数据安全中心 DSC(Data Security Center)可以通过收集和分析数据资产的信息,提供云上数据中敏感数据识别的分类(数据标签)分级(敏感等级)能力。本文介绍如何快速在DSC控制台实现敏感数据分类分级。
准备工作
已规划好要接入数据安全中心的数据库。DSC支持的数据库类型和地域,请参见支持的数据库类型和支持的地域。
本示例规划使用已创建的华北3(张家口)地域的RDS SQL Server实例的数据库表进行敏感数据识别扫描。RDS SQL Server实例、数据库管理账号及数据库的创建,请参见创建并使用RDS SQL Server实例和创建数据库和账号。
使用RAM用户购买并使用数据安全中心时,需要为RAM用户完成授权。具体操作,请参见为RAM用户授权DSC。
步骤一:开通DSC服务并完成授权
DSC提供免费版实例服务,每月提供固定规格的资源。详细说明,请参见数据安全中心免费版服务。本示例使用免费版服务:
如果当前账号不满足开通免费版实例的要求,可以直接购买数据安全中心付费版实例,具体操作,请参见购买数据安全中心。
登录数据安全中心控制台,单击开通免费版。
根据页面提示完成DSC访问云资源的授权。授权的详细说明,请参见授权DSC访问云资源。
步骤二:完成数据库与DSC的连接
数据资产接入DSC后,才能进行敏感数据识别的分类分级。本文以接入RDS数据库并立即执行数据分类分级为例,介绍数据库接入和进行敏感数据分类分级的操作。
在授权管理页面,单击资产授权管理。
在资产授权管理面板的结构化数据下,选择RDS,单击资产同步。
如果您需要接入数据安全中心的资产已出现在资产列表中,请跳过该步骤。
在未授权列表,单击目标资产实例操作列的授权。
返回授权管理页面,单击目标资产实例操作列的一键连接。
说明使用一键连接数据库,DSC会自动在目标数据资产中添加只读账号,通过该账号连接目标数据库进行数据识别任务。由于该账号仅具有只读权限,DSC对一键授权的数据库仅具有只读权限。
在一键连接对话框,选中立即扫描数据资产并进行数据识别,单击确定。DSC会自动创建并立即执行系统默认任务。
重要建议您在业务低峰期选择立即执行扫描,并跟踪业务运行状态,以免数据识别的扫描任务对业务运行造成影响。
返回授权管理页面,单击刷新图标,等待数据刷新后,确认需接入的数据库连接状态和功能状态正常(如下图所示)。
步骤三:查看数据识别任务状态
一键连接授权时选中立即扫描数据资产并进行数据识别后,DSC会自动创建并立即执行系统默认任务。系统默认任务会使用主用模板(默认为互联网行业分类分级模板)和通用模板(符合个人信息安全规范)扫描已接入的数据库。只有识别任务执行完成后,您才能查看分类分级结果。
在任务管理页面的识别任务页签,单击系统默认任务。
在识别任务监控页面,查看DSC为已接入的数据库创建的默认识别任务的扫描状态。
识别任务所需时间和需扫描的数据量有关系,如果需扫描的数据量较大时,需要花费较多时间,请您耐心等待。
扫描状态为完成后,才可查看分类分级结果。
步骤四:查看分类分级结果
在资产透视页面资产类型页签,找到目标数据库实例及扫描的数据库。DSC会返回如下图所示的识别结果,展示识别出的敏感等级和数据标签等信息。
敏感等级颜色越深,表示敏感级别越高。N/A表示未识别到敏感数据。目前仅支持对敏感数据的个人信息()和个人敏感信息()分类进行打标。
单击对应数据库操作列的表详情,在表详情面板,查看识别的表敏感信息的统计数据和敏感列等。
总结
数据安全中心可以对授权连接的数据资产进行敏感数据识别,并根据识别结果进行分类(个人信息、个人敏感信息和通用信息)分级(敏感等级)。
数据资产接入
DSC支持接入的数据资产包含RDS、PolarDB、PolarDB-X、PolarDB-X 2.0、Redis、MongoDB、OceanBase、TableStore、ADB-MYSQL、ADB-PG、OSS、MaxCompute和ECS自建数据库,各数据资产的接入方式,请参见资产授权管理。
灵活选择数据识别模板
DSC授权连接数据资产后,自动创建敏感识别的系统默认任务,使用主用模板(默认为互联网行业分类分级模板)和通用模板(符合个人信息安全规范)扫描已接入的数据资产。
互联网行业分类分级模板是DSC进行敏感数据识别的内置模板,您可以在识别配置页面,修改主用模板为其他内置模板或自定义模板。自定义模板的识别模型和识别特征均可自定义,详情请参见配置识别模板。
自定义识别任务
除了主用的识别模板,DSC还支持启用两个识别模板对数据资产进行敏感数据识别的分类分级。系统默认任务使用的是主用模板,您可以在任务管理页面新建识别任务,选择使用已启用模板(非主用)扫描指定的数据资产。具体内容,请参见识别任务说明。