数据安全中心为不同行业(例如金融、能源、汽车行业)提供了识别敏感数据的解决方案,即内置的识别模板。使用识别模板可以检测您资产中是否存在敏感数据。您可以直接使用内置的识别模板,也可以基于内置模板自定义识别模板。本文介绍如何配置识别模板。

基本概念

在使用识别模板功能前,您需了解以下概念。

概念 说明
识别模板 识别模板是根据不同行业规范定制的敏感数据分类分级。通过识别模板可以检测敏感数据是否符合合规要求。
内置模板 为了帮助您快速完成数据识别配置,数据安全中心提供常见行业的内置模板,包括内置金融分类分级模板、内置阿里巴巴及蚂蚁集团数据安全分类分级模板、内置能源分类分级模板和内置车联网行业分类分级模板。您可以根据实际业务场景选择内置模板。内置模板只支持开启或关闭内置的识别模型,不支持自定义级别、识别特征和识别模型。更多信息,请参见支持识别的行业模板
自定义模板 如果内置模板无法满足需求,您可以通过复制内置模板创建自定义模板,并通过配置识别特征、识别模型创建符合需求的识别模板。最多支持复制七个自定义模板,模板总数不能超过十个。
主模板 敏感数据识别系统默认任务使用的模板。主模板只能有一个,控制台各个页面(例如数据识别页面)均会按照主模板检测出的数据进行展示。
活跃模板 激活过的识别模板。您可以在新建识别任务时选择活跃模板。最多可设置两个活跃模板。
识别特征 识别特征支持基于内容识别、元数据(Meta数据)识别以及词典识别的模式,结合正则表达式、包含、不包含等运算符进行敏感数据特征检测,从而形成识别规则。识别特征支持多个规则间通过“AND”、“OR”逻辑运算符进行关联,形成复杂识别规则,从而更加灵活的进行数据特征检测。数据安全中心针对常见敏感数据类型提供了内置识别特征,并支持自定义识别特征。关于内置数据特征的更多信息,请参见支持识别的原子模型
识别模型 识别模型基于一个或多个识别特征来进行定义,识别模型直接关联最终产生的识别结果,识别模型支持配置作用域,如支持仅针对具体的数据资产(数据库实例、表,OSS的Bucket、文件目录等)生效。数据安全中心提供了典型敏感数据的内置识别模型,并支持自定义识别模型。

前提条件

已完成数据资产授权,并为资产开启识别权限。具体操作,请参见数据资产授权

使用内置模板

如果从未配置过模板,默认为您使用的模板为内置阿里巴巴及蚂蚁集团数据安全分类分级模板。以下步骤介绍如何设置主用模板。

  1. 登录数据安全中心控制台
  2. 在左侧导航栏,选择数据梳理 > 识别配置
  3. 设置模板。
    支持以下操作:
    • 设置主模板

      模板管理页签,在需要设置为主模板的识别模板卡片单击主用,并在确认对话框,单击确定

      如果有识别任务正在使用当前主模板,不能切换主模板。您需要先终止所有使用当前主模板的识别任务,才可以切换主模板。操作完成后,该模板将被标记为主模板

    • 设置激活模板

      如果您需要在识别任务中使用其他模板,单击目标模板卡片处的激活,并在激活对话框,单击确定

      最多仅支持设置两个活跃模板。操作完成后,该模板将被标记为活跃模板

    • 打开或关闭模板中的模型

      内置模板中所有模型默认为开启状态。如果无需使用内置模板中的模型,您可以关闭该模型。在模板管理页签的模板详情子页签,打开或关闭目标识别模型状态开关,开启或关闭识别模型。

使用自定义模板

以下步骤介绍首次使用自定义模板的操作步骤。

一、创建自定义模板并管理识别特征

通过复制已有模板,可以创建自定义模板。您可以查看数据安全中心提供的内置识别特征。如果内置识别特征无法满足需求,您可以在自定义模板中添加新的识别特征。

  1. 登录数据安全中心控制台
  2. 在左侧导航栏,选择数据梳理 > 识别配置
  3. 模板管理页签,单击需要复制的模板卡片内的复制
    您可以根据企业的性质选择复制对应行业的模板。
    复制模板后,数据安全中心会自动将被复制的模板下的所有识别模型复制为自定义识别模型。
  4. 识别配置页面,单击识别特征页签。
  5. 在识别特征列表,查看内置识别特征。
    不支持编辑和删除内置识别特征。
  6. 可选:添加特征。
    如果内置识别特征无法满足需求,您可以自定义识别特征。
    1. 单击添加特征
    2. 添加特征面板,完成配置项配置,并单击确定
      • 特征名称:输入特征名称。
      • 匹配类型:可选以下类型。
        • 规则匹配:可配置一个特征规则,特征之间的关系可以为AND或OR;选中例外规则后,可以配置一个例外规则,例外规则特征之间的关系可以为AND或OR。检测敏感数据的原理为:本数据特征规则满足配置的特征规则且不满足配置的例外规则。
        • 字典匹配:输入关键词后按Enter。单个关键词长度为1~128个字符,可配置多个关键词。注意关键词内不能含有逗号,否则会认为是两个或多个按逗号分隔开的关键词。支持模糊匹配。

