全部产品
云市场

数据保护伞

更新时间:2018-12-17 12:20:02

DMS企业版 - 数据保护伞概述

数据安全是数据应用道路上的重要挑战之一,数据,作为企业的核心资产,大多数的核心信息是以结构化数据存储,包含个人身份证号、银行账号、电话、客户数据、医疗、交易、薪资等极其重要又敏感的信息。一旦发生数据篡改、盗取、滥用等安全事件,将给企业带来经济和声誉上的双重打击,造成的后果将不堪设想。为了实现有效的数据保护,企业需要了解如何才能全面地保护数据。数据保护伞有助于安全管理团队实现以下目标:

  • 智能发现、分类敏感数据并与DMS的字段安全等级有机地结合起来。
  • 了解谁在什么时候什么地点使用什么方式访问数据、观察异常并防止数据损失
  • 迅速分析数据使用模式,利用UEBA风险识别模型和蚂蚁大数据安全专家规则识别风险,以便审计并管理风险
  • 提供统一脱敏SDK,根据保护伞对敏感信息的定义和脱敏策略的制定,智能识别系统展示内容中存在的敏感信息并进行脱敏,达到保护敏感信息泄露的目标,并能够将企业内部的脱敏水位进行统一管理,在保障安全水位的同时极大地提升了安全管理效率。

用户指南

访问控制

DMS数据保护伞是提供给数据安全管理员进行管理的工具,开通和使用数据保护伞需要有DMS“安全管理员”权限。

按照以下步骤对账号进行赋权:

  • 1.使用具有“管理员”角色的账号登录DMS企业版
  • 2.访问 系统管理/用户管理 页面

    用户管理

  • 3.选择需要赋权的账号并双击(如果该账号不在DMS用户管理中,请参考DMS用户管理),在弹出的用户配置页面中的角色中加入“安全管理员”并点击“更新”按钮完成角色添加。

    安全管理员

  • 4.赋权用户刷新页面或者重新登录DMS企业版后,会在左侧导航栏看到数据保护伞的链接,说明角色生效,已经有访问数据保护伞的权限。

    数据保护伞

授权开通

第一次访问数据保护伞,需要进行授权开通方才可以正常使用,需要具有安全管理员角色的用户方才可以进行授权。

  • 点击左侧导航栏的数据保护伞,进入授权开通页面

    授权

  • 阅读完授权协议后,勾选上“授权数据保护伞使用您的DMS表结构信息,用于元数据识别扫描”,再点击“确认”按钮进行开通。

授权管理

  • 用户如果不需要使用DMS数据保护伞,可以在授权管理中取消授权,取消授权后数据保护伞将不再对该租户提供相关的服务,在再次授权之前无法访问数据保护伞。

    授权管理

  • 点击“取消授权”按钮后,再次确认后就可以完成取消授权

    取消授权

  • 取消授权后,用户将不能访问数据保护伞的功能页面,并被redirect到授权页面。

数据分类分级

  • 数据保护伞提供基于字段元数据自定义的自动分类分级,并能够将字段分类分级的识别结果更新DMS字段等级,从而跟DMS的字段权限管控对接起来。
  • 安全管理员首先进入DMS数据保护伞,进入 规则配置/数据识别规则
  • 点击右上角的新建规则
  • 输入需要识别数据的基本信息

    规则配置

  • 在第二步,可以为该信息进行分级,目前DMS支持内部,敏感和机密三种不同的密级

    字段配置

  • 选择“字段识别”,并根据匹配需要,可以选择精准匹配或者是模糊匹配,输入字段信息的关键字后,点击添加。

    字段配置2

  • 配置完成后,点击下一步,会显示该识别规则的整体信息,确定无误后,点击“保持并生效”后,该规则会自动生效。

    • 配置确认
  • 在数据识别规则页面,可以看到所有规则的清单,可以在规则的状态栏让其失效或者重新激活

    配置查看

  • 规则生效后,每个整点会进行一次基于元数据的识别,并将识别后的结果同步到DMS企业版内的字段等级,用于DMS内操作的字段级访问管控。

手动修正数据

  • 手动修正数据页面将所有被识别出来的字段展示出来供用户进行确认,如果用户认为某些字段识别不正确,可以对其进行剔除或者修改其类型。【注:与规则打标整点生效机制不同,手动修正效果会实时体现到DMS企业版内

