查看和配置識別模板

Data Security Center (DSC)為不同行業（例如金融、能源、汽車行業）提供了識別敏感性資料的解決方案，即內建的識別模板。使用識別模板可以檢測您資產中是否存在敏感性資料。您可以直接使用內建的識別模板，也可以基於內建模板自訂識別模板。本文介紹識別模板相關概念以及如何使用識別模板。

識別模板說明

識別模板是針對不同行業規範定製的敏感性資料分類與分級的依據。通過識別模板，可以檢測敏感性資料是否符合安全合規要求。

如何定義識別模板

識別模板基於一個或多個識別模型定義，識別模型基於一個或多個識別特徵定義。

概念	說明

概念

說明

識別特徵

識別特徵支援基於內容識別、中繼資料（Meta資料）識別以及詞典識別的模式，結合Regex、包含、不包含等運算子進行敏感性資料特徵檢測，從而形成識別規則。識別特徵支援多個規則間通過AND、OR邏輯運算子進行關聯，形成複雜識別規則，從而更加靈活地進行資料特徵檢測。

資料資訊安全中心針對常見敏感性資料類型提供了內建識別特徵，並支援自訂識別特徵。

識別模型

識別模型基於一個或多個識別特徵來進行定義，識別模型直接關聯最終產生的識別結果，識別模型支援配置範圍，例如支援僅針對具體的資料資產（資料庫執行個體、表、OSS的Bucket、SLS的Logstore、檔案目錄等）生效。

資料資訊安全中心提供了典型敏感性資料的內建識別模型，並支援自訂識別模型。

識別模型和識別特徵的使用詳情，請參見下文的查看和配置識別模型和識別特徵。

如何劃分識別模板

為了協助您快速完成資料識別任務配置，資料資訊安全中心提供常見行業的內建識別模板，並支援自訂識別模板。具體內容，請參見下文添加自訂識別模板。

模板類型	說明

模板類型

說明

內建識別模板

DSC提供金融行業分類分級模板、內建雲安全內部保障模板、電源行業分類分級模板、車連網分類分級模板和互連網行業分類分級模板。

您可以根據實際業務情境選擇內建識別模板。內建識別模板中的識別模型即為內建識別模型。內建識別模板和內建識別模型只支援啟用或關閉。內建識別模型不支援配置層級、識別特徵和識別模型。

具體內容，請參見下文的查看內建識別模板詳情。

自訂識別模板

如果內建識別模板無法滿足需求，您可以添加自訂識別模板，通過配置識別特徵、識別模型建立符合需求的識別模板。

添加的自訂識別模板總數，不能超過十個。具體操作，請參見下文的添加自訂識別模板。

如何設定識別模板的敏感層級

DSC的敏感性資料識別以S1、S2、S3、S4...S10定義敏感等級，數字越大敏感等級越高。識別模型可選的敏感等級範圍由關聯的識別模板包含的敏感層級決定。具體設定，請參見設定識別模板的敏感層級。

如何使用識別模板

識別任務是根據識別模板內的識別模型對接入資產的資料進行掃描並發現敏感性資料，產生掃描結果並對發現的敏感性資料進行分類分級。

識別任務必須使用已啟用識別模板，根據識別任務使用方式，將已啟用識別模板分為主用識別模板、活躍識別模板和通用識別模板。

添加自訂識別任務時，僅支援選擇主用識別模板（僅1個）和活躍識別模板（最多2個），且最多隻能選擇兩個識別模板。具體內容，請參見添加自訂識別任務。

模板分類	說明

模板分類	說明
主用識別模板	識別任務中系統預設任務預設使用的識別模板。DSC預設的主用識別模板為互連網行業分類分級模板。主用識別模板不支援關閉。主用識別模板只能有一個，您可以選擇一個活躍識別模板變更為主用識別模板。具體內容，請參見下文*啟用識別模板和設定主用識別模板。 DSC控制台各個頁面（例如資料洞察的資產透視*頁面）均展示按照主用識別模板檢測出的結果。
活躍識別模板	您可以啟用內建識別模板或自訂識別模板作為活躍識別模板。DSC最多可以啟用兩個活躍識別模板。
通用識別模板	識別任務中只有使用了內建識別模板，才會預設使用該識別模板。您無法在識別任務中手動選擇使用通用識別模板。根據中國國家標準委員會發布的個人資訊安全規範GB/T 35273-2020制定的保護個人資訊安全和隱私權的模板，該模板可以協助企業或組織進行有效個人資訊管理和風險控制。