二、管理识别模型

  1. 识别配置页面,单击识别模型页签。
  2. 在识别模型列表,查看内置识别模型。
    仅支持开启或关闭内置识别模型,不支持编辑或删除。
  3. 可选:添加模型。
    如果内置识别模型无法满足需求,您可以自定义识别模型。
    1. 单击添加模型
    2. 添加模型面板,配置模型参数,并单击确定
      配置项类型 配置项 描述
      基本信息 模型名称 输入模型的名称。
      模型描述 输入模型的描述信息。
      数据分类 在下拉列表中依次选择新模型所属的模板、敏感信息分类和风险等级。

      此处仅支持选择自定义模板。
      模型规则配置 识别特征 在下拉列表中选择模型使用的识别特征。

      可选择内置识别特征和自定义识别特征。支持选择多个识别特征,多个识别特征之间以或关系生效。
      识别范围 在下拉列表中选择该模型生效的资产类型。

      支持选择多种资产,多种资产之间以或的关系生效。
      高级设置 如需配置更精确的敏感数据识别范围,您可以使用高级设置。具体步骤如下:
      1. 在下拉列表中选择需要配置的资产类型。

        只支持选择已在识别范围中选择的资产类型。如需配置多种资产类型,您可以单击添加资产

      2. 选择不同条件之间的生效关系,可选项:ANDOR。如需设置多个条件组,您可以单击添加组。添加的条件组是第一个条件组的子集。
      3. 配置识别条件。如需添加多个条件,可单击添加条件
      识别阈值配置 命中数 设置非结构化数据(即对象存储OSS)单个文件命中数的阈值。

      单个文件命中次数达到命中数时,判定满足此模型定义的敏感数据。
      命中率 设置结构化数据(例如RDS)的命中率。

      在200条采样数据中,命中模型的比例大于命中率时,判定满足此模型定义的敏感数据。

三、配置自定义模板

  1. 识别配置页面,单击模板管理页签。
  2. 在自定义模板卡片,单击主用激活将自定义模板设置为主模板或活跃模板。
  3. 单击模板详情子页签,将当前正在使用的模板选择为您自定义的模板。
  4. 查看当前模板下的识别模型,根据实际情况打开或关闭识别模型。
    所有识别模型默认为开启状态,您可以关闭无需使用的识别模型。

相关操作

  • 查看模板详情:在模板配置子页签下,单击目标模板卡片的详情,可查看该模板下的所有的敏感分类和识别模型。
  • 删除模板:仅支持删除自定义模板,不支持删除内置模板。在模板配置子页签下,单击目标模板卡片的删除。删除模板后,属于该模板的自定义识别模型也会被自动删除。
  • 管理敏感分类:

    仅支持设置自定义模板的敏感分类,不支持修改内置模板的敏感分类。在模板详情子页签下,您可以执行以下操作。

    • 新增敏感分类:单击敏感分类右侧的新增,即可新增敏感分类。
    • 编辑敏感分类:将鼠标移动至指定敏感分类名称处,单击编辑图标图标,即可修改敏感分类的名称。
    • 删除敏感分类:将鼠标移动至指定敏感分类名称处,单击删除图标图标,即可修改敏感分类的名称。
  • 管理模板下的识别模型:
    内置模板仅支持开启或关闭该模板下的识别模型。在自定义模板中可以编辑、添加、删除、批量移动识别模型。
    • 编辑识别模型:单击目标识别模型操作列的编辑
    • 添加识别模型:具体操作,请参见步骤3
    • 删除识别模型:单击目标识别模型操作列的删除可删除单个识别模型。选择多个识别模型,并单击批量删除,可删除多个模型。
    • 批量移动识别模型:选中需要移动的识别模型,选择移动的目标敏感分类,并单击确定
  • 级别配置:
    不支持在内置模板中新增或删除敏感级别,仅支持编辑敏感级别的描述信息。在自定义模板中,可以添加、编辑和删除敏感级别。
    • 添加分级:在级别配置子页签,单击添加分级,即可添加新的敏感数据分级。
    • 编辑分级:在级别配置子页签,单击目标分级操作列的编辑,即可修改该分级的描述信息。
    • 删除分级:仅支持删除S5及以上级别的分级。在级别配置子页签,单击目标分级操作列的删除,即可删除该分级。

后续步骤

在创建识别任务时使用识别模板。具体操作,请参见管理识别任务