敏感识别

数据库自治服务 DAS(Database Autonomy Service)为不同行业(例如金融、能源、汽车行业)提供了识别数据库敏感数据的解决方案。使用行业内置识别模板可以检测您实例中是否存在敏感数据。您可以直接使用内置的识别模板,也可以基于内置模板自定义识别模板。本文介绍识别模板相关概念以及如何使用。

支持的地域和数据库

数据库

地域

  • RDS MySQL

  • PolarDB MySQL

  • RDS PostgreSQL

  • PolarDB-X 2.0

  • PolarDB PostgreSQL

华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华南1(深圳)、西南1(成都)和中国(香港)

PolarDB PostgreSQL版(兼容Oracle)

华东1(杭州)和马来西亚(吉隆坡)

模型与模板

image

什么是识别模板

识别模板是针对不同行业规范定制的敏感数据分类与分级的依据。通过识别模板,可以检测敏感数据是否符合安全合规要求。

什么是识别模型和识别特征

概念

说明

识别模型

识别模型基于一个或多个识别特征来进行定义,识别模型直接关联最终产生的识别结果,识别模型支持配置。

DAS提供了典型敏感数据的内置识别模型,并支持自定义识别模型。

识别特征

识别特征支持基于内容识别、元数据(Meta数据)识别以及词典识别的模式,结合正则表达式、包含、不包含等运算符进行敏感数据特征检测,从而形成识别规则。识别特征支持多个规则间通过AND、OR逻辑运算符进行关联,形成复杂识别规则,从而更加灵活地进行数据特征检测。

