数据库自治服务 DAS(Database Autonomy Service)为不同行业(例如金融、能源、汽车行业)提供了识别数据库敏感数据的解决方案。使用行业内置识别模板可以检测您实例中是否存在敏感数据。您可以直接使用内置的识别模板,也可以基于内置模板自定义识别模板。本文介绍识别模板相关概念以及如何使用。
支持的地域和数据库
数据库 | 地域 |
| 华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华南1(深圳)、西南1(成都)和中国(香港) |
PolarDB PostgreSQL版(兼容Oracle) | 华东1(杭州)和马来西亚(吉隆坡) |
模型与模板
什么是识别模板
识别模板是针对不同行业规范定制的敏感数据分类与分级的依据。通过识别模板,可以检测敏感数据是否符合安全合规要求。
什么是识别模型和识别特征
概念 | 说明 |
识别模型 | 识别模型基于一个或多个识别特征来进行定义,识别模型直接关联最终产生的识别结果,识别模型支持配置。 DAS提供了典型敏感数据的内置识别模型,并支持自定义识别模型。 |
识别特征 | 识别特征支持基于内容识别、元数据(Meta数据)识别以及词典识别的模式,结合正则表达式、包含、不包含等运算符进行敏感数据特征检测,从而形成识别规则。识别特征支持多个规则间通过AND、OR逻辑运算符进行关联,形成复杂识别规则,从而更加灵活地进行数据特征检测。 DAS针对常见敏感数据类型提供了内置识别特征,并支持自定义识别特征。 |
模板分类及任务规则
识别任务是根据对接入数据库数据进行扫描并发现敏感数据,生成扫描结果,并对敏感数据进行分类分级。
识别任务必须有已启用识别模板,已启用识别模板分为主用识别模板、活跃识别模板和通用识别模板。
添加自定义识别任务时,仅支持选择主用识别模板(仅1个)和活跃识别模板(最多2个)。
模板类型 | 说明 |
内置识别模板 | 根据实际业务场景选择内置识别模板,DAS提供金融行业分类分级模板、内置云安全内部保障模板、电力行业分类分级模板、车联网分类分级模板和互联网行业分类分级模板。 |
自定义识别模板 | 如果内置识别模板无法满足需求,您可以添加总数不超过十个的自定义识别模板,通过配置识别特征、识别模型创建符合需求的识别模板。 |
模板角色 | 说明 |
主用识别模板 | 系统默认任务默认使用的模板。DAS默认为互联网行业分类分级模板。主用识别模板不支持关闭。 主用识别模板只能有一个,您可以选择一个活跃识别模板变更为主用识别模板。 DAS控制台识别结果均使用主用识别模板。 |
活跃识别模板 | 您可以启用内置识别模板或自定义识别模板作为活跃识别模板。最多可以启用两个活跃识别模板。 |
通用识别模板 | 根据中国国家标准委员会发布的个人信息安全规范 识别任务中只有使用了内置识别模板,才会默认使用该模板。 |
识别模板的敏感级别
DAS的敏感识别最高可有10个敏感等级(S1~S10),数字越大敏感等级越高。
内置识别模板中无法新增或删除敏感级别,仅支持编辑描述信息。
在自定义识模板中,可以添加、编辑和删除敏感级别。
管理识别模板与模型
模板管理
内置识别模板
登录DAS控制台。
在左侧导航栏,选择
。在模板管理页签的模板配置页面下方的模板列表中,找到类型为内置的识别模板。
单击状态列的开关
或
图标,开启或关闭该模板的状态。
单击已启用识别模板的主用、停用开关,可切换主用模板、停用活跃模板。
说明如果从未配置过识别模板,默认开启的主用识别模板为互联网行业分类分级模板。
自定义识别模板
新建
登录DAS控制台。
在左侧导航栏,选择
。在模板管理页签的模板配置页面,单击新建模板。
在新建模板导航页面,设置基本信息(模板名称和模板描述),单击下一步。
在模板节点配置下,单击添加分类,在弹出对话框中输入敏感数据的分类名称,单击确定。
单击已添加分类右侧的管理
图标,单击添加同级分类或添加下级分类,新增对应的敏感数据分类。
说明重复此操作,可添加多个分类。
重复以下操作,在已添加敏感数据分类下添加对应的识别模型。
单击已添加分类右侧的管理