使用識別模板的具體操作，請參見下文的使用識別模板。

查看和配置識別模型和識別特徵

查看內建識別模型和識別特徵

內建識別模型

內建識別特徵

登入資料資訊安全中心控制台。
在左側導覽列，選擇分類分級 > 識別配置。
單擊識別模型頁簽，選擇內建，可以查看DSC預設提供的識別模型列表。
您可以在搜尋方塊輸入，需要查看的識別模型名稱，單擊搜尋表徵圖，查看指定的識別模型資訊。
單擊目標識別模型對應操作列的詳情，可查看模型規則配置和識別閾值配置。
您可以複製識別特徵資訊，前往識別特徵頁簽，查看該識別特徵具體資訊。具體操作，請參見內建識別特徵。

登入資料資訊安全中心控制台。
在左側導覽列，選擇分類分級 > 識別配置。
單擊識別特徵頁簽，選擇內建，可以查看DSC預設提供的識別特徵列表。
您可以在搜尋方塊輸入，需要查看的識別特徵關鍵字，單擊搜尋表徵圖，查看指定的資料特徵資訊。

添加自訂識別模型和識別特徵

自訂識別模型

自訂識別特徵

直接添加自訂識別模型

通過建立子模型添加自訂識別模型

在識別模型頁簽，單擊添加模型。

在添加模型面板，配置模型參數，然後單擊確定。

配置項類型	配置項	描述
基本資料	模型名稱	輸入模型的名稱。
	模型描述	可選項。輸入模型的描述資訊。
	資料標籤	可選項。選擇識別模型對應資料標籤為個人敏感資訊、個人資訊或通用資訊。
	資料分類	可選項。在下拉式清單中依次選擇新模型所屬的識別模板、敏感資訊分類和風險等級。此處僅支援選擇自訂識別模板。具體內容，請參見本文的。
模型規則配置	識別特徵	在下拉式清單中選擇模型使用的識別特徵。支援選擇內建識別特徵和自訂識別特徵。支援選擇多個識別特徵，多個識別特徵之間以或關係生效。
	識別範圍	可選項。在下拉式清單中選擇該模型生效的資產類型。預設為DSC已授權且可以正常連通的資產。支援選擇多種資產類型，多種資產類型之間以或的關係生效。
	進階設定	可選項。如需配置更精確的敏感性資料識別範圍，您可以使用進階設定。具體步驟如下：在下拉式清單中選擇需要配置的資產類型。只支援選擇已在識別範圍中選擇的資產類型。如需配置多種資產類型，您可以單擊添加表徵圖。選擇不同條件之間的生效關係，可選項：AND、OR。如需設定多個條件組，您可以單擊添加組。添加的條件組是第一個條件組的子集。配置識別條件。如需添加多個條件，可單擊添加條件。
識別閾值配置	最小命中數（非結構化資料）	設定非結構化資料（即Object Storage Service）單個檔案命中識別特徵數的最小閾值。單個檔案命中識別特徵個數達到最小命中數，即可判定該檔案滿足此模型定義的敏感性資料。例如：最小命中數為1，一個檔案有10個特徵資料，則滿足識別模型中1個識別特徵，該檔案就會被識別定義為對應類型和層級的敏感性資料。
識別閾值配置	命中率（結構化資料）	設定結構化資料（例如RDS）的命中率。在200條採樣資料中，命中模型的資料條數比例達到命中率時，判定對應資料滿足此模型定義的敏感性資料。例如：命中率為50%，如果一列有100條資料被識別滿足對應的識別模型，則該列會被識別定義為對應類型和層級的敏感性資料。

在識別模型頁簽，找到目標內建識別模型或自訂識別模型，單擊操作列的建立子模型。
在建立子模型面板，配置模型參數，單擊確定。
參數中所屬父模型和識別特徵不可修改，可以添加一個補充特徵，其他參數說明，請參見直接添加自訂識別模型。
說明
如果選擇的自訂識別模型已是子模型，仍然保持該自訂識別模型的所屬父模型和識別特徵不變，建立新的子模型。

在識別特徵頁簽，單擊添加特徵。

在添加特徵面板，完成配置項配置，然後單擊確定。

參數	說明
特徵名稱	輸入自訂的特徵名稱。
匹配類型	可選以下類型。規則匹配：配置特徵規則。支援單擊添加規則，配置多個特徵規則。多個特徵之間的關係可以為AND或OR。選中例外規則後，可以配置例外規則，支援單擊添加規則，配置多個例外規則。多個例外規則特徵之間的關係可以為AND或OR。檢測敏感性資料的原理為：本資料特徵規則滿足配置的特徵規則且不滿足配置的例外規則。字典匹配：輸入關鍵詞後按Enter。單個關鍵詞長度為1~128個字元，可配置多個關鍵詞。注意關鍵詞內不能含有逗號，否則會被認為是兩個或多個按逗號分隔開的關鍵詞。支援模糊比對。
資料類型	選擇識別特徵作用的資料類型，可選：結構化資料、非結構化資料。

