数据安全中心为不同行业(例如金融、能源、汽车行业)提供了识别敏感数据的解决方案,即内置的识别模板。使用识别模板可以检测您资产中是否存在敏感数据。您可以直接使用内置的识别模板,也可以基于内置模板自定义识别模板。本文介绍如何配置识别模板。
基本概念
在使用识别模板功能前,您需要了解以下概念。
概念 | 说明 |
识别模板 | 识别模板是根据不同行业规范定制的敏感数据分类和分级。通过识别模板可以检测敏感数据是否符合合规要求。 |
内置模板 | 为了帮助您快速完成数据识别配置,数据安全中心提供常见行业的内置模板,包括内置金融分类分级模板、内置阿里巴巴及蚂蚁集团数据安全分类分级模板、内置能源分类分级模板和内置车联网行业分类分级模板。您可以根据实际业务场景选择内置模板。内置模板只支持开启或关闭内置的识别模型,不支持自定义级别、识别特征和识别模型。更多信息,请参见支持识别的行业模板。 |
自定义模板 | 如果内置模板无法满足需求,您可以通过复制内置模板创建自定义模板,并通过配置识别特征、识别模型创建符合需求的识别模板。最多支持复制七个自定义模板,模板总数不能超过十个。 |
主模板 | 敏感数据识别系统默认任务使用的模板。主用模板只能有一个,控制台各个页面(例如资产透视和数据目录页面)均会按照主用模板检测出的数据进行展示。 |
活跃模板 | 激活过的识别模板。您可以在新建识别任务时选择活跃模板。最多可设置两个活跃模板。 |
识别特征 | 识别特征支持基于内容识别、元数据(Meta数据)识别以及词典识别的模式,结合正则表达式、包含、不包含等运算符进行敏感数据特征检测,从而形成识别规则。识别特征支持多个规则间通过“AND”、“OR”逻辑运算符进行关联,形成复杂识别规则,从而更加灵活的进行数据特征检测。数据安全中心针对常见敏感数据类型提供了内置识别特征,并支持自定义识别特征。关于内置数据特征的更多信息,请参见支持识别的敏感数据类型。 |
识别模型 | 识别模型基于一个或多个识别特征来进行定义,识别模型直接关联最终产生的识别结果,识别模型支持配置作用域,例如支持仅针对具体的数据资产(数据库实例、表,OSS的Bucket、文件目录等)生效。数据安全中心提供了典型敏感数据的内置识别模型,并支持自定义识别模型。 |
前提条件
已完成数据资产授权,并为资产开启识别权限。具体操作,请参见资产授权。
使用限制
除了默认已启用的内置模板(互联网行业分类分级模板),最多仅支持启用两个模板(包括内置模板和自定义模板)。
使用内置模板
如果从未配置过模板,默认开启和使用的主模板为互联网行业分类分级模板。以下步骤介绍如何设置主用模板。
登录数据安全中心控制台。
在左侧导航栏,选择
。启用并设置主模板。
仅已经启用的模板才可以设置为主模板。
如果您需要在识别任务中使用其他模板,在模板管理页签的模板列表中,找到内置模板,单击状态列的开关,启用该模板。
处理默认启用的互联网行业分类分级模板,最多仅支持再启用两个模板。启用后的模板在已启用识别模板列表展示。
在已启用识别模板列表,单击需要设置为主模板的识别模板卡片上的主用,然后确认对话框,单击继续。
如果有识别任务正在使用当前主模板,则不能切换为主模板。您需要先终止所有使用当前主模板的识别任务,才可以切换主模板。操作完成后,该模板将被标记为主模板。
使用自定义模板
以下步骤介绍首次使用自定义模板的操作步骤。
步骤一:创建自定义模板并管理识别特征
通过复制已有模板,可以创建自定义模板。您可以查看数据安全中心提供的内置识别特征。如果内置识别特征无法满足需求,您可以在自定义模板中添加新的识别特征。
登录数据安全中心控制台。
在左侧导航栏,选择
。在模板管理页签的模板配置子页签的模板列表中,找到需要复制的模板,单击操作列的复制,然后根据页面提示完成模板名称设置,单击确定。
您可以根据企业的性质选择复制对应行业的模板。
复制模板后,数据安全中心会自动将被复制的模板下的所有识别模型复制为自定义识别模型。
在识别配置页面,单击识别特征页签。
在识别特征列表,查看内置识别特征。
不支持编辑和删除内置识别特征。
如果内置识别特征无法满足需求,您可以自定义识别特征。
单击添加特征。
在添加特征面板,完成配置项配置,然后单击确定。
参数
说明
特征名称
输入自定义的特征名称。
匹配类型
可选以下类型。
规则匹配:配置特征规则。支持单击添加规则,配置多个特征规则。多个特征之间的关系可以为AND或OR。
选中例外规则后,可以配置例外规则,支持单击添加规则,配置多个例外规则。多个例外规则特征之间的关系可以为AND或OR。
检测敏感数据的原理为:本数据特征规则满足配置的特征规则且不满足配置的例外规则。
