OSS敏感数据保护是一款识别、分类、分级和保护存储空间(Bucket)中敏感数据的原生服务,可满足数据安全、个人信息保护等相关法规的合规要求。

背景信息

敏感数据主要包括个人隐私信息、密码、密钥、敏感图片等高价值数据,这些数据通常会以不同的格式存储在您的OSS Bucket中。企业拥有大量数据,但无法准确获知这些数据中是否包含敏感信息,以及敏感数据所在的位置。

OSS的敏感数据保护能从海量数据中快速发现和定位敏感数据,精准区分敏感数据与非敏感数据。通过内置算法规则和敏感数据识别规则,对OSS存储的海量数据进行扫描、分类和分级。您可以根据扫描结果做进一步的安全防护,例如通过加密设置访问权限等方式对数据进行安全审计或保护,从而满足数据安全、个人信息保护等相关法规的合规要求。

注意事项

  • 权限说明

    RAM用户要扫描指定Bucket中包含的敏感数据时,需授予oss:SddpCreateDataLimit权限。

    RAM用户要查看单个Bucket扫描结果时,需授予oss:SddpDescribeBucketInstances权限。

    RAM用户要查看所有Bucket扫描结果时,需授予oss:SddpDescribeAllBucketInstances权限。

    请通过脚本配置方式创建以上自定义权限策略,然后为指定的RAM用户授予相应权限。具体步骤,请参见为RAM用户授权自定义的权限策略

  • 支持地域

    当前仅支持在华东1(杭州)、华东2(上海)、华北2(北京)、华南1(深圳)、华北3(张家口)、华北5(呼和浩特)以及中国(香港)地域开启敏感数据保护。

  • 计费说明

    在OSS数据初次接入扫描时,敏感数据识别对已授权的数据源执行全量扫描并收取全量扫描费用。初次扫描任务完成后,敏感数据识别仅对该数据源中新增或修改的文件收取扫描费用。关于敏感数据保护费用的更多信息,请参见敏感数据保护费用

敏感数据分级分类

等级 数据分类
S1:低敏感
  • 企业敏感信息:统一社会信用代码、组织机构代码、营业执照号码
  • 个人敏感信息:SSN、SwiftCode、未校验的身份证号
  • 位置敏感信息:城市(中国内地)、省份(中国内地)
  • 通用敏感信息:日期
S2:中敏感
  • 企业敏感信息:税务登记证号码
  • 个人敏感信息:车辆识别代码、宗教、姓名(英文)、姓名(简体中文)、姓名(繁体中文)、军官证、电话号码(中国内地)、车牌号(中国内地)
  • 密钥敏感信息:密码、AccessKeyId
  • 设备敏感信息:URL链接、MEID、IMEI、IPv6地址、JDBC连接串、MAC地址、IP地址
  • 位置敏感信息:地址(中国内地)
S3:高敏感
  • 个人敏感信息:电话号码(美国)、信用卡、身份证(新加坡)、身份证(马来西亚)、身份证(中国香港)、港澳通行证、护照号(中国内地)、邮箱、手机号(中国内地)、银行卡、身份证(中国内地)
  • 密钥敏感信息:PEM证书、KEY私钥、AccessKey Secret
  • 位置敏感信息:GPS位置
  • 设备敏感信息:Linux-Passwd文件、Linux-Shadow文件
  • 敏感图片信息:身份证图片(中国内地)、护照图片(中国内地)
N/A:未知风险等级 未识别风险信息

使用OSS控制台

  1. 登录OSS管理控制台
  2. 单击Bucket列表,然后单击目标Bucket名称。
  3. 在左侧导航栏,选择数据安全 > 授权并开通
    初次开启敏感数据保护时,OSS会对指定Bucket内存储的数据进行全量扫描并收取扫描费用。完成初次扫描的时间因扫描的数据量会存在差异,请间隔一段时间后查看扫描结果。敏感数据扫描完成后,您可以查看各等级敏感数据的占比以及Top 5的敏感数据类型等信息。1

    当您对多个Bucket进行敏感数据扫描后,您可以通过单击左侧导航栏的数据安全,查看所有扫描过的Bucket数据,如下图所示:

    all

更多操作

操作 说明
查看敏感数据详情 如果您需要查看被命中文件的敏感数据类型、敏感等级、命中规则和命中数量等,您可以单击目标文件右侧的命中详情
搜索指定文件 如果您想快速查看与指定字段匹配的文件包含的敏感信息,您可以在搜索栏输入文件名称关键字,然后单击搜索
修改扫描设置 初次扫描任务完成后,如果您仅需要扫描该Bucket中新增或修改的数据,您可以单击扫描设置定义自动扫描周期和自动扫描开始时间。
关闭敏感数据扫描 如果您已完成敏感数据识别,且后续不需要进行增量数据的识别,您可以单击关闭扫描
保护敏感数据 对于扫描出的敏感数据,您可以结合等保V2.0的要求和业务的实际需要,通过加密设置访问权限等方式对数据进行安全审计或保护。