設定識別模型啟用狀態

您必須啟用識別模型，對應識別模板在識別任務中才會生效。內建識別模板包含的內建識別模型預設已被啟用。您可以根據業務需求，啟用或關閉內建識別模型以及自訂識別模型狀態。

在識別模型頁簽，找到目標內建識別模型或自訂識別模型，單擊狀態列的開關或表徵圖，開啟或關閉該識別模型的狀態。

重要

當前正在執行的識別任務不受影響，下次執行開始生效。

查看內建識別模板詳情

登入資料資訊安全中心控制台。
在左側導覽列，選擇分類分級 > 識別配置。
在範本管理員頁簽的模板配置頁面下方的模板列表中，找到類型為內建的識別模板。
單擊操作列的查看，可查看該模板包含的敏感性資料分類和識別模型。
您可以複製識別模型名稱，前往識別模型頁簽，查看該模型下識別特徵配置和識別閾值配置。具體內容，請參見本文的查看內建識別模型和識別特徵。

添加自訂識別模板

建立自訂識別模板

直接添加自訂識別模板

通過複製識別模板添加自訂識別模板

在範本管理員頁簽的模板配置頁面，單擊建立模板。
在建立模板導航頁面，設定基本資料（模板名稱和模板描述），單擊下一步。
完成模板配置，單擊確定。
1. 添加敏感性資料分類。
  1. 在模板節點配置下，單擊添加分類，在彈出對話方塊中輸入敏感性資料的分類名稱，單擊確定。
  2. 單擊已添加分類右側的管理表徵圖，單擊添加同級分類或添加下級分類，可新增對應的敏感性資料分類。
    您可以重複此操作，添加多個敏感性資料分類。
2. 重複以下操作，在已添加敏感性資料分類下添加對應的識別模型。
  1. 單擊已添加分類右側的管理表徵圖，單擊添加模型。
  2. 在添加模型對話方塊中，選中目標識別模型前複選框，設定狀態列表徵圖為啟用，單擊確定。
    您可以根據資料標籤、模型類型和模型名稱等篩選指定識別模型。支援選擇內建識別模型和自訂識別模型。
    重要
    識別模板中識別模型啟用後，識別規則才能在使用該識別模板的識別任務中生效。

在範本管理員頁簽的模板配置頁面，找到內建識別模板，單擊操作複製；或者找到自訂識別模板，單擊操作列的 > 複製。
在複製模板對話方塊，模板名稱顯示<原模板名稱>+copy，您可以修改模板名稱後，單擊確定。
單擊該模板對應操作列的編輯，您可以繼續修改模板名稱、敏感性資料分類（支援修改分類名稱、添加同級分類和刪除分類）和識別模型（支援添加和刪除模型），然後單擊確定。

其他動作

刪除識別模板：僅支援刪除自訂識別模板，不支援刪除內建識別模板。在模板配置子頁簽下，單擊目標模板操作列的管理表徵圖，單擊刪除。刪除模板後，屬於該模板的自訂識別模型也會被自動刪除。
管理敏感性資料分類：
僅支援設定自訂模板的敏感分類，不支援修改內建模板的敏感分類。在模板配置子頁簽下，單擊目標模板操作列編輯，單擊下一步，在模板節點配置下，可執行以下操作：
- 新增敏感分類：單擊已有分類右側的管理表徵圖，單擊添加同級分類，即可新增敏感分類。
- 編輯敏感分類名稱：單擊分類輸入框，可修改敏感分類的名稱。
- 刪除敏感分類：單擊已有分類右側的管理表徵圖，單擊刪除，即可修改敏感分類的名稱。
系統管理範本下的識別模型：
內建模板僅支援開啟或關閉該模板下的識別模型。在自訂模板的模板節點配置頁面中可以添加、刪除識別模型。
- 添加識別模型：單擊敏感分類右側的管理，然後單擊添加模型，即可添加識別模型並修改狀態。
- 刪除識別模型：單擊敏感分類左側的展開表徵圖，然後單擊目標識別模型的刪除表徵圖，可刪除單個識別模型。

設定識別模板的敏感層級

不支援在內建識別模板中新增或刪除敏感層級，僅支援編輯敏感層級的描述資訊。
在自訂識模板中，可以添加、編輯和刪除敏感層級。
- 直接添加的自訂識別模板，預設已配置10個分級，僅支援刪除S10層級的分級。
- 通過複製識別模板添加的自訂識別模板，預設的分級配置與源識別模板相同，預設的分級不支援刪除。
- 自訂識別模板中，最多可配置10個分級。

在範本管理員頁簽的層級配置頁面，選擇當前正在編輯的模板，配置分級操作如下：