图标,单击添加模型。
在添加模型对话框中,选中目标识别模型前复选框,设置状态列图标为启用
,单击确定。
重要识别模板中识别模型启用后,识别模型才能在使用该识别模板的识别任务中生效。
复制
登录DAS控制台。
在左侧导航栏,选择
。在模板管理页签的模板配置页面,找到内置识别模板或者自定义识别模板,单击操作列的复制。
在弹出框中修改模板名称和备注,单击确认。
说明单击该模板对应操作列的编辑,您可以继续修改模板名称、模型分类和识别模型。
模型管理
登录DAS控制台。
在左侧导航栏,选择
。单击识别模型页签,单击添加模型。
在添加模型面板,配置模型参数,然后单击确定。
配置项类型
配置项
描述
基本信息
模型名称
模型的名称,不可重复。
模型描述
模型的描述信息。
数据标签
选择模型对应数据标签为个人敏感信息、个人信息、通用信息。
数据分类
在下拉列表中依次关联新模型所属的识别模板、敏感信息分类和风险等级。
此处仅支持关联自定义识别模板。
模型规则配置
识别特征
在下拉列表中选择模型使用的识别特征。
支持选择内置识别特征和自定义识别特征。
支持选择多个识别特征,多个识别特征之间以或关系生效。
识别范围
在下拉列表中选择该模型生效的资产类型。默认为DAS已授权且可以正常连通的资产。
支持选择多种资产类型,多种资产类型之间以或的关系生效。
高级设置
可选项。具体步骤如下:
在下拉列表中选择需要配置的资产类型。
选择不同条件之间的生效关系,可选项:AND、OR。如需设置多个条件组,您可以单击添加组。添加的条件组是第一个条件组的子集。
配置识别条件。如需添加多个条件,可单击添加条件。
识别阈值配置
最小命中数(非结构化数据)
设置非结构化数据(如NOSQL)单个文件命中识别特征数的最小阈值。
单个文件命中识别特征个数达到最小命中数,即可判定该文件满足此模型定义的敏感数据。
命中率(结构化数据)
设置结构化数据(例如RDS)的命中率。
在200条采样数据中,命中模型的数据条数比例达到命中率时,判定对应数据满足此模型定义的敏感数据。
其他操作
查看模板详情:单击列表中对应操作列详情,可查看规则配置和识别阈值。
删除识别模板:仅支持删除自定义识别模板,不支持删除内置识别模板。单击目标模板操作列的管理
图标,单击删除。
管理模型分类:仅支持设置自定义模板的模型分类,不支持修改内置模板的模型分类。单击目标模板操作列编辑。
切换启用的识别模型:当前正在执行的识别任务不受影响,下次执行开始生效。
管理敏感数据识别
前提条件
什么是识别任务
系统默认任务
数据库授权时,勾选默认敏感识别扫描任务,DAS会用主用识别模板为增量数据库创建一个默认扫描任务。
任务配置项 | 说明 |
识别模板 | 系统默认任务使用主用识别模板,不可修改。 说明 如果主用识别模板是内置识别模板,任务还会同时用通用识别模板。 |
扫描周期(默认) | 如果实例授权时勾选默认敏感识别扫描任务,确认后会立即执行对应系统默认任务。 说明 可以配置系统默认任务的扫描周期,两次扫描至少间隔24小时。 |
扫描范围 | 对于已授权的实例、数据库、表名称: 说明
如果您切换了主用识别模板,不会立即触发扫描。在下次系统默认任务执行时,才会启用新的识别模板进行扫描。 |
扫描限制 |
|
扫描结果 | 识别模板的敏感级别, |
自定义识别任务
您可以添加自定义识别任务,使用已启用识别模板扫描指定数据库表。如果需要使用的识别模板未启用,您需要先启用该识别模板。
按照自定义的扫描范围、扫描周期,首次、重扫进行全量扫描,周期性扫描时对新增或存在修改的数据对象进行扫描。
识别模板的敏感级别,
N/A
表示未识别到敏感数据。
查看、新建、调整、管理、订正系统默认任务
查看系统默认任务
登录DAS控制台。
在左侧导航栏,选择
。在任务管理页面识别任务页签,单击系统默认任务。
在识别任务监控页面,查看默认任务列表。
您可在系统默认任务的操作列执行以下操作。
重扫:如果识别模型进行了升级、您更换了主用模板或数据库内容有变更,可以执行重扫操作,对全量数据进行扫描。
暂停:如果数据库业务存在异常,单击操作列的暂停,暂时停止正在扫描的系统默认任务。
