功能总览

数据安全中心服务（Data Security Center，DSC）是新一代的云原生数据安全管理平台，提供数据分级分类、数据脱敏、数据水印、API数据保护等基础数据安全能力，通过资产地图整体呈现云上数据安全态势，实现一站式数据安全运营能力。同时，结合AI大模型对数据安全的新需求，DSC强化对AI数据的隐私和合规处置能力，确保AI训练和推理全流程中的数据安全和合规性。

• 通用数据安全防护场景包含功能：资产地图、资产管理、敏感数据识别、策略中心、数据安全运营、数据脱敏、数据水印、API数据安全防护。
• 大模型数据安全防护场景功能：训练数据资产中心、文本敏感数据识别、文本敏感数据脱敏、OBS使用日志审计、训练数据水印。

数据资产地图可以通过可视化的手段，从资产概况、分类分级、权限配置、数据存储、敏感数据等多种维度查看资产的安全状况。可协助您快速发现风险资产并快速进行风险处理操作。

• 资产可视化

数据服务资产：涵盖了云上所有数据资产，包含OBS、RDS、CSS、Hive以及Hbase等。

数据风险：数据关联分级分类结果，一览展示各个数据风险级别。

分区展示：根据云上资源VPC展示各个资产所在区域，和业务区域关联。

• 出口可视

数据出口：识别云上关键数据出口，包含EIP/NAT/APIGateway/Roma等。

出口关联资产：云上出口和数据关联，结合分级分类结果，一览数据出口风险。

级联关联：数据出口包含直接出口和级联间接出口，不同展示方式。

• 策略可视

数据安全策略：云原生能力检测数据资产的安全策略，一览策略风险。

策略推荐：根据数据资产等级推荐不同的安全策略配置。

• 资产中心：DSC支持管理OBS、数据库、大数据、MRS数据资产以及云日志类型资产。仅“华东二”区域支持纳管已启用IPv6 VPC的数据库资产。
• 资产目录：查看不同业务域或不同类型数据的统计信息。
• 数据探索：查看当前已添加的所有数据资产详细信息，并对数据库、数据表以及数据视图等添加描述、标签、密级和分类操作，从而实现数据资产分级分类管理。
• 元数据任务：用户可以创建元数据任务扫描数据资产，数据资产信息会以元数据的形式被采集、收纳到DSC中，后续用户可以对数据资产进行分级分类管理。
• 资产分组管理：对现有数据进行分组管理。

敏感数据识别支持传统识别和大语言模型识别两种：

• 传统识别基于数据识别引擎，对其储存结构化数据（RDS、DWS等）和非结构化数据（OBS）进行扫描、分类、分级。
• 大语言模型识别是基于大模型语言能力对非结构化数据（OBS）和结构化数据（部分数据库）进行自动分级分类，支持的数据库类型详情参见产品介绍约束与限制中的大语言模型识别支持的数据类型。
• 文件类型：支持近200种非结构化文件。
• 数据类型：支持数十种个人隐私数据类型，包含中英文。
• 图片类型：支持识别（png、jpeg、x-portable-pixmap、tiff、bmp、gif、jpx、jp2总共8种类型）图片中的敏感文字，包含中英文。
  

  自动识别敏感数据

  • 自动识别敏感数据及个人隐私数据。
  • 支持自定义规则，场景适配不同行业。
  • 提供可视化识别结果并支持下载识别结果到本地。

• 策略基线：策略基线是数据安全管理规定、数据分类分级要求、数据出境管理规定、重要数据和核心数据要求等数据安全策略结构化，DSC依据华为云数据安全治理经验预置策略模板，支持策略的增删改查、策略的结构化展示和过滤查询等。
• 流转日志采集：DSC对各个应用中的日志数据进行采集，如DBSS服务和API数据安全防护，可动态的采集用户访问行为的路径，可以快速全面支撑溯源或定位，直观了解数据的流转情况，及时发现异常和风险。
• 策略管理：管理员在策略中心的策略管理页面制定数据库审计、数据库加密、数据库水印、数据库静态脱敏、数据库动态脱敏策略，下发给相应的服务或者实例。

