Data Security Center：資產中心（新版）

步驟一：接入資產

1. 登入資料資訊安全中心控制台。

2. 在左側導覽列，選擇资产中心。

3. 根據需要接入的資產類型，單擊左側資產列表中的對應項。

   通用資產

   DSC支援自動同步大多數資料資產類型，若未找到目標資產，請手動單擊“資產同步”，隨後重新整理頁面。

   說明

   • 自動同步：您已完成服務關聯角色授權，系統已建立服務關聯角色 AliyunServiceRoleForSDDP，並為其附加了授權策略 AliyunServiceRolePolicyForSDDP。DSC將在每日零點通過該角色自動調用 OpenAPI，掃描並同步同一帳號下的雲上資產。

   • 手動同步：可手動單擊“資產同步”按鈕，立即執行資產同步操作。

   

   資產同步完成後，DSC 會在資產執行個體中添加名為 ali_sddp_group 的白名單分組，用於授權 DSC 訪問該資產下的資料庫資訊。該白名單包含 DSC 服務端的 IP 位址，具體地址因地區而異。

   ECS自建資料庫

   DSC 支援接入 ECS 執行個體或雲外資產中自建的資料庫。

   1. 登入資料庫，執行以下命令以建立使用者並授予 DSC 訪問該資料庫的許可權。請將命令中“允許的網段”替換為執行個體所在地區對應的IP段。以下樣本適用於 MySQL 8.0；若使用其他資料庫類型，需相應調整文法。

      CREATE USER '<使用者名稱>'@'<允許的網段>' IDENTIFIED BY '<密碼>';
      GRANT SELECT ON <資料庫名>.* TO '<使用者名稱>'@'<允許的網段>';

   2. 前往DSC资产中心控制台，若已開通Security Center企業版或旗艦版，可直接單擊同步资产完成資產同步；否則，需單擊新增自建资产並完成以下配置。

      配置項	說明
      數據庫類型	從支援的資料庫類型中進行選擇。
      服务器类型	支援接入ECS资产和云外资产。
      地域與實例ID（ECS资产）	選擇目標ECS執行個體的地區與執行個體ID。若找不到目標ECS執行個體，請單擊ECS资产同步進行資產同步。
      地域與實例名稱（云外资产）	選擇已與雲外網路打通的雲上VPC所在地區，並填寫一個便於識別的執行個體名稱。
      IP/域名與埠	填寫資產的IP地址與資料庫連接埠，支援添加多個。

   ADB-PG

   AnalyticDB PostgreSQL版不支援同步資產，需要手動單擊添加資產，並完成如下配置。

   配置項	說明
   所在區域	選擇執行個體所在的地區。
   執行個體名稱	通過執行個體名稱選擇該地區內的執行個體。
   資料庫名稱	配置需接入DSC的資料庫名稱。
   用户名	配置串連資料庫的帳號，並配置帳號許可權，請根據帳號在資料庫中實際具備的存取權限設定讀寫或只讀許可權。
   密码	配置串連資料庫的密碼。

資產支援開啟的功能

下表列出了支援接入DSC的資產類型及其對應支援開啟的功能。此外，部分地區的資產存在功能限制，完整的限制資訊，請參見支援的地區。

配置风险

• 功能介紹：動態檢測資料資產配置，識別阿里雲上資料庫、儲存及巨量資料資產在許可權管理、存取控制、加密傳輸和容災備份等方面的配置風險，並持續監控其配置安全性。

• 如何開啟：定位到目標資產，單擊其配置风险列的開啟功能。啟用後，可前往風險治理 > 配置风险頁面進行後續操作。具體資訊，請參見安全基準檢查。

數據審計

• 功能介紹：高效審計資料庫、OSS 等多種資料來源的日誌，通過內建900+高危操作規則，識別異常行為、資料泄露與SQL注入等風險。支援自訂規則、多維度日誌篩選及即時警示功能。

• 如何開啟：定位到目標資產，單擊其數據審計列的開啟功能。對於ECS自建資料庫，還需要配置網路並安裝Agent，具體操作，請參見安裝Agent。啟用後，可前往數據審計 > 云原生数据审计頁面進行後續操作。具體資訊，請參見雲原生資料審計。

