数据安全中心 DSC(Data Security Center)为不同行业(例如金融、能源、汽车行业)提供了识别敏感数据的解决方案,即内置的识别模板。使用识别模板可以检测您资产中是否存在敏感数据。您可以直接使用内置的识别模板,也可以基于内置模板自定义识别模板。本文介绍识别模板相关概念以及如何使用识别模板。
识别模板说明
识别模板是针对不同行业规范定制的敏感数据分类与分级的依据。通过识别模板,可以检测敏感数据是否符合安全合规要求。
如何定义识别模板
识别模板基于一个或多个识别模型定义,识别模型基于一个或多个识别特征定义。
概念 | 说明 |
识别特征 | 识别特征支持基于内容识别、元数据(Meta数据)识别以及词典识别的模式,结合正则表达式、包含、不包含等运算符进行敏感数据特征检测,从而形成识别规则。识别特征支持多个规则间通过AND、OR逻辑运算符进行关联,形成复杂识别规则,从而更加灵活地进行数据特征检测。 数据安全中心针对常见敏感数据类型提供了内置识别特征,并支持自定义识别特征。 |
识别模型 | 识别模型基于一个或多个识别特征来进行定义,识别模型直接关联最终产生的识别结果,识别模型支持配置作用域,例如支持仅针对具体的数据资产(数据库实例、表、OSS的Bucket、SLS的Logstore、文件目录等)生效。 数据安全中心提供了典型敏感数据的内置识别模型,并支持自定义识别模型。 |
识别模型和识别特征的使用详情,请参见下文的查看和配置识别模型和识别特征。
如何划分识别模板
为了帮助您快速完成数据识别任务配置,数据安全中心提供常见行业的内置识别模板,并支持自定义识别模板。具体内容,请参见下文添加自定义识别模板。
模板类型 | 说明 |
内置识别模板 | DSC提供金融行业分类分级模板、内置云安全内部保障模板、电力行业分类分级模板、车联网分类分级模板和互联网行业分类分级模板。 您可以根据实际业务场景选择内置识别模板。内置识别模板中的识别模型即为内置识别模型。内置识别模板和内置识别模型只支持启用或关闭。内置识别模型不支持配置级别、识别特征和识别模型。 具体内容,请参见下文的查看内置识别模板详情。 |
自定义识别模板 | 如果内置识别模板无法满足需求,您可以添加自定义识别模板,通过配置识别特征、识别模型创建符合需求的识别模板。 添加的自定义识别模板总数,不能超过十个。具体操作,请参见下文的添加自定义识别模板。 |
如何设置识别模板的敏感级别
DSC的敏感数据识别以S1、S2、S3、S4...S10定义敏感等级,数字越大敏感等级越高。识别模型可选的敏感等级范围由关联的识别模板包含的敏感级别决定。具体设置,请参见设置识别模板的敏感级别。
如何使用识别模板
识别任务是根据识别模板内的识别模型对接入资产的数据进行扫描并发现敏感数据,生成扫描结果并对发现的敏感数据进行分类分级。
识别任务必须使用已启用识别模板,根据识别任务使用情况,将已启用识别模板分为主用识别模板、活跃识别模板和通用识别模板。
添加自定义识别任务时,仅支持选择主用识别模板(仅1个)和活跃识别模板(最多2个),且最多只能选择两个识别模板。具体内容,请参见添加自定义识别任务。
模板分类 | 说明 |
主用识别模板 | 识别任务中系统默认任务默认使用的识别模板。DSC默认的主用识别模板为互联网行业分类分级模板。主用识别模板不支持关闭。 主用识别模板只能有一个,您可以选择一个活跃识别模板变更为主用识别模板。具体内容,请参见下文启用识别模板和设置主用识别模板。 DSC控制台各个页面(例如数据洞察的资产透视页面)均展示按照主用识别模板检测出的结果。 |
活跃识别模板 | 您可以启用内置识别模板或自定义识别模板作为活跃识别模板。DSC最多可以启用两个活跃识别模板。 |
通用识别模板 | 识别任务中只有使用了内置识别模板,才会默认使用该识别模板。您无法在识别任务中手动选择使用通用识别模板。 根据中国国家标准委员会发布的个人信息安全规范GB/T 35273-2020制定的保护个人信息安全和隐私权的模板,该模板可以帮助企业或组织进行有效的个人信息管理和风险控制。 |
使用识别模板的具体操作,请参见下文的使用识别模板。
查看和配置识别模型和识别特征
查看内置识别模型和识别特征
内置识别模型
登录数据安全中心控制台。
在左侧导航栏,选择。
单击识别模型页签,选择内置,可以查看DSC默认提供的识别模型列表。
您可以在搜索框输入,需要查看的识别模型名称,单击搜索
图标,查看指定的识别模型信息。
单击目标识别模型对应操作列的详情,可查看模型规则配置和识别阈值配置。
您可以复制识别特征信息,前往识别特征页签,查看该识别特征具体信息。具体操作,请参见内置识别特征。