OBS使用审计：
数据安全中心服务根据敏感数据规则对OBS桶进行识别，根据识别的敏感数据进行监控，监控到敏感数据的异常事件相关操作后，会将监控结果展示在异常事件处理页面中，用户可根据需要对异常事件进行处理。
水印溯源：
针对PDF、PPT、Word、Excel格式的文件以及数据库提供了提取水印的功能。
版权证明：嵌入数据拥有者的信息，保证资产唯一归属，实现版权保护。
追踪溯源：嵌入数据使用者的信息，在发生数据泄露事件时，追踪其泄露源头。

DSC的数据脱敏支持静态脱敏和动态脱敏。您可以对指定数据配置脱敏规则实现敏感数据静态脱敏，同时，您也可以使用数据动态脱敏的API接口实现数据的动态脱敏，全方位确保敏感信息不被泄露。

静态脱敏：可以按照脱敏规则一次性完成大批量数据的变形转换处理，静态脱敏通常用在将生产环境中的敏感数据交付至开发、测试或者外发环境的情况使用，适用于开发测试、数据分享、数据研究等场景。您可以通过DSC控制台创建脱敏任务，快速实现对数据库和大数据的脱敏。

动态脱敏：DSC提供动态脱敏API，支持用户对外部申请访问的数据实时脱敏。动态脱敏通常会在数据对外提供查询服务的场景中使用，适用于生产应用、数据交换、运维应用、精准营销等场景。

数据安全中心提供数据水印能力，帮您把数据/文档烙上您的专属水印，保证资产唯一归属。

数据水印广泛适用于政府部门、医疗、金融、科研等单位机构。一般用于版权保护、追踪溯源。

• 数据版权保护：数字作品被下载或者复制使用，数据库业务（数据挖掘分析）需要提供数据给第三方，发生纠纷时可以通过数字水印明确版权所属。
• 使用过程可追踪溯源：数据给内部员工或第三方使用时，打上使用者信息水印，可识别使用者身份，提醒使用者要注意安全规范。当发生数据泄露事件时，可追踪泄露源头，挖掘泄露原因。

API数据安全防护是一款为企业提供综合的API安全防护系统。

对应用API接口进行自动梳理，实现应用接口细粒度访问控制、API异常风险发现、API敏感数据检测、脱敏和水印等能力。

支持添加OBS资产和查看OBS数据类型（非结构化数据）的统计信息，包括文件总数、敏感文件数、分类分级统计结果等。

从海量数据中自动发现并分析敏感数据使用情况，基于数据识别引擎，对OBS中的非结构化数据进行扫描，自动识别敏感和个人隐私数据并进行分类分级。

• 文件类型：支持近200种非结构化文件，详情请参见DSC支持识别的非结构化文件类型。
• 数据类型：支持数十种个人隐私数据类型，包含中英文，支持的个人隐私数据类型详情请参见查看内置规则。
• 支持自定义规则，场景适配不同行业。
• 提供可视化识别结果，同时，可供用户下载到本地查看。

支持对OBS非结构化文件中的敏感数据进行自动检测和脱敏，防止敏感数据被用于AI训练。

• 支持的文件类型：支持.txt，.log，.xml，.ini，.sql，.inf，.java，.json等类型的文件。
• 支持的脱敏规则：用户可以通过20+种预置脱敏规则，或自定义脱敏规则来对指定敏感数据进行脱敏，DSC支持的脱敏算法详见脱敏算法。
• 不影响用户原始数据：从原始文件读取数据，通过精确的脱敏引擎，对用户的敏感数据实施静态脱敏，脱敏结果另行存放，不会影响原始的用户数据。
• 实现一键合规：基于扫描结果自动提供脱敏合规建议，一键配置脱敏规则。

根据敏感数据规则对OBS桶进行识别，根据识别的敏感数据进行监控，监控到敏感数据的异常事件相关操作后，会将监控结果展示在异常事件处理页面中，用户可根据需要对异常事件进行处理。

针对OBS文档、图片提供了注入和提取水印的功能，支持明水印和暗水印。可根据使用场景选择嵌入不同的水印信息：

• 版权证明：嵌入数据拥有者的信息，保证资产唯一归属，实现版权保护。
• 追踪溯源：嵌入数据使用者的信息，在发生数据泄露事件时，追踪其泄露源头。

通过设置告警通知，当敏感数据检测完成后或异常事件处理监测到异常事件时，数据安全中心将敏感数据检测结果以及异常事件通过用户设置的接收通知方式发送给用户。