对云上数据资产进行分类分级

操作流程

准备工作

1. 在购买数据安全中心之前，请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。

   如果您已开通华为云并进行实名认证，请忽略此步骤。

2. 请保证账户有足够的资金，防止购买数据安全中心失败。
3. 请确保已为账号赋予相关DSC权限。具体操作请参见创建用户组并授权使用DSC。

   表1 DSC系统权限

   角色名称	描述	类别	依赖关系
   DSC DashboardReadOnlyAccess	数据安全中心服务大屏服务只读权限。	系统策略	无
   DSC FullAccess	数据安全中心服务所有权限。	系统策略	购买RDS包周期实例需要配置授权项： bss:order:update bss:order:pay
   DSC ReadOnlyAccess	数据安全中心服务只读权限。	系统策略	无

步骤一：购买DSC并完成云资产委托授权

1. 登录管理控制台。
2. 单击左上角的，选择区域或项目。
3. 在左侧导航树中，单击，选择“安全与合规 > 数据安全中心”。
4. 首次购买DSC，在界面左侧，单击“立即购买”。
5. 在“购买数据安全中心”页面，完成购买参数配置如图1所示并完成支付。

   表2 购买参数配置

   参数	取值示例	描述
   版本规格	标准版	标准版支持资产地图、敏感数据识别和数据风险检测的功能。如果需要进行数据脱敏和数据水印注入\提取的功能，请参照升级版本和规格章节进行版本升级。
   OBS扩展包	1	1个OBS扩展包含1T体量，即1024GB。
   数据库扩展包	1	1个数据库扩展包含1个可添加数据库（支持RDS、DWS、ECS自建数据库、DLI、Elasticsearch、ECS自建大数据等）资产，支持的数据库类型及版本详情请参见使用约束章节。
   购买时长	1个月	单击时间轴的点，选择购买时长 ，可以选择1个月～3年的时长。

   图1 购买参数配置
   

6. 购买完成后，返回控制台进入“资产地图”界面，单击界面左上角的云资产授权后的“修改”，完成云资产委托授权，如图2所示打开数据库委托授权开关。

   同意授权后，DSC将根据您的选择，设置委托权限以此来访问您的云上资产，详细的委托授权策略请参见云资产云资产委托授权/停止授权。

   停止授权，需要您的资产没有绑定任务。停止授权后，DSC会删除您的委托和资产信息，对应的所有数据将被清除，请谨慎操作。

   图2 授权资产
   

步骤二：授权数据库允许DSC访问数据库

数据安全中心支持自动发现云上资产和添加自建数据资产。完成云上资产委托授权将资产接入DSC后，您可以在资产中心授权和管理您的资产。

数据库和大数据类型资产需要完成授权之后才能进行敏感数据识别、数据脱敏和数据库水印注入/提取。

1. 登录管理控制台。
2. 单击左上角的，选择区域或项目。
3. 在左侧导航树中，单击，选择“安全与合规 > 数据安全中心”。
4. 在左侧导航树中选择“资产管理 > 资产中心”，进入“资产中心”页面。
5. 在资产类型菜单中，选择“数据库 > RDS”，进入“数据库”页签。
6. 单击“数据库实例”页签，在对应的数据库实例“操作”列，单击“授权”按照如图3所示填写信息。

   授权“只读权限”：只能使用“敏感数据识别”功能。

   

   DSC暂不支持对RDS中已开启SSL的MySQL数据库进行扫描和脱敏。

   图3 数据库授权
   

7. 完成授权后，单击“数据库”页签，查看已授权数据库的连通状态。
   图4 连通状态
   

   资产授权完成后，该资产“连通状态”为“检查中”，此时，DSC会测试数据库的连通性。

   DSC能正常访问已添加的数据库，该数据库的“连通状态”为“成功”。

步骤三：新建敏感数据识别任务

数据安全中心会根据创建识别任务时选择的数据类型以及识别模板，对资产数据进行敏感数据识别并生成识别结果。

1. 登录管理控制台。
2. 单击左上角的，选择区域或项目。
3. 在左侧导航树中，单击，选择“安全与合规 > 数据安全中心”。
4. 在左侧导航树中，选择“敏感数据识别 > 识别任务”，进入识别任务界面。
5. 在任务列表左上角，单击“新建任务”。
6. 在弹出的“新建任务”的对话框中，参照表3配置相关参数。

   表3 新建任务参数取值

   参数	取值样例	说明
   任务名称	Test任务_01	您可以自定义敏感数据识别任务名称。 任务名称需要满足以下要求： 4~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 开头需为中文或者字母。 任务名称不能与已有的任务名称重复。
   数据类型	数据库 > pg-0530	选择识别的数据类型，可多选。 OBS：授权DSC访问您的华为云OBS资产后，DSC将对华为云OBS里的资产进行敏感数据识别，添加OBS资产的相关操作请参见添加OBS资产。 数据库：DSC将对已授权的数据库资产进行敏感数据识别，授权数据库资产的相关操作请参见授权数据库资产。 大数据：DSC将对已授权的大数据资产进行敏感数据识别，授权大数据源资产请参见授权大数据资产。 MRS：DSC将对已授权的MRS资产进行敏感数据识别，授权MRS资产请参见授权大数据资产。 LTS：DSC将对已授权的LTS资产进行敏感数据识别，添加日志流请参见添加日志流。
   识别模板	华为云数据安全分类分级模板	选择内置模板或者自定义模板，DSC将根据您选择的模板对数据进行分级分类展示。添加模板请参见新增识别模板。
   识别周期	单次	设置数据识别任务的执行策略： 单次：根据设置的执行计划，在设定的时间执行一次该识别任务。 每天：选择该选项，即在每天的固定时间执行该识别任务。 每周：选择该选项，即在设定的每周这一时间点执行该识别任务。 每月：选择该选项，即在设定的每月这一时间点执行该识别任务。
   执行计划	立即执行	“识别周期”为“单次”时，显示该选项： 立即执行：选择该选项，单击“确定”，系统立即执行数据识别任务。 定时启动：在指定时间执行一次该识别任务。
   通知主题（可选）	无	单击下拉列表选择已创建消息通知主题或者单击“查看通知主题”创建新的主题，用于配置接收告警通知的终端。 如果不配置通知主题，可在识别任务列表查看识别结果，详情请参考识别结果。

   图5 新建任务参数配置
   

7. 单击“确定”，界面右上角提示创建任务成功，即识别任务创建成功。

步骤四：查看分类分级结果

1. 登录管理控制台。
2. 单击左上角的，选择区域或项目。
3. 在左侧导航树中，单击，选择“安全与合规 > 数据安全中心”。
4. 在左侧导航树中，选择“敏感数据识别 > 识别任务”，进入“识别任务”界面。
5. 单击目标任务“操作”列的“识别结果”，进入“结果明细”界面。
   图6 识别结果明细
   

6. 在目标扫描对象所在行的“操作”列，单击“查看分类分级结果详情”，进入“分类分级结果详情”弹框。

   查看结果详情和具体的样例数据，如需下载识别结果请参照下载识别结果。

相关操作

对分类分级后的数据，为了保护敏感信息和隐私数据，防止未经授权的访问或泄露，您可以进行数据脱敏和添加数据水印的操作，请先参照升级版本和规格章节升级为专业版。

• 请参见数据脱敏章节进行脱敏，脱敏后的数据可用于开发测试、数据分享、数据研究等场景。
• 请参见数据水印章节添加数据水印，给您的数据资产打上唯一标识，保证资产唯一归属，实现版权保护，在发生数据泄露事件时，追踪其泄露源头。