字典匹配:输入关键词后按Enter。单个关键词长度为1~128个字符,可配置多个关键词。注意关键词内不能含有逗号,否则会认为是两个或多个按逗号分隔开的关键词。支持模糊匹配。
数据类型
选择识别特征作用的数据类型,可选:结构化数据、非结构化数据。
步骤二:管理识别模型
在识别配置页面,单击识别模型页签。
在识别模型列表,查看内置识别模型。
仅支持开启或关闭内置识别模型,不支持编辑或删除。
您可以单击操作列的详情,查看识别模型的规则配置、识别阈值配置等。您也可以单击操作列的创建子模型,为内置识别模型添加子模型。参数配置,请参见下文。
如果内置识别模型无法满足需求,您可以自定义识别模型。
单击添加模型。
在添加模型面板,配置模型参数,然后单击确定。
配置项类型
配置项
描述
基本信息
模型名称
输入模型的名称。
模型描述
输入模型的描述信息。
数据标签
选择识别模型对应数据标签为个人敏感信息、个人信息或通用信息。
数据分类
在下拉列表中依次选择新模型所属的模板、敏感信息分类和风险等级。
此处仅支持选择自定义模板。
模型规则配置
识别特征
在下拉列表中选择模型使用的识别特征。
可选择内置识别特征和自定义识别特征。支持选择多个识别特征,多个识别特征之间以或关系生效。
识别范围
在下拉列表中选择该模型生效的资产类型。
支持选择多种资产,多种资产之间以或的关系生效。
高级设置
如需配置更精确的敏感数据识别范围,您可以使用高级设置。具体步骤如下:
在下拉列表中选择需要配置的资产类型。
只支持选择已在识别范围中选择的资产类型。如需配置多种资产类型,您可以单击添加图标。
选择不同条件之间的生效关系,可选项:AND、OR。如需设置多个条件组,您可以单击添加组。添加的条件组是第一个条件组的子集。
配置识别条件。如需添加多个条件,可单击添加条件。
识别阈值配置
最小命中数(非结构化数据)
设置非结构化数据(即对象存储OSS)单个文件命中识别特征数的最小阈值。
单个文件命中识别特征个数达到最小命中数,即可判定该文件满足此模型定义的敏感数据。
例如:最小命中数为1,一个文件有10个特征数据,则满足识别模型中1个识别特征,该文件就会被识别定义为对应类型和级别的敏感数据。
命中率(结构化数据)
设置结构化数据(例如RDS)的命中率。
在200条采样数据中,命中模型的数据条数比例达到命中率时,判定对应数据满足此模型定义的敏感数据。
例如:命中率为50%,如果一列有100条数据被识别满足对应的识别模型,则该列会被识别定义为对应类型和级别的敏感数据。
步骤三:配置自定义模板启用
在识别配置页面,单击模板管理页签。
在模板列表,找到目标自定义模板,单击状态列的关闭图标,可启用该模板。
在已启用识别模板的自定义模板卡片上,单击主用,可将自定义模板设置为主模板。
相关操作
查看模板详情:在模板配置子页签下,单击目标模板操作列的查看,可查看该模板下的所有敏感分类和识别模型。
删除模板:仅支持删除自定义模板,不支持删除内置模板。在模板配置子页签下,单击目标模板操作列的管理图标,单击删除。删除模板后,属于该模板的自定义识别模型也会被自动删除。
管理敏感分类:
仅支持设置自定义模板的敏感分类,不支持修改内置模板的敏感分类。在模板配置子页签下,单击目标模板操作列编辑,单击下一步,在模板节点配置下,可执行以下操作:
新增敏感分类:单击已有分类右侧的管理图标,单击添加同级分类,即可新增敏感分类。
编辑敏感分类名称:单击分类输入框,可修改敏感分类的名称。
删除敏感分类:单击已有分类右侧的管理图标,单击删除,即可修改敏感分类的名称。
管理模板下的识别模型:
内置模板仅支持开启或关闭该模板下的识别模型。在自定义模板的模板节点配置页面中可以添加、删除识别模型。
添加识别模型:单击敏感分类右侧的管理,然后单击添加模型,即可添加识别模型并修改状态。
删除识别模型:单击敏感分类左侧的展开图标,然后单击目标识别模型的删除图标,可删除单个识别模型。
级别配置:
不支持在内置模板中新增或删除敏感级别,仅支持编辑敏感级别的描述信息。在自定义模板中,可以添加、编辑和删除敏感级别。
自定义模板默认已配置10个分级,且最多可配置10个分级。
删除分级:仅支持删除S10级别的分级。在级别配置子页签,单击目标分级操作列的删除,即可删除该分级。
添加分级:如果当前模板下分级不足10个,您可以在级别配置子页签,单击自定义级别配置,添加新的敏感数据分级。
编辑分级:在级别配置子页签,单击目标分级操作列的编辑,即可修改该分级的描述信息。
后续步骤
在创建识别任务时使用识别模板。具体操作,请参见识别任务说明。