DAS针对常见敏感数据类型提供了内置识别特征,并支持自定义识别特征。

模板分类及任务规则

  • 识别任务是根据对接入数据库数据进行扫描并发现敏感数据,生成扫描结果,并对敏感数据进行分类分级。

  • 识别任务必须有已启用识别模板,已启用识别模板分为主用识别模板、活跃识别模板和通用识别模板。

  • 添加自定义识别任务时,仅支持选择主用识别模板(仅1个)和活跃识别模板(最多2个)。

模板类型

说明

内置识别模板

根据实际业务场景选择内置识别模板,DAS提供金融行业分类分级模板、内置云安全内部保障模板、电力行业分类分级模板、车联网分类分级模板和互联网行业分类分级模板。

自定义识别模板

如果内置识别模板无法满足需求,您可以添加总数不超过十个的自定义识别模板,通过配置识别特征、识别模型创建符合需求的识别模板。

模板角色

说明

主用识别模板

系统默认任务默认使用的模板。DAS默认为互联网行业分类分级模板。主用识别模板不支持关闭。

主用识别模板只能有一个,您可以选择一个活跃识别模板变更为主用识别模板。

DAS控制台识别结果均使用主用识别模板。

活跃识别模板

您可以启用内置识别模板或自定义识别模板作为活跃识别模板。最多可以启用两个活跃识别模板。

通用识别模板

根据中国国家标准委员会发布的个人信息安全规范GB/T 35273-2020制定的保护个人信息安全和隐私权的模板。

识别任务中只有使用了内置识别模板,才会默认使用该模板。

识别模板的敏感级别

DAS的敏感识别最高可有10个敏感等级(S1~S10),数字越大敏感等级越高。

  • 内置识别模板中无法新增或删除敏感级别,仅支持编辑描述信息。

  • 在自定义识模板中,可以添加、编辑和删除敏感级别。

管理识别模板与模型

模板管理

内置识别模板

  1. 登录DAS控制台

  2. 在左侧导航栏,选择安全中心 > 敏感识别 > 识别配置

    image

  3. 模板管理页签的模板配置页面下方的模板列表中,找到类型内置的识别模板。

  4. 单击状态列的开关imageimage图标,开启或关闭该模板的状态。

  5. 单击已启用识别模板的主用、停用开关,可切换主用模板、停用活跃模板。

    image

    说明

    如果从未配置过识别模板,默认开启的主用识别模板为互联网行业分类分级模板

自定义识别模板

新建

  1. 登录DAS控制台

  2. 在左侧导航栏,选择安全中心 > 敏感识别 > 识别配置

  3. 模板管理页签的模板配置页面,单击新建模板

    image

  4. 新建模板导航页面,设置基本信息(模板名称和模板描述),单击下一步

    image

  5. 模板节点配置下,单击添加分类,在弹出对话框中输入敏感数据的分类名称,单击确定

    • 单击已添加分类右侧的管理 image 图标,单击添加同级分类添加下级分类,新增对应的敏感数据分类。

      image

      说明

      重复此操作,可添加多个分类。

    • 重复以下操作,在已添加敏感数据分类下添加对应的识别模型。

      1. 单击已添加分类右侧的管理 image 图标,单击添加模型

      2. 在添加模型对话框中,选中目标识别模型前复选框,设置状态列图标为启用image,单击确定

        重要

        识别模板中识别模型启用后,识别模型才能在使用该识别模板的识别任务中生效。

        image

复制

  1. 登录DAS控制台

  2. 在左侧导航栏,选择安全中心 > 敏感识别 > 识别配置

  3. 模板管理页签的模板配置页面,找到内置识别模板或者自定义识别模板,单击操作列的复制

    image

  4. 在弹出框中修改模板名称备注,单击确认

    说明

    单击该模板对应操作列的编辑,您可以继续修改模板名称、模型分类和识别模型。

模型管理

  1. 登录DAS控制台

  2. 在左侧导航栏,选择安全中心 > 敏感识别 > 识别配置

  3. 单击识别模型页签,单击添加模型

  4. 添加模型面板,配置模型参数,然后单击确定

    配置项类型

    配置项

    描述

    基本信息

    模型名称

    模型的名称,不可重复。

    模型描述

    模型的描述信息。

    数据标签

    选择模型对应数据标签为个人敏感信息个人信息通用信息

    数据分类

    在下拉列表中依次关联新模型所属的识别模板、敏感信息分类和风险等级。

    此处仅支持关联自定义识别模板。

    模型规则配置

    识别特征

    在下拉列表中选择模型使用的识别特征。

    • 支持选择内置识别特征和自定义识别特征。

    • 支持选择多个识别特征,多个识别特征之间以或关系生效。

    识别范围

    在下拉列表中选择该模型生效的资产类型。默认为DAS已授权且可以正常连通的资产。

    支持选择多种资产类型,多种资产类型之间以或的关系生效。

    高级设置

    可选项。具体步骤如下:

    1. 在下拉列表中选择需要配置的资产类型。

    2. 选择不同条件之间的生效关系,可选项:ANDOR。如需设置多个条件组,您可以单击添加组。添加的条件组是第一个条件组的子集。

    3. 配置识别条件。如需添加多个条件,可单击添加条件

    识别阈值配置

    最小命中数(非结构化数据)

    设置非结构化数据(如NOSQL)单个文件命中识别特征数的最小阈值。

    单个文件命中识别特征个数达到最小命中数,即可判定该文件满足此模型定义的敏感数据。

    命中率(结构化数据)

    设置结构化数据(例如RDS)的命中率。

    200条采样数据中,命中模型的数据条数比例达到命中率时,判定对应数据满足此模型定义的敏感数据。

其他操作

  • 查看模板详情:单击列表中对应操作详情,可查看规则配置和识别阈值。

  • 删除识别模板:仅支持删除自定义识别模板,不支持删除内置识别模板。单击目标模板操作列的管理 image 图标,单击删除

  • 管理模型分类:仅支持设置自定义模板的模型分类,不支持修改内置模板的模型分类。单击目标模板操作编辑

  • 切换启用的识别模型:当前正在执行的识别任务不受影响,下次执行开始生效。

管理敏感数据识别

前提条件

已在实例列表完成目标资产授权

image

什么是识别任务

系统默认任务

数据库授权时,勾选默认敏感识别扫描任务,DAS会用主用识别模板为增量数据库创建一个默认扫描任务。

任务配置项

说明

识别模板

系统默认任务使用主用识别模板,不可修改。

说明

如果主用识别模板内置识别模板,任务还会同时用通用识别模板

扫描周期(默认)

如果实例授权时勾选默认敏感识别扫描任务,确认后会立即执行对应系统默认任务。

说明

可以配置系统默认任务的扫描周期,两次扫描至少间隔24小时。

扫描范围

对于已授权的实例、数据库、表名称

说明
  • 数据库首次扫描会全量扫描已授权的所有数据。

  • 非首次或重新扫描只扫描增量和修改部分。

如果您切换了主用识别模板,不会立即触发扫描。在下次系统默认任务执行时,才会启用新的识别模板进行扫描。

扫描限制

  • 结构化数据(RDS MySQL、RDS PostgreSQL、PolarDB等):采样时默认取表中的前200行数据,也可以手动修改(最大1000行),仅扫描采样数据中每个字段每行的前10 KB数据。

  • 对于较大的数据库(即表数量大于1000个),扫描速度为1000列/分钟。

扫描结果

识别模板的敏感级别N/A表示未识别到敏感数据。

自定义识别任务

您可以添加自定义识别任务,使用已启用识别模板扫描指定数据库表。如果需要使用的识别模板未启用,您需要先启用该识别模板。

  • 按照自定义的扫描范围、扫描周期,首次、重扫进行全量扫描,周期性扫描时对新增或存在修改的数据对象进行扫描。

  • 识别模板的敏感级别N/A表示未识别到敏感数据。

image

查看、新建、调整、管理、订正系统默认任务

查看系统默认任务

  1. 登录DAS控制台

  2. 在左侧导航栏,选择安全中心 > 敏感识别 > 任务管理

  3. 任务管理页面识别任务页签,单击系统默认任务

    image

  4. 识别任务监控页面,查看默认任务列表。

  5. 您可在系统默认任务的操作列执行以下操作。

    • 重扫:如果识别模型进行了升级、您更换了主用模板或数据库内容有变更,可以执行重扫操作,对全量数据进行扫描。

    • 暂停:如果数据库业务存在异常,单击操作列的暂停,暂时停止正在扫描的系统默认任务。

    • 终止:该功能是指终止系统默认任务下个周期的执行,如果系统默认任务正在扫描中,执行终止操作不会影响本次任务的执行,但后续该系统默认任务将不会在下个周期被执行。

    • 开启:该功能会重新开启已被终止的系统默认任务。

调整系统默认任务扫描设置

系统默认任务支持设置周期性扫描。建议您将扫描周期设置为与数据库内容更新的频率大致一致,以便及时发现数据库中的变化数据存在的敏感信息。可设置的最小的扫描周期为24小时。

