風險識別管理提供了多維度關聯分析及演算法,智能化的分析技術協助您通過風險識別規則,主動發現風險操作並預警,使用可視化方式進行一站式審計。DataWorks內建了多種情境的風險識別規則,您可以直接使用,也可以根據業務情境自訂規則。本文為您介紹如何建立並管理風險識別規則。
背景資訊
資料輸入DataWorks後會經過資料保護傘進行過濾處理,舊版風險識別管理的風險識別功能僅當涉及敏感性資料時才會被識別為風險,不支援Action Trail相關情境及事件統計彙總情境的識別。因此,DataWorks為解決該問題,為您提供了功能更加全面的新版風險識別管理功能。具體如下:
易用性好
包含資料訪問風險、資料匯出風險、資料操作風險、其他風險類型等4類風險類型,並支援訪問時間、敏感類型、訪問量等多種維度組合識別各類風險。
精準度高
增加事件彙總統計比較,通過比較時間視窗內事件發生次數的閾值,更精準識別風險,減少大量誤判。例如,在10分鐘內發生相同事件3次以上才會命中風險。
精細化管理
支援配置高、中、低的風險層級,根據風險層級精細化管理風險。
規則靈活
內建了多種情境的常用規則,可以直接使用;同時,您也可以基於業務需求,自訂風險識別規則。詳情請參見系統內建風險識別規則及建立風險識別規則。
新舊版本風險識別規則配置項的配置位置存在差異,詳情請參見新舊版風險識別規則配置項位置對比說明。
使用限制
版本限制
僅DataWorks專業版及以上版本支援使用新版風險識別管理功能。
僅DataWorks企業版及以上版本支援內建風險識別規則。
新舊版本切換
舊版風險識別管理啟動並執行時間將保留至2022年06月30日(請以介面實際顯示的保留時間為準),保留時間到期後,已建立的風險識別規則及相關風險資料將自動清除,後續則只能使用新版風險識別管理功能。請您及時將需要使用的規則及風險資料匯出備份,匯出備份操作,詳情請參見風險識別管理(舊版)。
新版風險識別管理在舊版保留時間段內會同時運行,您可以切換至新版使用。切換至新版後,舊版中已建立的風險識別規則及風險資料不會同步至新版,您需要在新版中重新建立相關規則。
警示方式
僅支援郵件和WebHook警示方式。
說明DataWorks支援使用DingTalk群、企業微信和飛書的WebHook地址。其中,僅企業版及以上版本支援推送警示資訊至企業微信或飛書。
進入風險識別管理
進入資料保護傘。
登入DataWorks控制台,切換至目標地區後,單擊左側導覽列的,在下拉框中選擇對應工作空間後單擊進入資料開發。
單擊左上方的
表徵圖,選擇。單擊立即體驗,進入資料保護傘。
進入風險識別管理。
在資料保護傘頁面的左側導覽列,單擊,預設進入舊版風險識別管理頁面。您需要單擊體驗新版本切換至新版,使用新版風險識別管理功能建立並管理風險識別規則。
新版風險識別管理內建了多種情境的常用規則,可以直接使用;同時,您也可以基於業務需求,自訂風險識別規則。詳情請參見系統內建風險識別規則及建立風險識別規則。
系統內建風險識別規則
新版風險識別管理功能支援的內建規則如下表。
規則名稱 | 規則類型 | 規則等級 | 規則配置 |
非工作時間查詢巨量資料量敏感性資料 | 資料訪問風險 | 低 | 如下時間段查詢資料量大於10000時命中該規則。
|
相似SQL查詢 | 資料訪問風險 | 低 | 十分鐘內查詢相似SQL大於等於10次時,命中該規則。 |
批量查詢大量敏感性資料 | 資料訪問風險 | 中 | 單次查詢資料量大於10000時命中該規則。 |
大量匯出大量敏感性資料 | 資料匯出風險 | 高 | 單次匯出資料量大於10000時命中該規則。 |
非工作時間匯出巨量資料量敏感性資料 | 資料匯出風險 | 高 | 如下時間段匯出資料量大於10000時命中該規則。
|
建立風險識別規則
建立規則的規劃和準備工作。
您可以基於實際情境,選擇從資料位元置、資料屬性、使用者資訊、操作時間等維度識別風險資料,配置更精細的風險識別條件。當使用資料屬性及使用者資訊的不同細分類別配置風險識別條件時,需要進行如下準備工作。
風險識別維度
細分類別
描述
資料屬性
資料分級
識別指定層級的風險資料,您需要提前定義資料的分級,詳情請參見配置敏感性資料分類分級。
資料分類
識別指定類別的風險資料,您需要提前定義資料的類別,詳情請參見配置資料識別規則。
敏感欄位類型