    手动修正

数据发现

  • 数据发现是基于数据识别的结果按照不同的维度进行了统计汇总,从安全等级、instance等维度进行了统计,并将识别出来的字段明细在明细列表中展示出来。

    数据发现

CRON表达式介绍

CRON表达式范例:

  • */5 * * * * ? 每隔5秒执行一次
  • 0 */1 * * * ? 每隔1分钟执行一次
  • 0 0 23 * * ? 每天23点执行一次
  • 0 0 1 * * ? 每天凌晨1点执行一次
  • 0 0 1 1 * ? 每月1号凌晨1点执行一次
  • 0 0 23 L * ? 每月最后一天23点执行一次
  • 0 0 1 ? * L 每周星期天凌晨1点实行一次
  • 0 26,29,33 * * * ? 在26分、29分、33分执行一次
  • 0 0 0,13,18,21 * * ? 每天的0点、13点、18点、21点都执行一次

CRON 表达式

Cron表达式由7个部分组成,各部分用空格隔开,例如0 0 13 ? * WED(每星期三13:00 执行)Cron表达式的7个部分从左到右代表的含义如下Seconds Minutes Hours Day-of-Month Month Day-of-Week Year

CRON表达式可选的值

  • Seconds 秒:数字0-59
  • Minutes 分:数字0-59
  • Hours 时 :数字0-23
  • Day-of-Month 月份中的几号
  • Month 一年中的几月:可以用0-11 或用字符串 “JAN, FEB, MAR, APR, MAY, JUN, JUL, AUG, SEP, OCT, NOV,DEC” 表示
  • Day-of-Week 每周:数字1-7(1= 星期日),或用字符口串“SUN, MON, TUE, WED, THU, FRI, SAT”
表达式部分 允许的值 允许的特殊字符
0-59 , - * /
0-59 , - * /
小时 0-23 , - * /
1-31 , - * ? / L W C
1-12 or JAN-DEC , - * /
周几 1-7 or SUN-SAT , - * ? / L C #
年 (可选字段) 不填写 或者 1970-2099 , - * /

CRON中的符号

  • * :代表整个时间段.
  • / :表示每多长时间执行一次
  • 0/15表示每隔15分钟执行一次,“0”表示为从“0”分开始;
  • 3/20表示每隔20分钟执行一次,“3”表示从第3分钟开始执行
  • ? :表示每月的某一天,或第几周的某一天
  • L :“6L”表示“每月的最后一个星期五”
  • W:表示为最近工作日, 如“15W”放在每月(day-of-month)字段上表示为“到本月15日最近的工作日”
  • #:是用来指定“的”每月第n个工作日,”6#3”或者”FRI#3”:在每周(day-of-week)中表示“每月第三个星期五”
  • 问号(?)就是用来对日期和星期字段做互斥的,问号(?)的作用是指明该字段‘没有特定的值’.
  • 星号(*)和其它值,比如数字,都是给该字段指明特定的值,而星号(*)代表所有,在天时表示每一天。
  • “?”字符:表示不确定的值
  • “,”字符:指定数个值
  • “-”字符:指定一个值的范围
  • “/”字符:指定一个值的增加幅度。n/m表示从n开始,每次增加m
  • “L”字符:用在日表示一个月中的最后一天,用在周表示该月最后一个星期X
  • “W”字符:指定离给定日期最近的工作日(周一到周五)
  • “#”字符:表示该月第几个周X。6#3表示该月第3个周五