更新时间:2024-01-05 GMT+08:00
资产地图
数据资产地图可以通过可视化的手段,从资产概况、分类分级、权限配置、数据存储、敏感数据以及数据出口分析等多种维度查看资产的安全状况。可协助您快速发现风险资产并进行快速风险处理操作。
约束限制
支持显示1000个资产实例。
前提条件
已完成云资产委托授权,参考云资产委托授权/停止授权进行操作。
资产地图功能介绍
- 梳理云上数据资产并分区展示:自动扫描并梳理云上数据资产,地图化展示资产分布,帮助用户解决数据在哪里的问题。根据云上资源VPC展示各个资产所在区域,和业务区域关联。
- 敏感数据展示:基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术,对数据资产进行分类分级。
- 数据出口分析:基于资产地图构建统一的数据出口和出口风险视图,帮助用户识别云上数据可能的出口,以及这些出口存在的潜在安全风险,方便用户采取相应的数据安全防护措施。
- 风险监控和预警:基于风险识别引擎,对数据资产进行风险监控,展示每类资产的风险分布,并预警。
- 安全评分:资产地图会显示您当前所有资产的总体“安全评分”,评分规则请参见资产地图评分规则。
- 敏感度等级:按照检测到的敏感度等级将资产进行分类,方便查看和管理,鼠标移动至存在风险的资产类型并单击资产可以查看资产风险详情。
操作步骤
查看实例详情
- “基础信息”:展示该实例的类型、端口、版本、内网IP以及引擎类型等。
- “敏感数据识别”:展示该实例下已授权的数据库和未授权的数据库。
- “已授权数据库”但是“未扫描”,单击“创建识别任务”跳转至敏感数据识别功能,创建识别任务识别该资产敏感信息,具体操作请参见新建敏感数据识别任务章节。
- “已授权数据库”并且是“已扫描”,单击“展开”查看数据库扫描详情。
- “未授权数据库”单击“去授权”去给数据库进行授权,授权方式请参见资产中心授权操作的内容。
图5 敏感数据识别
如果数据类型为OBS,单击“查看详情”查看敏感数据识别任务的“结果明细”。如果没有识别,请参见新建敏感数据识别任务章节创建识别任务进行识别后再次查看识别结果。
- “安全防护策略分析”:检测数据资产的安全策略,展示策略风险,检测项包含是否开启服务端加密、数据库加密、传输加密、安全组以及公网访问等高危权限并给出处理提醒,可单击“查看详情”或者“前去修改”去处理。
- “数据出口分析”:识别云上所有的数据出口,包含EIP/NAT/APIGateway/Roma等。将鼠标移动至资产地图数据类型图标或者VPC图标也可查看数据出口网关线路。
图6 数据出口分析
资产地图评分规则
一个资产的风险分数=资产的敏感等级*资产的风险等级*系数分
- 资产的敏感等级计算方法:
- OBS桶敏感等级为该桶下所有文件敏感等级最大值,数据库/大数据敏感等级为其所有表的敏感等级最大值。
- 高、中、低等级与旧版分数的对应规则如下:高,8-10;中,4-7;低,1-3。
- 资产的风险等级=MAX(资产静态配置风险等级分,资产动态威胁风险等级分)
- 资产静态配置风险等级分为资产的安全防护策略分析的安全等级的最大值。
- 资产动态威胁风险等级分为资产的威胁分析的安全等级的最大值。
- 风险等级分:
- 低风险:1分
- 中风险:2分
- 高风险:3分
- 系数分与该用户的总资产数相关,具体计算规则如下:
- 假设用户有X个资产,全部是高敏感、高风险的,该用户的资产得分应该是0,即X*3*3*Y=100,所以Y = 100/9X -> Y即为系数分。
- 如果X个资产全部是低敏感、低风险的,风险分应该为X*1*1*100/9X=11.1,最终得分为88.9。
- 如果X个资产全部是中敏感、中风险的,风险分应该为X*2*2*100/9X = 44.4,最终得分为55.6。
- 按照上述计算规则,最终得分的高、中、低风险的划分标准如下:
- 100:无风险
- 81-99:低风险
- 51-80:中风险
- 0-50:高风险
相关操作
- 如您需要对您的云资产授权进行更改,可单击右上角“修改”进行更改。如需停止授权,需要您的资产没有绑定任务。停止授权后,DSC会删除您的委托和资产信息,对应的所有数据将被清除,请谨慎操作。具体操作请参见云资产委托授权/停止授权章节。
- 资产敏感度等级图例:从L0-L10每种颜色代表一种等级,根据识别到的资产的敏感度等级,资产地图展示的资产图例颜色与之一一对应。
- 拖动进度条滑块调整资产地图显示比例。
- 单击右下角全屏显示。
- 单击右下角显示资产地图操作指南。
- 单击右下角显示数据异常风险时间,方便快速处理。
- 单击右下角显示资产图例。