AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 大数据开发治理平台 DataWorks 操作指南 数据治理 安全中心 敏感数据保护 安全风险

安全风险

更新时间:
产品详情
我的收藏

安全风险功能提供多种内置的风险检测专家项,旨在帮助组织通过预设的风险识别规则,主动发现潜在的安全威胁和违规操作。该功能还支持以可视化方式进行风险管理,从而提高风险监测和响应的效率。此外,该功能允许您根据具体业务场景自定义风险识别规则,有助于灵活配置和调整这些规则,以满足不同的安全策略和业务需求。本文将详细介绍安全风险功能的相关信息,以帮助您更好地理解和使用该功能。

限制说明

  • 支持版本:DataWorks专业版、企业版。

  • 支持地域:华东2(上海)、华北2(北京)、华南1(深圳)、西南1(成都)。

  • 支持计算源:MaxCompute。

前提条件

  • 登录DataWorks主账号或RAM账号,且拥有以下权限和角色满足任一条件:

    • 拥有AliyunDataWorksFullAccess权限的账号。

    • 拥有DataWorks租户安全管理员角色的账号。

    • 拥有DataWorks租户管理员角色的账号。

  • 已完成新用户指引

进入安全风险查看页面

  1. 登录DataWorks控制台,切换至目标地域后,单击左侧导航栏的数据治理 > 安全中心,在右侧页面中单击进入安全中心

  2. 在安全中心页面左侧导航栏中即可选择进入安全态势 > 安全风险页面。

  3. 在安全风险页面,即可通过切换页签查看安全风险事件风险检测项

配置风险检测项

风险检测项

DataWorks系统内置了常见的风险检测项。用户可以根据数据安全的需要,自定义风险检测项。系统内置检测项目和用户自定义检测项目支持的操作见下表:

来源

启用/停用

删除

系统内置

支持

不支持

用户自定义

支持

支持

系统内置风险检测项如下:

策略

风险类型

风险等级

判定条件

批量查询敏感数据

行为风险

单次查询敏感数据≥10000

批量更新敏感数据

行为风险

单次更新敏感数据≥10000

批量删除敏感数据

行为风险

单次删除敏感数据≥10000

非工作时间操作敏感数据

行为风险

非工作时间查询/更新/删除敏感数据

频繁查询敏感数据

行为风险

5分钟内查询敏感数据≥5

频繁更新敏感数据

行为风险

5分钟内更新敏感数据≥5

频繁删除敏感数据

行为风险

5分钟内删除敏感数据≥5

删除敏感数据所在表

行为风险

删除敏感数据所在表

清空敏感数据所在表

行为风险

清空敏感数据所在表

自定义检测项

在安全风险页面,单击风险检测项页签,进入风险检测项列表页面,单击新增检测项按钮,进行自定义检测项,配置详情可参考下表:

配置项

配置项说明

自定义策略名称

自定义检测项的名称。

风险类型

默认为行为异常。

风险等级

  • 低危

  • 中危

  • 高危

可根据实际情况调整风险等级。

检测范围

  • 按位置:目前仅支持MaxCompute下的数据。

  • 按分类:支持按照数据分类分级中的分类进行检测,可选择多个分类进行检测。

  • 按分级:支持按照数据分类分级中的分级进行检测,最多可配置10个级别。

说明

选择检测范围时,可根据需求对位置、分类、分级进行多选,以确认检测范围。

操作时间

安全检测项在一周内的执行时间。

用户/用户组

该检测项目的操作人员。

数据操作

对表数据的操作方式,主要有SELECT、UPDATE、INSERT、DELETE、ALTER、DROP以及TRUNCATESQL操作方式。

单次数据量超过

单击风险监测时所检测的数据量。

频率超过

风险监测项触发后,告警推送的频率。

说明

次数为1表示每次命中都会触发告警。

启用/停用风险检测项

完成检测项创建后,即可在风险检测项页签内对风险项进行启用或停用。

  • 已启用:DataWorks会识别符合该检测项规则的事件,并标记为风险事件。

  • 未启用:DataWorks依然会保留已标记的风险事件,后续不再识别新事件。

说明

进行风险检测项启动时,单个启用停用,亦可选择多个风险项进行批量开启批量关闭

编辑/删除风险监测项

完成监测项创建后,若需对风险检测项进行再编辑或删除,您可在风险检测项页签内对风险项进行编辑或删除。

  • 编辑:重新配置风险监测项的信息,除过自定义策略名称不可编辑,其余配置信息均可重新配置。

  • 删除:删除已配置的风险监测信息。

说明

风险检测项在编辑删除时,可通过操作列对风险监测项进行单独编辑删除,亦可多选多个风险监测项后批量删除

处理风险事件

查看风险事件

启用风险监测项后,在风险项执行后,即可在安全风险页面的风险检测项页签查看风险事件。

字段

说明

发生时间

操作人触发该事件的日期和时间。

风险类型

该事件被识别为风险项后,对应的风险类型。

风险项

该事件被识别为哪个安全风险。

操作人员

触发该事件的账号。一般是登录账号或数据源的默认访问身份。

风险等级

评估该风险可能造成的后果及影响,影响从小到大依次为:低危、中危、高危、严重。

处理状态

用于标记该风险的处置结果:已处理、未处理。

相关事件

描述了一系列事件的执行顺序,帮助安全管理员评估该事件的实际影响。

SQL

操作人触发事件时的SQL语句。您可以点击复制获取完整的SQL语句。

处理风险事件

在安全风险页面的风险检测项页签查看风险事件,而且可对风险事件进行处理,在操作列单击立即处理按钮,标记风险事件的处理状态。

上一篇:数据溯源下一篇:敏感数据访问