终止:该功能是指终止系统默认任务下个周期的执行,如果系统默认任务正在扫描中,执行终止操作不会影响本次任务的执行,但后续该系统默认任务将不会在下个周期被执行。
开启:该功能会重新开启已被终止的系统默认任务。
调整系统默认任务扫描设置
系统默认任务支持设置周期性扫描。建议您将扫描周期设置为与数据库内容更新的频率大致一致,以便及时发现数据库中的变化数据存在的敏感信息。可设置的最小的扫描周期为24小时。
在识别任务监控页面,勾选相应任务,单击任务列表上方的扫描设置,配置周期及扫描时间。
为了将扫描对数据库的影响降到最低,建议您将扫描开始时间设置为业务低峰期。
在扫描任务执行期间,如果CPU使用率、内存使用率存在异常突增。建议及时暂停或终止识别任务。您可以在任务管理页面,单击操作列的暂停或终止,停止识别任务的扫描。
新建自定义识别任务
登录DAS控制台。
在左侧导航栏,选择
。在识别任务页签,选择需要创建识别任务的资产类型,单击新建识别任务。
在新建识别任务面板,配置识别任务配置项,完成配置后单击确认。
配置项分类
配置项
描述
识别范围
结构化数据识别范围
选择结构化数据(例如RDS、PolarDB)的扫描范围。可选项:
全局扫描:扫描您的结构化数据资产。
指定扫描:配置实例名、数据库名和扫描限制。
配置实例名和数据库名。如需添加多个实例,可单击添加识别范围。
配置扫描限制。默认扫描前200行,最大支持1000行。
其他配置
识别覆盖
设置检测到的敏感数据曾经被订正过时的处理方式。可选项:
跳过手工打标结果:保持原有的手工订正结果。推荐选择该方式。
覆盖手工打标结果:使用新的识别结果覆盖手工订正的结果。
您可在自定义识别任务的操作列执行以下操作。
重扫:如果识别模型进行了升级、您更换了主用模板或数据库内容有变更,可以执行重扫操作,对全量数据进行扫描。
暂停:如果数据库业务存在异常,单击操作列的暂停,暂时停止正在扫描的系统默认任务。
终止:该功能是指终止系统默认任务下个周期的执行,如果系统默认任务正在扫描中,执行终止操作不会影响本次任务的执行,但后续该系统默认任务将不会在下个周期被执行。
开启:该功能会重新开启已被终止的系统默认任务。
管理自定义识别任务
自定义识别任务支持指定模板进行扫描。如果需要使用已启用模板(非主用)扫描指定数据库,您可以新建识别任务。
系统最多支持5个活跃识别任务,其中每个周期性扫描任务将占用一个活跃任务名额,因此当您配置了5个周期性任务后,将无法再创建新的识别任务。
订正敏感数据命中的识别模型
执行恢复操作后,会恢复未订正前的识别模型。
登录DAS控制台。
在左侧导航栏,选择
。在
页签,单击订正任务页签。在左侧数据类型导航栏,单击需要订正的资产类型。
单击目标敏感数据操作列的订正或恢复,根据页面提示,修改订正后模型,然后单击确定。
查看、导出、下载识别结果
敏感识别任务扫描完成后,可以在资产透视页面查看和导出结果。DAS支持每5分钟刷新查看扫描结果。
查看识别结果
登录DAS控制台。
在左侧导航栏,选择
。在资产类型页签,单击需要查看的数据类型。
如果需要查看数据资产实例中敏感数据的详细信息,您可以单击操作列的表详情。
在右侧详情面板,查看如下图所示的敏感数据统计信息。
在敏感数据列表中,您可以单击操作列的列详情,查看每列数据命中敏感数据的规则详情。
如果操作列存在订正入口,您可以订正敏感数据识别结果。
导出识别结果
登录DAS控制台。
在左侧导航栏,选择
。单击新建导出任务。配置导出任务,然后单击确定。
在基本信息区域,输入任务名称并选择识别任务使用的模板。仅支持选择已启用模板。
在导出维度区域,选择资产类型或资产实例。
资产类型:选中全量引擎实例。
资产实例:选中需要导出的引擎实例。
创建导出任务后,您可以在导出任务列表查看导出任务的状态。需要导出的数据量越大,导出需要的时间越长,请您耐心等待。
下载导出识别结果
等待导出状态为已完成时,单击目标导出任务操作列的下载。
完成导出后,您需要在三天内下载导出的数据。超过三天导出任务会过期,您将无法下载导出的敏感数据。