识别任务监控页面,勾选相应任务,单击任务列表上方的扫描设置,配置周期及扫描时间。

image

重要
  • 为了将扫描对数据库的影响降到最低,建议您将扫描开始时间设置为业务低峰期。

  • 在扫描任务执行期间,如果CPU使用率、内存使用率存在异常突增。建议及时暂停或终止识别任务。您可以在任务管理页面,单击操作列的暂停终止,停止识别任务的扫描。

新建自定义识别任务

  1. 登录DAS控制台

  2. 在左侧导航栏,选择安全中心 > 敏感识别 > 任务管理

  3. 识别任务页签,选择需要创建识别任务的资产类型,单击新建识别任务

    image

  4. 新建识别任务面板,配置识别任务配置项,完成配置后单击确认

    配置项分类

    配置项

    描述

    识别范围

    结构化数据识别范围

    选择结构化数据(例如RDS、PolarDB)的扫描范围。可选项:

    • 全局扫描:扫描您的结构化数据资产。

    • 指定扫描:配置实例名数据库名扫描限制

      • 配置实例名和数据库名。如需添加多个实例,可单击添加识别范围

      • 配置扫描限制。默认扫描前200行,最大支持1000行。

    其他配置

    识别覆盖

    设置检测到的敏感数据曾经被订正过时的处理方式。可选项:

    • 跳过手工打标结果:保持原有的手工订正结果。推荐选择该方式。

    • 覆盖手工打标结果:使用新的识别结果覆盖手工订正的结果。

  5. 您可在自定义识别任务的操作列执行以下操作。

    • 重扫:如果识别模型进行了升级、您更换了主用模板或数据库内容有变更,可以执行重扫操作,对全量数据进行扫描。

    • 暂停:如果数据库业务存在异常,单击操作列的暂停,暂时停止正在扫描的系统默认任务。

    • 终止:该功能是指终止系统默认任务下个周期的执行,如果系统默认任务正在扫描中,执行终止操作不会影响本次任务的执行,但后续该系统默认任务将不会在下个周期被执行。

    • 开启:该功能会重新开启已被终止的系统默认任务。

管理自定义识别任务

自定义识别任务支持指定模板进行扫描。如果需要使用已启用模板(非主用)扫描指定数据库,您可以新建识别任务。

重要

系统最多支持5个活跃识别任务,其中每个周期性扫描任务将占用一个活跃任务名额,因此当您配置了5个周期性任务后,将无法再创建新的识别任务。

订正敏感数据命中的识别模型

执行恢复操作后,会恢复未订正前的识别模型。

  1. 登录DAS控制台

  2. 在左侧导航栏,选择安全中心 > 敏感识别 > 任务管理

  3. 任务管理页签,单击订正任务页签。

  4. 在左侧数据类型导航栏,单击需要订正的资产类型。

  5. 单击目标敏感数据操作列的订正恢复,根据页面提示,修改订正后模型,然后单击确定

    image

查看、导出、下载识别结果

敏感识别任务扫描完成后,可以在资产透视页面查看和导出结果。DAS支持每5分钟刷新查看扫描结果。

查看识别结果

  1. 登录DAS控制台

  2. 在左侧导航栏,选择安全中心 > 敏感识别 > 资产透视

  3. 资产类型页签,单击需要查看的数据类型。

    image.png

  4. 如果需要查看数据资产实例中敏感数据的详细信息,您可以单击操作列的表详情

  5. 在右侧详情面板,查看如下图所示的敏感数据统计信息。

    image

  6. 在敏感数据列表中,您可以单击操作列的列详情,查看每列数据命中敏感数据的规则详情。

    如果操作列存在订正入口,您可以订正敏感数据识别结果。

    image

导出识别结果

  1. 登录DAS控制台

  2. 在左侧导航栏,选择安全中心 > 敏感识别 > 任务管理 > 导出任务

  3. 单击新建导出任务。配置导出任务,然后单击确定

    1. 基本信息区域,输入任务名称并选择识别任务使用的模板。仅支持选择已启用模板。

    2. 导出维度区域,选择资产类型资产实例

      • 资产类型:选中全量引擎实例。

      • 资产实例:选中需要导出的引擎实例。

创建导出任务后,您可以在导出任务列表查看导出任务的状态。需要导出的数据量越大,导出需要的时间越长,请您耐心等待。

下载导出识别结果

等待导出状态已完成时,单击目标导出任务操作列的下载

image

重要

完成导出后,您需要在三天内下载导出的数据。超过三天导出任务会过期,您将无法下载导出的敏感数据。