内置识别特征
登录数据安全中心控制台。
在左侧导航栏,选择。
单击识别特征页签,选择内置,可以查看DSC默认提供的识别特征列表。
您可以在搜索框输入,需要查看的识别特征关键字,单击搜索
图标,查看指定的数据特征信息。
添加自定义识别模型和识别特征
自定义识别模型
直接添加自定义识别模型
在识别模型页签,单击添加模型。
在添加模型面板,配置模型参数,然后单击确定。
配置项类型
配置项
描述
基本信息
模型名称
输入模型的名称。
模型描述
可选项。输入模型的描述信息。
数据标签
可选项。选择识别模型对应数据标签为个人敏感信息、个人信息或通用信息。
数据分类
可选项。在下拉列表中依次选择新模型所属的识别模板、敏感信息分类和风险等级。
此处仅支持选择自定义识别模板。具体内容,请参见本文的添加自定义识别模板。
模型规则配置
识别特征
在下拉列表中选择模型使用的识别特征。
支持选择内置识别特征和自定义识别特征。
支持选择多个识别特征,多个识别特征之间以或关系生效。
识别范围
可选项。在下拉列表中选择该模型生效的资产类型。默认为DSC已授权且可以正常连通的资产。
支持选择多种资产类型,多种资产类型之间以或的关系生效。
高级设置
可选项。如需配置更精确的敏感数据识别范围,您可以使用高级设置。具体步骤如下:
在下拉列表中选择需要配置的资产类型。
只支持选择已在识别范围中选择的资产类型。如需配置多种资产类型,您可以单击添加
图标。选择不同条件之间的生效关系,可选项:AND、OR。如需设置多个条件组,您可以单击添加组。添加的条件组是第一个条件组的子集。
配置识别条件。如需添加多个条件,可单击添加条件。
识别阈值配置
最小命中数(非结构化数据)
设置非结构化数据(即对象存储OSS)单个文件命中识别特征数的最小阈值。
单个文件命中识别特征个数达到最小命中数,即可判定该文件满足此模型定义的敏感数据。
例如:最小命中数为1,一个文件有10个特征数据,则满足识别模型中1个识别特征,该文件就会被识别定义为对应类型和级别的敏感数据。
命中率(结构化数据)
设置结构化数据(例如RDS)的命中率。
在200条采样数据中,命中模型的数据条数比例达到命中率时,判定对应数据满足此模型定义的敏感数据。
例如:命中率为50%,如果一列有100条数据被识别满足对应的识别模型,则该列会被识别定义为对应类型和级别的敏感数据。
通过创建子模型添加自定义识别模型
在识别模型页签,找到目标内置识别模型或自定义识别模型,单击操作列的创建子模型。
在创建子模型面板,配置模型参数,单击确定。
参数中所属父模型和识别特征不可修改,可以添加一个补充特征,其他参数说明,请参见直接添加自定义识别模型。
说明如果选择的自定义识别模型已是子模型,仍然保持该自定义识别模型的所属父模型和识别特征不变,创建新的子模型。
自定义识别特征
在识别特征页签,单击添加特征。
在添加特征面板,完成配置项配置,然后单击确定。
参数
说明
特征名称
输入自定义的特征名称。
匹配类型
可选以下类型。
规则匹配:配置特征规则。支持单击添加规则,配置多个特征规则。多个特征之间的关系可以为AND或OR。
选中例外规则后,可以配置例外规则,支持单击添加规则,配置多个例外规则。多个例外规则特征之间的关系可以为AND或OR。
检测敏感数据的原理为:本数据特征规则满足配置的特征规则且不满足配置的例外规则。
字典匹配:输入关键词后按Enter。单个关键词长度为1~128个字符,可配置多个关键词。注意关键词内不能含有逗号,否则会被认为是两个或多个按逗号分隔开的关键词。支持模糊匹配。
数据类型
选择识别特征作用的数据类型,可选:结构化数据、非结构化数据。
设置识别模型启用状态
您必须启用识别模型,对应识别模板在识别任务中才能生效。内置识别模板包含的内置识别模型默认已被启用。您可以根据业务需求,启用或关闭内置识别模型以及自定义识别模型状态。
在识别模型页签,找到目标内置识别模型或自定义识别模型,单击状态列的开关
或
图标,开启或关闭该识别模型的状态。
当前正在执行的识别任务不受影响,下次执行开始生效。
查看内置识别模板详情
登录数据安全中心控制台。
在左侧导航栏,选择。
在模板管理页签的模板配置页面下方的模板列表中,找到类型为内置的识别模板。
单击操作列的查看,可查看该模板包含的敏感数据分类和识别模型。
敏感等级
说明
N/A
未识别到当前识别模板内包含的敏感信息。
S1
不敏感数据,公开该类数据在绝大多数情况下不会造成危害。如省份、城市、商品名称等。
S2
一般敏感数据,不适合公开该数据,数据泄露的危害程度较低。如姓名、地址等。
S3
