文档首页/ 数据安全中心 DSC/ 快速入门/ 对云上数据资产进行分类分级
更新时间:2024-10-29 GMT+08:00

对云上数据资产进行分类分级

数据资产分类分级是指根据识别规则将数据进行分类,并在分类的基础上,根据数据的敏感性、重要性以及泄露后可能造成的影响,将数据划分为不同的级别。这样做可以确保数据得到与其重要性和影响程度相适应的保护,同时满足合规要求。

DSC提供敏感数据识别功能,定义10种敏感级别,实现数据的精细化管理,有效帮助企业或组织监控敏感数据的流向,制定相应的数据安全策略,并在数据泄露或其他安全事件发生时,快速定位问题并采取应对措施。

本章节以购买DSC标准版为例,介绍如何快速对云上数据资产进行分类分级,操作包含购买DSC、授权数据库、新建敏感数据识别任务、查看分类分级结果。

操作流程

操作步骤

说明

步骤一:购买DSC并完成云资产委托授权

购买DSC,选择版本规格(本文以标准版为例)扩展包等信息并完成云资产委托授权打通各服务与DSC的访问策略权限。

步骤二:授权数据库允许DSC访问数据库进行数据识别

数据库和大数据类型资产需要完成授权之后才能进行敏感数据识别、数据脱敏和数据库水印注入/提取,完成数据库授权,允许DSC访问数据库获取数据进行敏感数据识别和脱敏。

步骤三:新建敏感数据识别任务

创建识别任务,对资产进行敏感数据识别,根据所选识别模板对数据进行分类分级。

步骤四:查看分类分级结果

查看分类分级结果,对数据资产进行进一步安全防护。

准备工作

  1. 在购买数据安全中心之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云实名认证

    如果您已开通华为云并进行实名认证,请忽略此步骤。

  2. 请保证账户有足够的资金,防止购买数据安全中心失败。
  3. 请确保已为账号赋予相关DSC权限。具体操作请参见创建用户组并授权使用DSC
    表1 DSC系统权限

    角色名称

    描述

    类别

    依赖关系

    DSC DashboardReadOnlyAccess

    数据安全中心服务大屏服务只读权限。

    系统策略

    DSC FullAccess

    数据安全中心服务所有权限。

    系统策略

    购买RDS包周期实例需要配置授权项:

    bss:order:update

    bss:order:pay

    DSC ReadOnlyAccess

    数据安全中心服务只读权限。

    系统策略

步骤一:购买DSC并完成云资产委托授权

  1. 登录管理控制台
  2. 单击左上角的,选择区域或项目。
  3. 在左侧导航树中,单击,选择安全与合规 > 数据安全中心
  4. 首次购买DSC,在界面左侧,单击“立即购买”
  5. “购买数据安全中心”页面,完成购买参数配置如图1所示并完成支付。

    表2 购买参数配置

    参数

    取值示例

    描述

    版本规格

    标准版

    标准版支持资产地图、敏感数据识别和数据风险检测的功能。如果需要进行数据脱敏和数据水印注入\提取的功能,请参照升级版本和规格章节进行版本升级。

    OBS扩展包

    1

    1个OBS扩展包含1T体量,即1024GB。

    数据库扩展包

    1

    1个数据库扩展包含1个可添加数据库(支持RDS、DWS、ECS自建数据库、DLI、Elasticsearch、ECS自建大数据等)资产,支持的数据库类型及版本详情请参见使用约束章节。

    购买时长

    1个月

    单击时间轴的点,选择购买时长 ,可以选择1个月~3年的时长。

    图1 购买参数配置

  6. 购买完成后,返回控制台进入“资产地图”界面,单击界面左上角的云资产授权后的“修改”,完成云资产委托授权,如图2所示打开数据库委托授权开关。

    同意授权后,DSC将根据您的选择,设置委托权限以此来访问您的云上资产,详细的委托授权策略请参见云资产云资产委托授权/停止授权

    停止授权,需要您的资产没有绑定任务。停止授权后,DSC会删除您的委托和资产信息,对应的所有数据将被清除,请谨慎操作。

    图2 授权资产

步骤二:授权数据库允许DSC访问数据库

数据安全中心支持自动发现云上资产和添加自建数据资产。完成云上资产委托授权将资产接入DSC后,您可以在资产中心授权和管理您的资产。

数据库和大数据类型资产需要完成授权之后才能进行敏感数据识别、数据脱敏和数据库水印注入/提取。

  1. 登录管理控制台
  2. 单击左上角的,选择区域或项目。
  3. 在左侧导航树中,单击,选择安全与合规 > 数据安全中心
  4. 在左侧导航树中选择“资产管理 > 资产中心”,进入“资产中心”页面。
  5. 在资产类型菜单中,选择数据库 > RDS,进入“数据库”页签。
  6. 单击“数据库实例”页签,在对应的数据库实例“操作”列,单击“授权”按照如图3所示填写信息。

