,定義何種行為應被視為風險。
风险事件
基於開啟的風險檢測項,命中並產生風險事件。所有被檢測到的安全風險事件都會在這裡集中展示。您可以通過風險項名稱、發生時間等條件進行篩選和追溯,是日常安全巡檢和事後分析的核心介面。
告警策略
為了實現主動響應,您可以在此配置警示策略。當滿足特定條件的風險事件發生時(例如,任意“高危”事件,或某個具體的“大量匯出敏感性資料”事件),系統將通過郵件、簡訊或DingTalk/企業微信機器人等方式,自動將警示資訊推送給指定人員。
風險檢測識別結果的時效性為 T+1。這意味著,風險檢測並非即時進行,而是基於前一天(T)的資料進行離線分析。因此,您在今天(T+1)看到的風險事件,是反映了昨天發生的操作。請在進行風險分析和事件追溯時,注意這一時間特性。
限制說明
適用使用者:開通DataWorks的專業版、企業版,且在資訊安全中心選擇DataWorks新版資料安全的使用者。
支援地區:華東1(杭州)、華東2(上海)、華北2(北京)、華北3(張家口)、華北6(烏蘭察布)、華南1(深圳)、西南1(成都)、中國香港、日本(東京)、新加坡、印尼(雅加達)。
支援計算源:MaxCompute、Hologres。
前提條件
登入DataWorks主帳號或RAM帳號,且擁有以下許可權或角色滿足任一條件:
擁有AliyunDataWorksFullAccess許可權的帳號。
擁有DataWorks租戶安全性系統管理員角色的帳號。
擁有DataWorks租用戶系統管理員角色的帳號。
已完成新使用者指引。
進入安全風險查看頁面
登入DataWorks控制台,切換至目標地區後,單擊左側導覽列的,在右側頁面中單擊進入資訊安全中心。
在左側導覽列,選擇進入頁面。
配置风险检测项
風險檢測項用於定義需要被監控的特定資料操作行為模式。通過建立和配置檢測項,您可以將潛在的安全威脅或不合規操作識別為具體的、可被追溯的風險事件。
內建風險檢測項
支援修改預設內建風險檢測項的配置,但不支援刪除。
DataWorks系統內建常見的風險檢測項。使用者可以根據資料安全的需要,自訂風險檢測項。系統部分內建風險檢測項如下:
分類 | 風險項名稱 | 风险描述 | 判定條件 / 預設閾值 |
異常來源 | 資料出境 | 來自境外IP(境外IP地址庫、自訂IP列表)的資料下載行為。 重要 僅支援中國大陸地區,海外和中國香港不支援。 | - |
風險IP下載資料 | 來自風險IP(風險情報庫、自訂IP列表)的資料下載行為。 | - | |
風險IP上傳資料 | 來自風險IP(風險情報庫、自訂IP列表)的資料上傳行為。 | - | |
異常行為模式 | 相似SQL查詢 | 指定時間範圍內,相似SQL查詢的次數超過閾值。 | 10分鐘內查詢次數 ≥ 10次 |
非工作時間批量查詢敏感性資料 | 在非工作時間,單次查詢敏感性資料的記錄數超過閾值。 |
| |
非工作時間大量匯出敏感性資料 | 在非工作時間,單次匯出敏感性資料的記錄數超過閾值。 | ||
刪除敏感性資料所在表 | 刪除了包含敏感欄位的表。 | - | |
清空敏感性資料所在表 | 清空了包含敏感欄位的表。 | - | |
高頻操作 | 頻繁查詢敏感性資料 | 指定時間範圍內,查詢敏感性資料次數超過閾值。 | 5分鐘內操作次數 ≥ 5次 |
頻繁更新敏感性資料 | 指定時間範圍內,更新敏感性資料次數超過閾值。 | ||
頻繁刪除敏感性資料 | 指定時間範圍內,刪除敏感性資料次數超過閾值。 | ||
頻繁上傳敏感性資料 | 指定時間範圍內,上傳敏感性資料次數超過閾值。 | ||
頻繁匯出敏感性資料 | 指定時間範圍內,匯出敏感性資料次數超過閾值。 | ||
大量操作 | 批量查詢敏感性資料 | 單次查詢敏感性資料記錄數超過閾值。 | 單次操作記錄數 ≥ 10000條 |
批次更新敏感性資料 | 單次更新敏感性資料記錄數超過閾值。 | ||
