使用风险识别管理（新版）配置风险识别规则-大数据开发治理平台 DataWorks-阿里云-大数据开发治理平台 DataWorks(DataWorks)-阿里云帮助中心

风险识别管理提供了多维度的关联分析及算法，智能化的分析技术帮助您通过风险识别规则，主动发现风险操作并预警，使用可视化方式进行一站式审计。DataWorks内置了多种场景的风险识别规则，您可以直接使用，也可以根据业务场景自定义规则。本文为您介绍如何创建并管理风险识别规则。

背景信息

数据输入DataWorks后会经过数据保护伞进行过滤处理，DataWorks为解决各类场景的敏感数据识别问题，为您提供了功能更加全面的风险识别管理功能。具体如下：

易用性好
包含数据访问风险、数据导出风险、数据操作风险、其他风险类型等4类风险类型，并支持访问时间、敏感类型、访问量等多种维度组合识别各类风险。
精准度高
增加事件聚合统计比较，通过比较时间窗口内事件发生次数的阈值，更精准识别风险，减少大量误报。例如，在10分钟内发生相同事件3次以上才会命中风险。
精细化管理
支持配置高、中、低的风险级别，根据风险级别精细化管理风险。
规则灵活
内置了多种场景的常用规则，可以直接使用；同时，您也可以基于业务需求，自定义风险识别规则。详情请参见系统内置风险识别规则及新建风险识别规则。

使用限制

版本限制
- 仅DataWorks专业版及以上版本支持使用风险识别管理功能。
- 仅DataWorks企业版及以上版本支持内置风险识别规则。
告警方式
仅支持邮件和WebHook告警方式。
说明
DataWorks支持使用钉钉群、企业微信和飞书的WebHook地址。其中，仅企业版及以上版本支持推送报警信息至企业微信或飞书。

进入风险识别管理

进入数据保护伞。
1. 登录DataWorks控制台，切换至目标地域后，单击左侧导航栏的数据治理 > 安全中心，在右侧页面中单击进入安全中心。
2. 单击左侧导航栏的数据使用安全 > 敏感数据管理，单击立即体验，进入数据保护伞。
  说明
  - 若阿里云主账号已授权，则直接进入数据保护伞的首页。
  - 若阿里云主账号未授权，则进入数据保护伞的授权页面。进入数据使用安全 > 敏感数据管理，在页面弹窗内，首次需选择数据保护伞，授权后才可使用保护伞的相关功能。
进入风险识别管理。
在数据保护伞页面的左侧导航栏，单击规则配置 > 风险识别管理，进入风险识别管理页面，使用风险识别管理功能创建并管理风险识别规则。
风险识别管理内置了多种场景的常用规则，可以直接使用；同时，您也可以基于业务需求，自定义风险识别规则。详情请参见系统内置风险识别规则及新建风险识别规则。

系统内置风险识别规则

风险识别管理功能支持的内置规则如下表。

规则名称	规则类型	规则等级	规则配置
非工作时间查询大数据量敏感数据	数据访问风险	低	如下时间段查询数据量大于10,000时命中该规则。周一至周五：`19:00～24:00`。周六至周日：`00:00～24:00`。
相似SQL查询	数据访问风险	低	十分钟内查询相似SQL大于等于5次时，命中该规则。
批量查询大量敏感数据	数据访问风险	中	单次查询数据量大于10000时命中该规则。
批量导出大量敏感数据	数据导出风险	高	单次导出数据量大于10000时命中该规则。
非工作时间导出大数据量敏感数据	数据导出风险	高	如下时间段导出数据量大于10000时命中该规则。周一至周五：`22:00～24:00`。周六至周日：`00:00～24:00`。

新建风险识别规则

新建规则的规划和准备工作。

您可以基于实际场景，选择从数据位置、数据属性、用户信息、操作时间等维度识别风险数据，配置更精细的风险识别条件。当使用数据属性及用户信息的不同细分类别配置风险识别条件时，需要进行如下准备工作。

风险识别维度	细分类别	描述
数据属性	数据分级	识别指定级别的风险数据，您需要提前定义数据的分级，详情请参见配置敏感数据分类分级。
	数据分类	识别指定类别的风险数据，您需要提前定义数据的类别，详情请参见配置数据识别规则并执行识别任务。
	敏感字段类型	识别指定敏感字段的风险数据，您需要提前定义敏感字段类型，详情请参见配置数据识别规则并执行识别任务。
用户信息	用户组	识别当前登录账号下指定用户组的风险数据，您需要提前配置用户组，详情请参见配置用户组。
用户信息	RAM角色	识别当前登录账号下RAM用户的风险数据，您需要提前在当前阿里云账号下添加RAM用户，详情请参见创建RAM用户。

