敏感数据保护

更新时间:2025-03-31 13:24:46

使用OSS敏感数据保护从大量OSS数据中识别和定位个人隐私信息、密码等敏感数据,以进行分类和保护,确保数据安全与法规合规。

注意事项

  • 华东1(杭州)、华东2(上海)、华北2(北京)、华南1(深圳)、华北3(张家口)、华北5(呼和浩特)、中国香港地域支持开启敏感数据保护。

  • 首次开通新版敏感数据保护时,OSS将为您提供200GB、有效期一年的免费检测额度。

使用限制

  • Object存储类型

    仅标准存储、低频访问类型的Object支持敏感信息检测。归档、冷归档以及深度冷归档类型的Object不支持敏感信息检测。

  • 单个文件大小限制

    最大支持敏感信息检测的单个文件大小为200 MB。

  • 压缩包限制

    一个压缩包支持解压的层级最多为5层,解压后的文件总个数最多为1,000个。对于超出限制范围的文件,不会被检测。

敏感数据等级

OSS默认使用互联网行业分类分级模板识别敏感数据。敏感数据等级分为S0、S1、S2、S3、S4。其中S0代表未检测到敏感内容,数值越大敏感等级越高。

您可以通过数据安全中心控制台左侧导航栏的分类分级 > 识别配置,然后单击互联网行业分类分级模板右侧的查看,了解敏感数据等级以及敏感数据分类。

使用OSS控制台

如果您仍在使用旧版敏感数据,建议您及时升级为新版。相比旧版,新版增加了以下核心能力。

  • 支持用户创建自定义识别任务,灵活配置扫描Bucket中的全量数据或者指定前缀的数据。

  • 针对非结构化数据加入大模型检测能力,提升AccessKey等关键特征的识别准确度。

  • 提供数据安全综合分析报告,敏感数据及其风险分布清晰可视化。

新版敏感数据保护
旧版敏感数据保护
  1. 首次使用敏感数据保护时,您需要完成授权和开通操作。

    1. 登录OSS管理控制台

    2. 单击Bucket 列表,然后单击目标Bucket名称。

    3. 在左侧导航栏,选择内容检测 > 敏感数据保护

    4. 敏感数据保护页面,单击授权并开通

    5. 配置识别任务对话框,设置自动扫描周期和扫描启动时间,然后单击确定

      配置完成后,OSS会对指定Bucket的全量或者指定前缀的数据进行扫描并收取扫描费用。完成初次扫描的时间因扫描的数据量而存在差异,请间隔一段时间后查看扫描结果。

  2. 配置识别任务。

    如果您希望在首次全量扫描完成后,对Bucket内的新增文件或变更文件进行扫描,或者自定义扫描周期或者扫描启动时间,请执行以下步骤:

    1. 敏感数据保护页面,单击右上角的识别配置

    2. 配置识别任务对话框,修改自动扫描周期和扫描启动时间,然后单击确定

      配置完成后,OSS默认会对指定Bucket内存储的数据进行增量扫描并收取扫描费用。

  3. 查看敏感数据扫描结果。

    扫描完成后,OSS对敏感数据自动梳理、自动分类分级并统一展示,以便您随时了解OSS数据资产的安全状态。

    查看单个Bucket的敏感数据扫描结果
    查看多个Bucket的敏感数据扫描结果

    敏感数据保护页面查看该Bucket的敏感数据扫描结果。

    screenshot_2025-03-31_17-09-58

    您对多个Bucket进行敏感数据扫描后,您可以通过在左侧导航栏选择数据服务>数据安全,在数据安全页面查看所有扫描过的Bucket数据,如下图所示。

    screenshot_2025-03-31_16-55-50

  1. 登录OSS管理控制台

  2. 单击Bucket 列表,然后单击目标Bucket名称。

  3. 在左侧导航栏,选择数据安全 > 敏感数据保护

    重要

    全新版本的敏感数据保护已全面上线,强烈建议您升级为新版!

    image

    说明

    初次使用敏感数据保护功能时,请单击授权并开通,在弹出对话框,单击确定,完成授权并开通功能。

    使用旧版敏感数据保护时,OSS仅对指定Bucket内存储的数据执行全量扫描并收取扫描费用。敏感数据扫描完成后,支持查看各等级敏感数据的占比以及Top 5的敏感数据类型等信息。

    screenshot_2025-03-31_18-54-17

权限说明

阿里云账号默认拥有全部权限。阿里云账号下的RAM用户或RAM角色默认没有任何权限,需要阿里云账号或账号管理员通过RAM PolicyBucket Policy授予操作权限。

Action

说明

Action

说明

oss:CreateSddpDefaultTask

创建识别任务,扫描Bucket内的数据。

oss:ModifySddpDefaultTask

修改识别任务。

oss:UpdateSddpTaskStatus

更新识别任务状态,即启用或者停用敏感数据功能。

oss:DeleteSddpDefaultTask

删除识别任务。

计费说明

使用敏感数据保护功能,会产生以下计费项。有关计费项的定价详情,请参见OSS产品定价

计费项

说明

计费项

说明

敏感数据保护费用

对授权的Bucket数据进行全量或增量扫描。根据扫描的数据量收取费用。

更多操作

操作

说明

操作

说明

查看敏感数据详情

如果您需要查看被命中文件的敏感数据类型、敏感等级、命中规则和命中数量等,您可以单击目标文件右侧的命中详情

搜索指定文件

如果您想快速查看与指定字段匹配的文件包含的敏感信息,您可以在搜索栏输入文件名称关键字,然后单击搜索

修改扫描设置

初次扫描任务完成后,如果您仅需要扫描该Bucket中新增或修改的数据,您可以单击识别配置定义自动扫描周期和扫描启动时间。

关闭敏感数据扫描

如果您已完成敏感数据识别,且后续不需要进行增量数据的识别,您可以单击停用敏感数据保护

保护敏感数据

对于扫描出的敏感数据,您可以结合等保V2.0的要求和业务的实际需要,通过加密设置访问权限等方式对数据进行安全审计或保护。

OSS表格文件中的敏感数据进行脱敏

使用数据安全中心 DSC(Data Security Center)的静态脱敏,对当前账号下源OSS Bucket中的结构化TXT、CSV、XLSXXLS格式文件中的敏感数据进行脱敏,然后将脱敏后的文件保存到当前账号下的目标OSS Bucket,实现数据的安全共享。

OSS内身份证图片中身份证号进行脱敏

为确保存储在私有OSS Bucket特定文件夹中包含中国内地身份证信息的PNG、JPG、JPEG、BMPWEBP格式图片,在与其他用户共享时身份证信息不被泄露,可使用数据安全中心 DSC(Data Security Center)的图片脱敏功能。

  • 本页导读 (1)
  • 注意事项
  • 使用限制
  • 敏感数据等级
  • 使用OSS控制台
  • 权限说明
  • 计费说明
  • 更多操作