检测响应

• 功能介紹：專註於資料泄露風險防控，可自動識別OSS檔案中是否包含使用者的AK、資料庫連接資訊等敏感內容。該服務還能檢測已泄露或異常AK對檔案的訪問行為，以及使用泄露資料庫帳號進行的異常登入活動。

• 如何開啟：定位到目標資產，單擊其检测响应列的開啟功能。啟用後，可前往数据检测响应 > 数据泄露頁面進行後續操作。具體資訊，請參見資料檢測響應。

分类分级

• 功能介紹：DSC為金融、能源、汽車等行業提供敏感性資料識別模板，用於識別資產中的敏感資訊，並支援對其位置、類型和敏感層級進行分類分級管理。

• 如何開啟：定位到目標資產，單擊其分类分级列的開啟功能，並在开启分类分级對話方塊，完成以下配置。

  通用資產

  配置項	說明
  开启方式	DSC提供以下三種方式用於串連資料資產以執行資料檢測任務，不同資產類型所支援的串連方式存在差異。 自动创建数据库账号：DSC在目標資料資產中自動建立一個以sddp_auto開頭的唯讀帳號，並通過該帳號串連資料庫執行資料識別任務。 說明 如您後續不再使用 DSC，系統將在 DSC 執行個體到期 15 天后自動清理該唯讀帳號。 手动输入账号密码：手動設定用於串連目標資料庫的帳號和密碼。 服务关联角色访问：DSC通過其服務關聯角色訪問目標資料資產。
  授权范围	選擇進行資料檢測的範圍，部分資產類型僅支援選擇整个数据源。 整个数据源。 在数据源列表管理授权范围：選擇授權範圍。
  自动创建系统默认任务开始扫描	選中此項後，DSC會立即建立預設掃描任務。 後續可以在分类分级 > 任務管理 > 識別任務頁簽中，單擊系統默認任務，查看或配置系統預設掃描任務。具體操作，請參見通過識別任務掃描敏感性資料。
  实例下新增数据库，自动连接（僅部分資料庫資產支援）	啟用此選項後，DSC在執行手動或自動資產同步時，若檢測到資料庫執行個體中存在新增資料庫，將自動建立串連。

  ECS自建資料庫

  配置資料庫名稱、數據庫賬號、数据库密码與数据库端口，最多可添加20個資料庫。

• 查看DSC串連狀態：開啟分類分級功能後，可以單擊開關按鈕右側的數字查看串連狀態。初始的串連狀態為連通性測試中，在此狀態下，DSC 每 30 秒執行一次連通性檢測：

  • 對於資料庫資產，驗證配置的資料庫帳號和密碼是否可正常登入；

  • 對於 OSS 資產，驗證指定的 Bucket 是否存在。

  若檢測成功（即資料庫可正常登入或 OSS Bucket 存在），串連狀態更新為已連接；若單次檢測失敗，則記錄一次失敗。若連續 10 次檢測均失敗，串連狀態將更新為連接失敗。

• 後續操作：可前往分类分级 > 資產透視頁面，查看已識別的敏感資訊，或前往分类分级 > 識別配置頁面，配置敏感資訊識別模板。更多資訊，請參見敏感性資料分類分級。

列加密

• 功能介紹：對資料庫中的特定列進行加密，防止非授權人員通過雲平台軟體或資料庫連接工具直接擷取敏感性資料明文，從而有效抵禦內外部安全威脅。

• 如何開啟：定位到目標資產，單擊其列加密列的開啟功能，並在加密配置對話方塊，完成以下配置。

  重要

  • 配置前提：執行列加密配置前，須啟用資料分類分級功能，並完成資料掃描與識別。

  • 詳細配置：本節僅說明在資產中心進行列加密配置時需填寫的參數，適用於快速部署情境。關於加密原理及完整配置說明，請參見列加密。

  配置項	說明
  資產類型與執行個體名稱	DSC 已預設定位至目標資產，無需手動調整。
  加密算法	選擇密碼編譯演算法。
  加密方式	支援使用本地密鑰或通過 KMS 密鑰（適用於 RDS MySQL）進行加密。
  明文权限账号	配置允許訪問資料明文的帳號；未配置的帳號在直接存取資料時，將返回密文。 重要 若您在開啟分类分级功能時，通過手动输入账号密码方式使DSC串連資料資產，請將該資料庫帳號設定為明文权限账号，以確保其具備讀取資料庫資料的許可權，從而對資料庫中的最新資料執行分類分級。
  配置加密列	選擇需加密的資料列。