关键敏感数据, 数据敏感程度较高,少量泄漏即会带来严重危害。如各类身份证件、账号密码、数据库信息等。
S4
核心机密数据,任何情况下不应泄漏。如基因、指纹、虹膜等。
您可以复制识别模型名称,前往识别模型页签,查看该模型下识别特征配置和识别阈值配置。具体内容,请参见本文的查看内置识别模型和识别特征。
添加自定义识别模板
新建自定义识别模板
直接添加自定义识别模板
在模板管理页签的模板配置页面,单击新建模板。
在新建模板导航页面,设置基本信息(模板名称和模板描述),单击下一步。
完成模板配置,单击确定。
添加敏感数据分类。
在模板节点配置下,单击添加分类,在弹出对话框中输入敏感数据的分类名称,单击确定。
单击已添加分类右侧的管理
图标,单击添加同级分类或添加下级分类,可新增对应的敏感数据分类。您可以重复此操作,添加多个敏感数据分类。
重复以下操作,在已添加敏感数据分类下添加对应的识别模型。
单击已添加分类右侧的管理
图标,单击添加模型。在添加模型对话框中,选中目标识别模型前复选框,设置状态列图标为启用
,单击确定。您可以根据数据标签、模型类型和模型名称等筛选指定识别模型。支持选择内置识别模型和自定义识别模型。
重要识别模板中识别模型启用后,识别规则才能在使用该识别模板的识别任务中生效。
通过复制识别模板添加自定义识别模板
在模板管理页签的模板配置页面,找到内置识别模板,单击操作复制;或者找到自定义识别模板,单击操作列的
> 复制。在复制模板对话框,模板名称显示
<原模板名称>+copy,您可以修改模板名称,然后单击确定。单击该模板对应操作列的编辑,您可以继续修改模板名称、敏感数据分类(支持修改分类名称、添加同级分类和删除分类)和识别模型(支持添加和删除模型),然后单击确定。
其他操作
删除识别模板:仅支持删除自定义识别模板,不支持删除内置识别模板。在模板配置子页签下,单击目标模板操作列的管理
图标,单击删除。删除模板后,属于该模板的自定义识别模型也会被自动删除。管理敏感数据分类:
仅支持设置自定义模板的敏感分类,不支持修改内置模板的敏感分类。在模板配置子页签下,单击目标模板操作列编辑,单击下一步,在模板节点配置下,可执行以下操作:
新增敏感分类:单击已有分类右侧的管理
图标,单击添加同级分类,即可新增敏感分类。编辑敏感分类名称:单击分类输入框,可修改敏感分类的名称。
删除敏感分类:单击已有分类右侧的管理
图标,单击删除,即可修改敏感分类的名称。
管理模板下的识别模型:
内置模板仅支持开启或关闭该模板下的识别模型。在自定义模板的模板节点配置页面中可以添加、删除识别模型。
添加识别模型:单击敏感分类右侧的管理
,然后单击添加模型,即可添加识别模型并修改状态。删除识别模型:单击敏感分类左侧的展开
图标,然后单击目标识别模型的删除
图标,可删除单个识别模型。
设置识别模板的敏感级别
不支持在内置识别模板中新增或删除敏感级别,仅支持编辑敏感级别的描述信息。
在自定义识模板中,可以添加、编辑和删除敏感级别。
直接添加的自定义识别模板,默认已配置10个分级,仅支持删除S10级别的分级。
通过复制识别模板添加的自定义识别模板,默认的分级配置与源识别模板相同,默认的分级不支持删除。
自定义识别模板中,最多可配置10个分级。
在模板管理页签的级别配置页面,选择当前正在编辑的模板,配置分级操作如下:
删除分级:单击目标分级操作列的删除,即可删除该分级。
添加分级:单击自定义级别配置,即可添加新的敏感数据分级。
编辑分级:单击目标分级操作列的编辑,即可修改该分级的描述信息。
使用识别模板
启用识别模板
如果从未配置过识别模板,默认开启和使用的主用识别模板为互联网行业分类分级模板。如果您需要在识别任务中使用其他识别模板,可参考以下步骤启用内置识别模板或自定义识别模板。
最多仅支持再启用两个识别模板。启用后的模板在已启用识别模板列表展示。
在模板管理页签的模板配置页面的模板列表中,找到目标内置识别模板或自定义识别模板,
单击状态列的关闭
图标,启用该识别模板状态为
。
设置主用识别模板
仅已经启用的识别模板才可以设置为主用识别模板,且当前主用识别模板关联的识别任务必须全部终止。具体操作,请参见终止识别任务。
如果您需要在识别任务中的系统默认任务中,使用其他识别模板,可以变更主用识别模板。
在模板管理页签的模板配置页面上方的已启用识别模板列表中,单击需要设置为主用识别模板的识别模板卡片上的主用。
在弹出的对话框,单击继续完成确认。
切换成功后,该识别模板将被标记为主用且置灰。
后续步骤
在创建识别任务时使用已启用识别模板,扫描已授权连接的资产中存在的敏感数据。具体操作,请参见通过识别任务扫描敏感数据。