識別指定敏感欄位的風險資料,您需要提前定義敏感欄位類型,詳情請參見配置資料識別規則。
使用者資訊
使用者組
識別當前登入帳號下指定使用者組的風險資料,您需要提前配置使用者組,詳情請參見配置使用者組。
RAM角色
識別當前登入帳號下RAM使用者的風險資料,您需要提前在當前阿里雲帳號下添加RAM使用者,詳情請參見建立RAM使用者。
在風險識別管理頁面右上方,單擊+風險識別規則。
在建立風險識別規則對話方塊配置規則資訊。
說明當前僅支援建立統計關聯規則。統計關聯規則用於對單一事件進行彙總統計,閾值比較,當事件數目量超過設定的閾值時,則命中規則。例如,設定的規則為低許可權使用者在非工作時間訪問敏感性資料超過1萬條。
配置規則基本資料。
參數
描述
規則名稱
建立的風險識別規則名稱。名稱長度為1~30字元,並且不能包含特殊字元。
規則類型
風險識別規則的類型,取值如下:
資料訪問風險:訪問資料時可能存在風險。
資料匯出風險:匯出資料時可能存在風險。
資料操作風險:建立、修改、刪除資料時可能存在風險。
其他:其他類型。
規則等級
風險識別規則的層級。包含低、中、高等級。您可以根據實際需求,將識別重要資料資訊的規則設定為高等級。
描述資訊
風險識別規則的描述資訊。長度為1~100字元。
單擊下一步。
配置風險識別條件及閾值。
配置風險識別的條件。
DataWorks支援設定從資料位元置、資料屬性、使用者資訊、操作時間等維度識別風險資料,協助您基於實際情境配置更精細的風險識別條件。
說明當前最多支援添加10個條件。單擊所選維度中的+添加比較關係即可添加多個識別條件,並且添加的多個條件邏輯關係為且。
資料位元置
用於設定識別風險資料的位置範圍,可以精確到欄位。
參數
描述
是否必配
是否過濾所選位置
選擇是否過濾所選位置的風險資料。取值如下:
≠:表示過濾目標位置,即配置的風險識別規則不會識別所選位置中的風險資料。
=:表示僅識別目標位置,即配置的風險識別規則僅識別所選位置中的風險資料。
是
資料引擎名稱
選擇識別規則限定的引擎範圍。
說明當前僅支援識別MaxCompute引擎中的風險資料。
每條比較關係只能選擇一個引擎,如果您需要限定多個引擎範圍,則請單擊+添加比較關係配置多條風險識別條件。
是
專案空間名稱
選擇識別規則限定的目標專案空間。專案空間名稱需要配置為所選引擎中的專案空間,您可以在下拉式清單選擇,也可以輸入專案空間名稱進行搜尋。
說明下拉式清單最多顯示100個專案空間名稱。
名稱搜尋支援模糊比對,即輸入關鍵詞,即可搜尋到名稱包含關鍵詞的專案。
每條比較關係只能選擇一個專案空間,如果您需要限定多重專案空間範圍,則請單擊+添加比較關係配置多條風險識別條件。
是
表名
輸入識別規則限定的目標表。您可以輸入單個或多個表名稱,多個表名稱之間使用英文逗號(,)分隔。輸入表名稱的說明如下:
單個表名不超過30個字元,輸入的表名整體不超過100字元。
支援使用
*萬用字元。例如,*name表示識別所有名稱為name尾碼的表資料。
否。不配置預設識別所選專案空間中所有表的風險資料。
欄位名
輸入識別規則限定的目標欄位。您可以輸入單個或多個欄位名稱,多個欄位名稱之間使用英文逗號(,)分隔。輸入欄位名稱的說明如下:
單個欄位名不超過30個字元,輸入的欄位名整體不超過100字元。
支援使用
*萬用字元。例如,*name表示識別所有名稱為name尾碼的欄位資料。
否。不配置預設識別所有表欄位的風險資料。
資料屬性
用於篩選識別風險資料的屬性範圍。
參數
描述
屬性
您可以根據業務需求選擇識別風險資料的屬性類別。當前支援的屬性類別如下:
資料分級:用於指定識別哪個層級的風險資料。您需要提前定義資料的分級,詳情請參見配置敏感性資料分類分級。
資料分類:用於指定識別哪個類別的風險資料。您需要提前定義資料的類別,詳情請參見配置資料識別規則。
敏感欄位類型:用於指定識別哪類敏感欄位的風險資料。您需要提前定義敏感欄位類型,詳情請參見配置資料識別規則。
是否過濾所選屬性
選擇是否過濾所選屬性的風險資料。取值如下:
≠:表示過濾目標屬性,即配置的風險識別規則不會識別所選屬性中的風險資料。
=:表示僅識別目標屬性,即配置的風險識別規則僅識別所選屬性中的風險資料。
使用者資訊
操作時間
用於篩選識別風險資料的操作時間範圍。
參數
描述
選擇時間範圍
