本文介紹敏感性資料掃描和識別的常見問題及解決方案。
資料掃描會影響我的資料庫效能嗎?
資料資訊安全中心DSC(Data Security Center)採用全量掃描、增量掃描和定時掃描策略掃描您的資料庫。全量掃描會對您的資料庫效能產生較小的影響,不會影響您資料庫的正常業務。增量掃描只掃描修改後的檔案,對您資料庫效能的影響可以忽略不計。
DSC只會在完成資產授權、人工執行重新掃描操作或根據您設定的全量掃描周期全量掃描您的資產。只有在您的資料庫中的資料發生變化時,才會掃描有變化的檔案或表。為了減少掃描對您資料庫效能的影響,您可以參考以下規則配置全量掃描周期:
增大全量掃描的掃描周期,有效減輕DSC掃描對資料庫效能產生的影響。
將掃描時間設定為資料庫訪問量較小的時段。
DSC支援掃描的資料來源有哪些?
DSC支援對結構化資料來源和非結構化資料來源進行掃描。支援掃描的資料來源類型如下:
結構化資料:RDS、PolarDB、PolarDB-X、PolarDB-X 2.0、Redis、MongoDB、OceanBase、自建資料庫。
非結構化資料:OSS和SLS。
巨量資料:TableStore、MaxCompute、ADB-MYSQL、ADB-PG。
詳細說明,請參見支援的資料資產類型。
資料來源授權完成後需要多長時間完成掃描?
DSC完成資料來源授權後,會在2小時內啟動掃描。掃描時間長度將由您所需掃描的資料量決定。當存在大量資料表時(例如:表數量超過10000張),或者OSS檔案總量特別大(例如:OSS總量超過PB)時,掃描周期會相應延長。在DSC掃描資料的過程中,已經完成掃描的階段性結果,會在数据安全中心控制台的總覽頁面展現。更多資訊,請參見資料資訊安全中心總覽。
DSC對於非結構化資料來源(OSS+SLS)的掃描機制是怎樣的?
DSC對非結構化資料來源中儲存的內容進行掃描,根據掃描結果判斷是否為敏感性資料。
資產類型 | 掃描範圍 | 掃描的資料對象 |
OSS |
| <OSS Bucket>/<檔案名稱>。 每個檔案作為識別任務掃描的一個資料對象。 |
SLS | 每次掃描時,以執行掃描的時間作為當天,掃描已授權資產在前天00:00至24:00時間記憶體儲的所有資料。 如果您需要掃描SLS的更多資料,可以建立自訂識別任務,配置掃描範圍。具體操作,請參見建立自訂識別任務。 | <SLS Project>/<logstore>/<時間周期>。 每5分鐘作為一個時間周期,每個時間周期記憶體儲的資料作為識別任務掃描的一個資料對象。 |
DSC對於非結構化資料來源(OSS+SLS)掃描的計費規則是怎樣的?
DSC採用訂用帳戶計費模式,資料識別掃描會消耗已購買的資源規格,購買不同版本,抵扣規則不同:
企業版:統一按照資料防護量計費。按照已授權串連的OSS Bucket檔案大小+SLS Project檔案大小*0.5,抵扣儲存防護容量。
僅購買增值服務:不支援使用資料掃描和識別功能。
更多內容,請參見計費概述。
是否支援對已掃描過的OSS檔案重新掃描?
如果檔案沒有被修改,DSC不會對已掃描過的檔案重新掃描;如果檔案已被修改,DSC會在24小時內對該檔案重新掃描。
如有需要,您可以手動重新掃描OSS資產。具體操作,請參見重掃識別任務。
DSC對結構化資料(例如MaxCompute)的掃描機制是什嗎?
DSC掃描資料庫類型和資料表類型資料來源中的欄位名稱和欄位值,同時根據欄位名稱和值綜合判斷該資料是否為敏感性資料。例如:年齡資料。如果只通過欄位值無法判斷資料是否敏感,DSC會結合資料來源列中的欄位名稱和對應的數值來綜合判斷。
首次掃描:完成授權後,DSC會掃描整個資料庫或資料項目中所有的表。
增量掃描:當有新增資料庫或資料項目表時,DSC會對新增表進行掃描;如果現有資料表結構(列)發生變化,DSC也會對該表進行掃描。
DSC是否會登入到資料庫內擷取資料?