大量刪除敏感性資料 | 單次刪除敏感性資料記錄數超過閾值。 | ||
批量上傳敏感性資料 | 單次上傳敏感性資料記錄數超過閾值。 | ||
大量匯出敏感性資料 | 單次匯出敏感性資料記錄數超過閾值。 |
自訂檢測項
該功能允許您根據業務需求,組合不同的操作維度(如操作目標、操作類型、資料量、頻率、操作者和時間)來建立精細化的風險識別規則。系統將依據已生效的識別規則來分析資料動作記錄,並產生相應的風險事件。
在安全風險頁面,單擊风险检测项頁簽,進入風險檢測項列表頁面。
單擊新增检测项按鈕,進行自訂檢測項配置,配置詳情可參考下表:
基本資料說明:用於定義檢測項的基礎屬性和中繼資料。
參數
必填
說明
策略名稱
是
為該檢測項命名,名稱應能清晰地反映其監控目的,例如“大量匯出核心客戶資訊檢測”。
风险类型
是
對風險進行分類,便於後續的統計和管理。
行为风险:通常指由使用者或系統賬戶執行的、可能存在安全隱患的操作。
流转风险:側重於資料在不同系統、應用或網路邊界之間傳輸時可能產生的風險。
风险等级
是
定義該檢測項所對應風險的嚴重程度。系統依據此等級進行風險彙總和警示。
高危:可能導致嚴重資料泄露、業務中斷或重大合規問題的行為。
中危:可能存在潛在安全威脅,需要安全人員關注和審計的行為。
低危:一般性的不規範操作,通常用於審計或統計目的。
备注信息
否
對該檢測項的詳細描述,例如其建立背景、監控的具體業務情境或相關負責人資訊。
操作目标:用於定義規則的監控範圍,即哪些資料資產的操作會被納入檢測。
參數
必填
說明
检测范围
是
定義要監控的資料資產範圍。您可以根據資料管理策略,選擇一個或多個維度進行組合。
按位置:根據資料存放區的物理或邏輯位置(如特定的資料庫執行個體、儲存桶)進行篩選。選擇Hologres,層級依次為資料庫名稱>表名稱。選擇MaxCompute時,層級依次為專案名稱>表名稱。
按分类:根據資料分類進行篩選。
按分级:根據資料的敏感級(如S1、S2、S3)進行篩選。
當選擇多個維度時,它們之間為
AND關係,即同時滿足所有選定維度資產才會被監控。操作規則定義:這部分是規則定義的核心,用於精確描述何種行為模式應被視為風險。
參數
必填
說明
数据操作
否
定義需要監控的 SQL 操作類型。預設為空白,表示監控所有操作類型。
行为风险:可選操作包括
Select,Update,Insert,Delete,Alter,Drop,Truncate等。流转风险:可選操作包括
TunnelUpload、TunnelDownload等。
操作数据量
否
設定資料操作量的閾值。不啟用則不限制。
单次操作数据量:當單次操作影響的資料行數大於或等於設定值時觸發。
累計時間內的數量:當在指定時間視窗內,累計操作的資料行數大於或等於設定值時觸發。
操作频率
否
設定資料操作頻率的閾值。不啟用則不限制。
例如:在
1分鐘內,執行5次DELETE操作。表示1分鐘內第5次命中規則時,將產生一次警示。
操作者
否
指定該規則作用於哪些使用者或使用者組。
啟用此項:規則僅對選定的用戶生效。
不啟用/留空:規則對所有使用者生效。請注意,這可能會產生大量風險事件。
操作时间
否
定義規則生效的時間視窗。不啟用則表示全天24小時生效。您可以按周和小時(0-23點)靈活選擇一個或多個時間段。例如,僅在非工作時間(如下午6點至次日上午9點)監控批量資料匯出行為。
操作按鈕:
立即生效:儲存當前配置並立即啟用該檢測項。系統將從下一個檢測周期(T+1)開始依據此規則進行風險分析。
仅保存:儲存當前配置,但不啟用。該檢測項將處於“禁用”狀態,不會用於風險分析,您可以在後續手動啟用它。
取消:放棄本次所有配置,返回列表頁面。
啟用/停用風險檢測項
完成檢測項建立後,即可在風險檢測項頁簽內對風險項進行啟用或停用。
已啟用:DataWorks會識別符合該檢測項規則的事件,並標記為風險事件。