在风险识别管理页面右上角，单击+风险识别规则。

在新建风险识别规则对话框配置规则信息。

说明

当前仅支持新建统计关联规则。统计关联规则用于对单一事件进行聚合统计和阈值比较，当事件数量超过设置的阈值时，则命中规则。例如，设置的规则为低权限用户在非工作时间访问敏感数据超过1万条。

配置规则基本信息。

参数	描述
（必填）规则名称	新建的风险识别规则名称。名称长度为1~30字符，并且不能包含特殊字符。
（必填）规则类型	风险识别规则的类型，取值如下：数据访问风险：访问数据时可能存在风险。数据导出风险：导出数据时可能存在风险。数据操作风险：创建、修改、删除数据时可能存在风险。其他：其他类型。
（必填）规则等级	风险识别规则的级别。包含低、中、高等级。您可以根据实际需求，将识别重要数据信息的规则设置为高等级。
（选填）描述信息	风险识别规则的描述信息。长度为1~100字符。

单击下一步。

配置风险识别条件及阈值。

配置风险识别的条件。

DataWorks支持设置从数据位置、数据属性、用户信息、操作时间等维度识别风险数据，帮助您基于实际场景配置更精细的风险识别条件。

说明

当前最多支持添加10个条件。单击所选维度中的+添加比较关系即可添加多个识别条件，并且添加的多个条件逻辑关系为且。

数据位置

用于设置识别风险数据的位置范围，可以精确到字段。

参数	描述	是否必配
是否过滤所选位置	选择是否过滤所选位置的风险数据。取值如下： ≠：表示过滤目标位置，即配置的风险识别规则不会识别所选位置中的风险数据。 =：表示仅识别目标位置，即配置的风险识别规则仅识别所选位置中的风险数据。	是
数据引擎名称	选择识别规则限定的引擎范围。说明当前仅支持识别MaxCompute引擎中的风险数据。每条比较关系只能选择一个引擎，如果您需要限定多个引擎范围，则请单击+添加比较关系配置多条风险识别条件。	是
项目空间名称	选择识别规则限定的目标项目空间。项目空间名称需要配置为所选引擎中的项目空间，您可以在下拉列表选择，也可以输入项目空间名称进行搜索。说明下拉列表最多显示100个项目空间名称。名称搜索支持模糊匹配，即输入关键词，即可搜索到名称包含关键词的项目。每条比较关系只能选择一个项目空间，如果您需要限定多个项目空间范围，则请单击+添加比较关系配置多条风险识别条件。	是
表名	输入识别规则限定的目标表。您可以输入单个或多个表名称，多个表名称之间使用英文逗号（,）分隔。输入表名称的说明如下：单个表名不超过30个字符，输入的表名整体不超过100字符。支持使用``通配符。例如，`name`表示识别所有名称为`name`后缀的表数据。	否。不配置时，默认识别所选项目空间中所有表的风险数据。
字段名	输入识别规则限定的目标字段。您可以输入单个或多个字段名称，多个字段名称之间使用英文逗号（,）分隔。输入字段名称的说明如下：单个字段名不超过30个字符，输入的字段名整体不超过100字符。支持使用``通配符。例如，`name`表示识别所有名称为`name`后缀的字段数据。	否。不配置默认识别所有表字段的风险数据。

数据属性

用于筛选识别风险数据的属性范围。

参数

描述

属性

您可以根据业务需求选择识别风险数据的属性类别。当前支持的属性类别如下：

数据分级：用于指定识别哪个级别的风险数据。您需要提前定义数据的分级，详情请参见配置敏感数据分类分级。
数据分类：用于指定识别哪个类别的风险数据。您需要提前定义数据的类别，详情请参见配置数据识别规则并执行识别任务。
敏感字段类型：用于指定识别哪类敏感字段的风险数据。您需要提前定义敏感字段类型，详情请参见配置数据识别规则并执行识别任务。

是否过滤所选属性

选择是否过滤所选属性的风险数据。取值如下：

≠：表示过滤目标属性，即配置的风险识别规则不会识别所选属性中的风险数据。
=：表示仅识别目标属性，即配置的风险识别规则仅识别所选属性中的风险数据。

用户信息

用于筛选识别风险数据的用户信息范围。

参数

描述

信息类别

选择识别风险数据的用户信息类别，取值如下：

用户组：当前登录账号下的用户组名称。您需要提前配置用户组，详情请参见配置用户组。
RAM角色：当前登录账号下的RAM用户。您需要提前在当前阿里云账号下添加RAM用户，详情请参见创建RAM用户。
用户名称：当前登录用户。