已擷取授權的情況下,DSC會登入到資料庫內以資料採樣的方式對資料進行敏感識別,DSC不會儲存您MaxCompute專案、資料庫中的資料。
目前存在哪些觸發重新掃描的情境?
目前,DSC會在以下情境中自動觸發對已授權資料來源中的資料進行重新掃描。
重新掃描的情境 | 掃描邏輯 | 計費影響 |
資料來源首次完成授權接入。 | 掃描該資料來源中的所有資料。 | 對該資料來源中的所有資料收取全量掃描費用。 |
資料來源完成授權接入並已進行過掃描後,資料來源發生了變化。 | 在MaxCompute、資料庫的表結構發生變化後(僅指資料表的列有新增或刪減),會觸發自動掃描並掃描有變化的列;資料表的行發生變化不會觸發自動掃描。 | 對該資料來源中的所有資料收取全量掃描費用。 |
在OSS檔案新增和修改後會觸發自動掃描。 說明 OSS Bucket中的檔案僅被刪除時不會觸發自動掃描。 | 僅對該新增或修改的檔案收取掃描費用。 | |
敏感性資料識別規則的配置發生了變化(包括新增、開啟、關閉或刪除規則)。 | 會對所有已授權的資料來源中的全部資料進行自動掃描。 | 對所有已授權的資料來源收取全量掃描費用。 |
已授權資料資產是加密的可以被識別嗎?
如果資料採用的是透明加密方式,則可以被識別。
MongoDB全表掃描方式,是否對IO影響過大,影響線上服務?
全表掃描會對您的資料庫效能產生較小的影響,一般情況下,不會影響資料庫的正常業務。
為了降低資產掃描對您資料庫效能的影響,您可以增大全域掃描的掃描周期,或將掃描時間設定為資料庫訪問量較小的時段,有效減輕DSC掃描對資料庫效能產生的影響。
OSS中壓縮包、文字文件能進行敏感性資料識別嗎?
可以。您可以在資料資訊安全中心識別配置頁面的檔案類型中,查看DSC支援識別的OSS資料。
DSC支援匯出敏感性資料識別結果嗎?
支援。匯出敏感性資料的具體操作,請參見查看和匯出敏感性資料識別結果。
MongoDB的掃描結果能不能精確到具體欄位?
MongoDB是一個基於分布式檔案儲存體的資料庫,最小儲存單位是文檔,無法精確到欄位。
通過API查詢的敏感性資料,可以有執行個體名、庫名、表名、列名、風險等級嗎?
可以。
API | 說明 |
擷取到OSS 儲存物件所屬資產執行個體ID(InstanceId)、Bucket名稱(BucketName)、OSS 隱藏檔ID(FileId)、風險等級(RiskLevelId)。 | |
擷取資料資產執行個體(Id)和執行個體名稱(Name)。 | |
擷取資料資產表的資訊(Items),包含表名稱(Name)和風險等級(RiskLevelId)。 | |
DescribeDataObjectColumnDetailV2 - 查詢資料對象列詳情V2 | 擷取資料資產表的列資訊(Items),包含列名稱(ColumnName)和風險等級(RiskLevelId)。 |
Redis支援敏感性資料識別嗎?
不支援。當前僅對Redis提供基準檢查功能。具體內容,請參見安全基準檢查。
為什麼無法選擇通用識別模板?
通用識別模板是無需單獨配置的,如果識別任務中使用了內建識別模板,預設就會使用該模板。詳細說明,請參見查看和配置識別模板和通過識別任務掃描敏感性資料。
免費版服務中識別任務一直在等待中,為什嗎?
當前免費提供資料識別額度(儲存資料識別量為5 GB,資料庫識別表資料為100張)已不足,識別任務會無法執行,處於等待中。您可以購買資料資訊安全中心服務,繼續使用敏感性資料識別功能。具體操作,請參見購買資料資訊安全中心。