單擊目標星期及小時,即可選擇所需的時間範圍。您可以選擇周一至周日的任意時間,精確到小時。
是否過濾所選時間
≠:表示過濾目標操作時間,即配置的風險識別規則不會識別所選操作時間中的風險資料。
=:表示僅識別目標操作時間,即配置的風險識別規則僅識別所選操作時間中的風險資料。
配置閾值。
DataWorks支援事件彙總統計,您也可以選擇通過比較時間視窗內事件發生次數的閾值識別風險資料。單擊+添加閾值比較 即可配置多個風險識別閾值條件。
參數
描述
閾值類別
資料量:通過操作的資料量大小識別風險資料。當操作的資料量超過設定的閾值時,則此次操作命中風險。資料量取值為1至1000萬的整數,單位為條。預設取值為1。
發生次數:通過指定時間範圍單一事件發生的次數識別風險資料。當在指定時間範圍內,某單一事件的發生次數超過設定的閾值時,則命中風險。發生次數取值為1至10000的整數,單位為次。預設取值為10。
說明DataWorks自動幫您歸類識別單一事件。
時間視窗
事件發生次數限定的時間範圍,預設為10分鐘。取值如下:
分鐘:取值範圍為
1~59。小時:取值範圍為
1~23。天:取值範圍為
1~7。
說明僅當閾值類別取值為發生次數,時需要配置該參數。
單擊下一步。
配置警示方式。
在識別到資料風險後,您可以根據配置的警示方式,及時接收到警示資訊,以便對風險進行相應的處理。支援您選擇郵件和webHook的警示方式。
說明選擇警示方式前請確保已在系統配置中完成郵箱及webHook的相關配置。
單擊儲存,規則建立完成。
建立的自訂規則預設不生效,您需要在風險識別規則頁面單擊目標規則的重新生效,手動生效規則。
管理風險識別規則
在風險識別管理頁面,您可以查看已建立的規則列表及規則詳細資料。同時,也可以編輯修改目標規則,或大量操作多個規則。
地區 | 描述 |
1 | 在該地區,您可以通過風險類型、風險等級、風險類型、是否內建、風險規則名稱等條件進行篩選,查看目標條件的規則列表。 說明 通過名稱搜尋識別規則時支援模糊比對,輸入關鍵詞即可搜尋名稱中包含關鍵詞的風險識別規則。 |
2 | 在該地區,您可以執行如下操作:
|
3 | 在該地區,您可以大量操作目標規則。當前支援執行批量生效、批量失效、大量刪除等大量操作,單擊 說明 DataWorks不支援刪除系統內建的風險識別規則,僅支援刪除失效狀態的自訂規則。 |
表徵圖,即可使失效的規則重新生效。
表徵圖,即可切換大量操作類別。新舊版風險識別規則配置項位置對比說明
新舊版本風險識別規則配置項的配置位置存在差異,具體如下表。
序號 | 風險識別規則配置項 | 舊版配置位置 | 新版配置位置 |
1 | 規則名稱 | ||
2 | 規則責任人 | 。 預設規則的負責人為當前登入帳號。 | 無該配置項,DataWorks自動記錄規則責任人。 |
3 | 規則的描述資訊 | ||
4 | 規則生效的引擎 | 地區,選擇條件選擇資料位元置時,所配置的資料引擎名稱。 | |
5 | 規則生效的專案空間 | 地區,選擇條件選擇資料位元置時,所配置的專案空間名稱。 | |
6 | 規則所屬的分類 | 地區,選擇條件選擇資料屬性時,屬性類別選擇資料分類。 | |
7 | 規則所屬的分級 | 地區,選擇條件選擇資料屬性時,屬性類別選擇資料分級。 | |
8 | 命中規則的敏感欄位類型 | 地區,選擇條件選擇資料屬性時,屬性類別選擇敏感欄位類型。 | |
9 | 規則所屬的操作類型 | 取值包括:
| 取值包括:
|
10 | 規則生效的表 | 地區,選擇條件選擇資料位元置時,所配置的表名。 | |
11 | 規則生效的欄位 | 地區,選擇條件選擇資料位元置時,所配置的欄位名。 | |
12 | 用於配置哪些使用者訪問時會觸發該規則。 | 地區,選擇條件選擇使用者資訊時,所選擇的資訊類別。 | |
13 | 規則限制的操作資料量,當超出限制的資料量範圍時命中規則。 | 在地區,閾值比較下配置資料量範圍。 | |
14 | 規則限制的訪問時間範圍,當訪問操作與該時間範圍匹配時命中規則。 | 間 | 地區,選擇條件選擇操作時間時,所設定的時間配置。 |
15 | 觸發規則後的警示方式 | 不支援 |
後續步驟
風險識別規則建立並生效後,您可以進入資料風險頁面,查看規則命中的風險詳情,及時處理存在風險。詳情請參見查看資料風險(新版)。