风险识别管理提供了多维度的关联分析及算法,智能化的分析技术帮助您通过风险识别规则,主动发现风险操作并预警,使用可视化方式进行一站式审计。DataWorks内置了多种场景的风险识别规则,您可以直接使用,也可以根据业务场景自定义规则。本文为您介绍如何创建并管理风险识别规则。
背景信息
- 易用性好
包含数据访问风险、数据导出风险、数据操作风险、其他风险类型等4类风险类型,并支持访问时间、敏感类型、访问量等多种维度组合识别各类风险。
- 精准度高
增加事件聚合统计比较,通过比较时间窗口内事件发生次数的阈值,更精准识别风险,减少大量误报。例如,在10分钟内发生相同事件3次以上才会命中风险。
- 精细化管理
支持配置高、中、低的风险级别,根据风险级别精细化管理风险。
- 规则灵活
内置了多种场景的常用规则,可以直接使用;同时,您也可以基于业务需求,自定义风险识别规则。详情请参见系统内置风险识别规则及新建风险识别规则。
使用限制
- 版本限制
- 仅DataWorks专业版及以上版本支持使用新版风险识别管理功能。
- 仅DataWorks企业版及以上版本支持内置风险识别规则。
- 新旧版本切换
- 旧版风险识别管理运行的时间将保留至2022年06月30日(请以界面实际显示的保留时间为准),保留时间到期后,已创建的风险识别规则及相关风险数据将自动清除,后续则只能使用新版风险识别管理功能。请您及时将需要使用的规则及风险数据导出备份,导出备份操作,详情请参见风险识别管理(旧版)。
- 新版风险识别管理在旧版保留时间段内会同时运行,您可以切换至新版使用。切换至新版后,旧版中已创建的风险识别规则及风险数据不会同步至新版,您需要在新版中重新创建相关规则。
- 告警方式
仅支持邮件和WebHook告警方式。
说明 DataWorks支持使用钉钉群、企业微信和飞书的WebHook地址。其中,仅企业版及以上版本支持推送报警信息至企业微信或飞书。
进入风险识别管理
系统内置风险识别规则
新版风险识别管理功能支持的内置规则如下表。
规则名称 | 规则类型 | 规则等级 | 规则配置 |
---|---|---|---|
非工作时间查询大数据量敏感数据 | 数据访问风险 | 低 | 如下时间段查询数据量大于10000时命中该规则。
|
相似SQL查询 | 数据访问风险 | 低 | 十分钟内查询相似SQL大于等于10次时,命中该规则。 |
批量查询大量敏感数据 | 数据访问风险 | 中 | 单次查询数据量大于10000时命中该规则。 |
批量导出大量敏感数据 | 数据导出风险 | 高 | 单次导出数据量大于10000时命中该规则。 |
非工作时间导出大数据量敏感数据 | 数据导出风险 | 高 | 如下时间段导出数据量大于10000时命中该规则。
|
新建风险识别规则
管理风险识别规则
在风险识别管理页面,您可以查看已创建的规则列表及规则详细信息。同时,也可以编辑修改目标规则,或批量操作多个规则。

区域 | 描述 |
---|---|
1 | 在该区域,您可以通过风险类型、风险等级、风险类型、是否内置、风险规则名称等条件进行筛选,查看目标条件的规则列表。
说明 通过名称搜索识别规则时支持模糊匹配,输入关键词即可搜索名称中包含关键词的风险识别规则。
|
2 | 在该区域,您可以执行如下操作:
|
3 | 在该区域,您可以批量操作目标规则。当前支持执行批量生效、批量失效、批量删除等批量操作,单击![]() 说明 DataWorks不支持删除系统内置的风险识别规则,仅支持删除失效状态的自定义规则。
|
新旧版风险识别规则配置项位置对比说明

序号 | 风险识别规则配置项 | 旧版配置位置 | 新版配置位置 |
---|---|---|---|
1 | 规则名称 | ||
2 | 规则责任人 | 默认规则的负责人为当前登录账号。 |
。
无该配置项,DataWorks自动记录规则责任人。 |
3 | 规则的描述信息 | ||
4 | 规则生效的引擎 | 选择条件选择数据位置时,所配置的数据引擎名称。 | 区域,|
5 | 规则生效的项目空间 | 选择条件选择数据位置时,所配置的项目空间名称。 | 区域,|
6 | 规则所属的分类 | 选择条件选择数据属性时,属性类别选择数据分类。 | 区域,|
7 | 规则所属的分级 | 选择条件选择数据属性时,属性类别选择数据分级。 | 区域,|
8 | 命中规则的敏感字段类型 | 选择条件选择数据属性时,属性类别选择敏感字段类型。 | 区域,|
9 | 规则所属的操作类型 | 取值包括:
|
取值包括:
|
10 | 规则生效的表 | 选择条件选择数据位置时,所配置的表名。 | 区域,|
11 | 规则生效的字段 | 选择条件选择数据位置时,所配置的字段名。 | 区域,|
12 | 用于配置哪些用户访问时会触发该规则。 | 选择条件选择用户信息时,所选择的信息类别。 | 区域,|
13 | 规则限制的操作数据量,当超出限制的数据量范围时命中规则。 | 在阈值比较下配置数据量范围。 | 区域,|
14 | 规则限制的访问时间范围,当访问操作与该时间范围匹配时命中规则。 | 间 | 选择条件选择操作时间时,所设置的时间配置。 | 区域,
15 | 触发规则后的告警方式 | 不支持 |