• 後續操作：前往風險治理 > 列加密頁面，查看敏感列加密概覽，進行帳號許可權調整等操作。

图片脱敏

• 功能介紹：建立圖片脫敏任務，掃描目標Bucket中包含敏感資訊（例如社會安全號碼、車牌號和人臉）的圖片，通過灰色矩形條遮蓋的脫敏方式對圖片中敏感資訊進行脫敏。

• 如何開啟：定位到目標資產，單擊其图片脱敏列的開啟功能，並在开启图片脱敏對話方塊，完成以下配置。

  說明

  如需在圖片脫敏前識別並分類其中的敏感資訊，須為該 Bucket 開啟分类分级開關。

  配置項	說明
  任務名稱	輸入脫敏任務名稱。
  脱敏范围配置	配置需要脫敏的圖片範圍。DSC會全量掃描已選擇Bucket中的圖片： 如需脫敏Bucket中的所有符合條件圖片，則無需配置此參數。 如需脫敏Bucket中的指定圖片，請配置此參數，並繼續配置按前缀匹配或按后缀匹配，選擇Bucket下檔案路徑匹配方式。 例如，Bucket中包含滿足脫敏條件的圖片有example/dir01/test01.png、example/dir02/test02.jpg、testexample/testdir/testim.jpg和test.jpg。 匹配前缀：輸入首碼example，僅對命中的example/dir01/test01.png和example/dir02/test02.jpg進行脫敏。 匹配后缀：輸入尾碼jpg，僅對命中的test.jpg、testexample/testdir/testim.jpg和example/dir02/test02.jpg進行脫敏。
  啟動時間	立即执行：立即執行圖片掃描和脫敏。 周期执行：配置周期执行时间，DSC將按配置的周期，在淩晨的00:00:00，對Bucket中的增量圖片進行脫敏。如需立即執行，可以選中立即执行一次。
  图片类型	從支援脫敏的資訊專案中選擇，支援多選。
  脱敏方式	目前僅支援遮蓋。

• 後續操作：前往風險治理 > 图片脱敏頁面，查看脫敏任務詳情。更多資訊，請參見OSS圖片脫敏。

一鍵開啟

當需要為大量資產開啟功能時，可使用一鍵開啟功能進行大量操作，以提升配置效率。

如何開啟：定位到目標資產，單擊其操作列的一键开启，完成如下配置。

日常營運

查看資產概覽

在资产中心頁面右上方，可查看已開啟功能的執行個體數量及儲存容量使用方式。  

在左側資產列表中，單擊目標資產類型，頁面上方將顯示該類型資產的總數及功能開啟狀態。單擊“未開啟功能”下方的數字，可按此條件式篩選資產。

編輯已開啟的功能

• 分类分级：開啟分类分级功能後，部分資產支援在開關按鈕右側查看其DSC授權及串連狀態。

  單擊開關按鈕右側的數字，可在彈出面板中對目標資料庫（或 SLS LogStore）執行以下操作：

  • 給予DSC授權：勾選目標庫或LogStore後，單擊批量开启。若在開啟分类分级功能時，未選擇自动创建数据库账号，需在彈出的對話方塊輸入資料庫帳號與密碼，再單擊確定。

  • 取消DSC授權：勾選目標庫或LogStore後，單擊批量关闭，並在彈出的對話方塊中單擊確定。

  • 添加資料庫(僅限MongoDB)：單擊添加数据库。在彈出的對話方塊中輸入資料庫名稱、數據庫賬號和数据库密码，然後單擊確定。

  • 修改識別節點(僅限MongoDB)：DSC預設識別從節點，如需更改，請單擊识别节点列的，在编辑识别节点對話方塊中修改，並單擊確定。節點配置變更將在下一次識別任務中生效。

  

• 列加密：開啟列加密功能後，可以在開關按鈕右側查看該資料庫執行個體的已加密列情況。

  單擊開關按鈕右側的數字，可在彈出面板中，對加密算法、賬號權限等內容進行修改。具體資訊，請參見設定資料庫的列加密。

  

DSC訪問資料庫使用的IP段