未启用:DataWorks依然會保留已標記的風險事件,後續不再識別新事件。
進行風險檢測項啟動時,單個啟用或停用,亦可選擇多個風險項進行批量开启或批量关闭。
編輯/刪除風險檢測項
完成檢測項建立後,若需對風險檢測項進行再編輯或刪除,您可在風險檢測項頁簽內對風險項進行編輯或刪除。
编辑:重新設定風險檢測項的資訊,除過策略名稱不可編輯外,其餘配置資訊均可重新設定。
删除:刪除已配置的風險檢測項。刪除後不再產生新的風險事件。
風險檢測項在编辑或删除時,可通過操作列對風險檢測項進行單獨编辑或删除,亦可多選多個風險檢測項後批量删除。
處理風險事件
查看風險事件
當您配置並啟用的風險檢測項被觸發後,系統會產生相應的風險事件。您可以风险事件頁簽中查看所有事件的詳細列表。
字段 | 說明 | |
发生时间 | 操作人觸發該事件的日期和時間。 | |
风险类型 | 該事件被識別為風險項後,對應的風險類型。 | |
风险项 | 該事件被識別為哪個安全風險。 | |
操作者 | 觸發該事件的帳號。一般是登入帳號或資料來源的預設訪問身份。 | |
风险等级 | 評估該風險可能造成的後果及影響。 | |
处理状态 | 用於標記該風險的處置結果:已处理、未处理。 | |
相关事件 | 單擊操作列的详情,查看相关事件。相关事件描述一系列事件的執行順序,協助安全性系統管理員評估該事件的實際影響。 | |
處理風險事件
在安全風險頁面的风险事件頁簽查看風險事件,而且可對風險事件進行處理,在操作列單擊立即处理按鈕,標記風險事件的處理狀態。
警示策略配置
警示策略功能允許您針對不同的安全風險事件,自訂通知規則,確保相關責任人能夠在第一時間擷取風險資訊並及時響應。
應用情境
在日常資料安全管理中,手動巡檢風險事件效率低下且響應滯後。您可能需要根據風險的嚴重性或類型,將警示自動分發給不同團隊。
情境一:關鍵風險即時響應
當系統檢測到高危等級的安全事件時,需要立即通過簡訊和IM工具(例如DingTalk等)通知安全負責人,以便進行緊急處理。
情境二:特定行為重點關注
資料安全團隊希望監控所有大量匯出敏感性資料的事件,並自動發送郵件通知給團隊所有成員進行審計。
情境三:按職能分類警示
数据行为风险相關的警示發送給資料治理團隊,而数据流转风险相關的警示則發送給架構師團隊。
功能作用
警示策略的核心作用是實現安全風險的自動化、差異化通知,將正確的資訊在正確的時間發送給正確的人。
自訂警示規則:您可以根據风险等级、风险类型或具體的风险事件來靈活定義觸發條件。
多渠道即時觸達:支援通過郵件、簡訊、DingTalk群/飛書群/企業微信機器人等多種方式發送警示,確保資訊不被遺漏。
提升響應效率:變被動的“定位風險”為主動的“識別風險”,縮短從風險發生到響應處置的時間。
配置步驟
進入警示策略頁面
在安全风险模組下,選擇告警策略頁簽,單擊新建告警策略。
填寫基本資料
策略名稱:為您的策略命名,例如“高危事件簡訊警示”。
策略描述(可選):簡單描述該策略的用途。
定義觸發條件:這是策略的核心,決定什麼情況下會觸發警示。
選擇一個触发条件类型:
安全风险等级:最寬泛的規則。選擇高危、中危或低危,所有該等級的風險事件都會觸發此警示。
安全风险类型:按類別進行規則設定。選擇数据行为风险或数据流转风险,該類別下的所有事件都會觸發。
安全风险事件:最精細的規則。您可以選擇一個或多個具體的事件,例如批量查詢敏感性資料、頻繁更新敏感性資料等。
配置告警通知
單擊下拉框的添加通知方式,選擇您希望的通知渠道(如郵件、簡訊、DingTalk群機器人等)。
為每種方式選擇對應的 通知对象。
郵件/簡訊:選擇一個或多個 RAM 使用者/角色。
機器人:填寫對應群組的 Webhook 地址。
您可以為同一個策略添加多種通知方式。
儲存與管理
單擊建立策略儲存。
儲存後,策略會出現在列表中,您可以隨時對其進行查看、编辑或移除。