    授权“只读权限”:只能使用“敏感数据识别”功能。

    DSC暂不支持对RDS中已开启SSL的MySQL数据库进行扫描和脱敏。

    图3 数据库授权

  7. 完成授权后,单击“数据库”页签,查看已授权数据库的连通状态。

    图4 连通状态

    资产授权完成后,该资产“连通状态”“检查中”,此时,DSC会测试数据库的连通性。

    DSC能正常访问已添加的数据库,该数据库的“连通状态”“成功”

步骤三:新建敏感数据识别任务

数据安全中心会根据创建识别任务时选择的数据类型以及识别模板,对资产数据进行敏感数据识别并生成识别结果。

  1. 登录管理控制台
  2. 单击左上角的,选择区域或项目。
  3. 在左侧导航树中,单击,选择安全与合规 > 数据安全中心
  4. 在左侧导航树中,选择敏感数据识别 > 识别任务,进入识别任务界面。
  5. 在任务列表左上角,单击“新建任务”
  6. 在弹出的“新建任务”的对话框中,参照表3配置相关参数。

    表3 新建任务参数取值

    参数

    取值样例

    说明

    任务名称

    Test任务_01

    您可以自定义敏感数据识别任务名称。

    任务名称需要满足以下要求:

    • 4~255个字符。
    • 字符可由中文、英文字母、数字、下划线或中划线组成。
    • 开头需为中文或者字母。
    • 任务名称不能与已有的任务名称重复。

    数据类型

    数据库 > pg-0530

    选择识别的数据类型,可多选。

    • OBS:授权DSC访问您的华为云OBS资产后,DSC将对华为云OBS里的资产进行敏感数据识别,添加OBS资产的相关操作请参见添加OBS资产
    • 数据库:DSC将对已授权的数据库资产进行敏感数据识别,授权数据库资产的相关操作请参见授权数据库资产
    • 大数据:DSC将对已授权的大数据资产进行敏感数据识别,授权大数据源资产请参见授权大数据资产
    • MRS:DSC将对已授权的MRS资产进行敏感数据识别,授权MRS资产请参见授权大数据资产
    • LTS:DSC将对已授权的LTS资产进行敏感数据识别,添加日志流请参见添加日志流

    识别模板

    华为云数据安全分类分级模板

    选择内置模板或者自定义模板,DSC将根据您选择的模板对数据进行分级分类展示。添加模板请参见新增识别模板

    识别周期

    单次

    设置数据识别任务的执行策略:

    • 单次:根据设置的执行计划,在设定的时间执行一次该识别任务。
    • 每天:选择该选项,即在每天的固定时间执行该识别任务。
    • 每周:选择该选项,即在设定的每周这一时间点执行该识别任务。
    • 每月:选择该选项,即在设定的每月这一时间点执行该识别任务。

    执行计划

    立即执行

    “识别周期”“单次”时,显示该选项:
    • 立即执行:选择该选项,单击“确定”,系统立即执行数据识别任务。
    • 定时启动:在指定时间执行一次该识别任务。

    通知主题(可选)

    • 单击下拉列表选择已创建消息通知主题或者单击“查看通知主题”创建新的主题,用于配置接收告警通知的终端。
    • 如果不配置通知主题,可在识别任务列表查看识别结果,详情请参考识别结果
    图5 新建任务参数配置

  7. 单击“确定”,界面右上角提示创建任务成功,即识别任务创建成功。

步骤四:查看分类分级结果

  1. 登录管理控制台
  2. 单击左上角的,选择区域或项目。
  3. 在左侧导航树中,单击,选择安全与合规 > 数据安全中心
  4. 在左侧导航树中,选择敏感数据识别 > 识别任务,进入“识别任务”界面。
  5. 单击目标任务“操作”列的“识别结果”,进入“结果明细”界面。

    图6 识别结果明细

  6. 在目标扫描对象所在行的“操作”列,单击“查看分类分级结果详情”,进入“分类分级结果详情”弹框。

    查看结果详情和具体的样例数据,如需下载识别结果请参照下载识别结果

相关操作

对分类分级后的数据,为了保护敏感信息和隐私数据,防止未经授权的访问或泄露,您可以进行数据脱敏和添加数据水印的操作,请先参照升级版本和规格章节升级为专业版。

  • 请参见数据脱敏章节进行脱敏,脱敏后的数据可用于开发测试、数据分享、数据研究等场景。
  • 请参见数据水印章节添加数据水印,给您的数据资产打上唯一标识,保证资产唯一归属,实现版权保护,在发生数据泄露事件时,追踪其泄露源头。