是否过滤所选用户信息

≠：表示过滤目标用户信息，即配置的风险识别规则不会识别所选用户信息中的风险数据。
=：表示仅识别目标用户信息，即配置的风险识别规则仅识别所选用户信息中的风险数据。

操作时间

用于筛选识别风险数据的操作时间范围。

参数	描述
选择时间范围	单击目标星期及小时，即可选择所需的时间范围。用户可以选择周一至周日的任意时间，精确到小时。可添加多条时间范围，添加的多条时间范围为互斥关系，即在条件1内选择周一，在条件2则无法选择周一。
是否过滤所选时间	≠：表示过滤目标操作时间，即配置的风险识别规则不会识别所选操作时间中的风险数据。 =：表示仅识别目标操作时间，即配置的风险识别规则仅识别所选操作时间中的风险数据。

配置阈值。

DataWorks支持事件聚合统计，您也可以选择通过比较时间窗口内事件发生次数的阈值识别风险数据。单击+添加阈值比较 即可配置多个风险识别阈值条件。

参数

描述

阈值类别

数据量：通过操作的数据量大小识别风险数据。当操作的数据量超过设置的阈值时，则此次操作命中风险。数据量取值为1至1000万的整数，单位为条。默认取值为1。
发生次数：通过指定时间范围单一事件发生的次数识别风险数据。当在指定时间范围内，某单一事件的发生次数超过设置的阈值时，则命中风险。发生次数取值为1至10000的整数，单位为次。默认取值为10。
说明
DataWorks自动帮您归类识别单一事件。

时间窗口

事件发生次数限定的时间范围，默认为10分钟。取值如下：

分钟：取值范围为1~59。
小时：取值范围为1~23。
天：取值范围为1~7。

说明

仅当阈值类别取值为发生次数时，需要配置该参数。

单击下一步。
配置告警方式。
在识别到数据风险后，您可以根据配置的告警方式，及时接收到告警信息，以便对风险进行相应的处理。支持您选择邮件和webHook的告警方式。
说明
选择告警方式前请确保已在系统配置中完成邮箱及webHook的相关配置。
单击保存，规则创建完成。
创建的自定义规则默认不生效，您需要在风险识别规则页面单击目标规则的重新生效，手动使规则生效。

管理风险识别规则

在风险识别管理页面，您可以查看已创建的规则列表及规则详细信息。同时，也可以编辑目标规则，

区域	描述
1	在该区域，您可以通过风险类型、风险等级、是否内置、风险规则名称等条件进行筛选，查看目标条件的规则列表。说明通过名称搜索识别规则时支持模糊匹配，输入关键词即可搜索名称中包含关键词的风险识别规则。
2	在该区域，您可以执行如下操作：查看规则基本信息：查看已创建规则的风险类型、风险等级、生效状态等基本信息，以及该规则识别到的风险数据。您可以基于命中风险、待处理风险、已处理风险，了解当前租户存在的风险及风险处理情况。查看规则详情并编辑规则：单击查看详情，即可查看规则的详细配置信息，您也可以根据实际需求修改规则。重新生效规则：单击图标，即可使失效的规则重新生效。说明 DataWorks仅支持失效状态的规则执行该操作。
3	在该区域，您可以批量操作目标规则。当前支持执行批量生效、批量失效、批量删除等批量操作，单击图标，即可切换批量操作类别。说明 DataWorks不支持删除系统内置的风险识别规则，仅支持删除失效状态的自定义规则。

后续步骤

风险识别规则创建并生效后，您可以进入数据风险页面，查看规则命中的风险详情，及时处理存在风险。详情请参见查看数据风险。

区域	描述
1	在该区域，您可以通过风险类型、风险等级、是否内置、风险规则名称等条件进行筛选，查看目标条件的规则列表。说明通过名称搜索识别规则时支持模糊匹配，输入关键词即可搜索名称中包含关键词的风险识别规则。
2	在该区域，您可以执行如下操作：查看规则基本信息：查看已创建规则的风险类型、风险等级、生效状态等基本信息，以及该规则识别到的风险数据。您可以基于命中风险、待处理风险、已处理风险，了解当前租户存在的风险及风险处理情况。查看规则详情并编辑规则：单击查看详情，即可查看规则的详细配置信息，您也可以根据实际需求修改规则。重新生效规则：单击图标，即可使失效的规则重新生效。说明 DataWorks仅支持失效状态的规则执行该操作。
3	在该区域，您可以批量操作目标规则。当前支持执行批量生效、批量失效、批量删除等批量操作，单击图标，即可切换批量操作类别。说明 DataWorks不支持删除系统内置的风险识别规则，仅支持删除失效状态的自定义规则。