配置敏感数据识别策略
约束限制
类型 |
约束限制 |
---|---|
创建识别模板 |
一个账号最多可创建20个识别模板。 |
删除识别模板 |
|
修改模板规则分类 |
仅未被引用的自定义模板支持修改分类。 |
新增并编辑识别模板
DSC默认内置一个识别模板,同时支持通过复制和新建模板来自定义新的识别模板。可以通过编辑识别模板查看、添加规则,修改规则分类等。
- 登录DSC服务控制台。
- 单击左上角的
,选择区域或项目。
- 在左侧导航树中选择 ,进入识别模板页签。
- 单击界面左上角“新建模板”,在“新建模板”弹窗中按照表1配置参数。
- 单击“确定”,即可在识别模板列表看到新增的识别模板。
- 登录DSC服务控制台。
- 单击左上角的
,选择区域或项目。
- 在左侧导航树中选择“识别模板”页签。 ,进入
- 在目标模板单击“复制”,在“复制模板”弹窗中填写“新模板名称”和“描述”。
- 单击“确定”。
自定义的模板支持编辑模板内的规则分类、添加规则等。
- 登录DSC服务控制台。
- 单击左上角的
,选择区域或项目。
- 在左侧导航树中选择“识别模板”页签。 ,进入
- 单击目标模板的“详情”进入模板详情界面。
内置模板仅支持修改规则的状态。
- 鼠标移动至“全部”后,单击加号创建新的分类名称。
- 鼠标移动至“分类名称”时:
- 单击编辑按钮编辑分类名称。
- 单击删除按钮删除分类。
- 左侧勾选“分类名称”,在右侧查看相关分类规则。
- 右侧分类规则列表左上角单击“添加规则”,选择“添加规则”,进入“添加规则”界面,添加自定义规则具体参见新建自定义识别规则章节。
- 右侧分类规则列表左上角单击“修改分类”,在修改分类的弹框中选择目标分类。仅未被引用的自定义模板支持修改分类。
- 单击“批量删除”,删除右侧勾选的规则。
- 单击“状态”列
可以打开或者关闭此条规则,关闭此条规则使用该模板进行识别时此条规则不会再生效。
- 单击“操作”列“查看详情”,可以编辑规则内容。
- 单击“操作”列“删除”,删除规则。
只有规则模板支持将模板导出至OBS桶中再下载到本地查看。
- 登录DSC服务控制台。
- 单击左上角的
,选择区域或项目。
- 在左侧导航树中选择 ,进入识别模板页签。
- 单击需要导出的模板的“详情”,进入“分级分类模板”界面。
- 单击规则列表上方的“导出模板至OBS”。
- 在“导出模板至OBS”的弹框中,单击下拉框选择“导出目标桶”。
- 单击“确定”。“导出模板至OBS”状态变为“排队中”或“运行中”。
- 刷新界面,“前往OBS桶下载结果文件”状态为可单击时,单击“前往OBS桶下载结果文件”进入弹框查看文件路径,单击“确定”前往OBS控制下载结果文件。
新增自定义识别规则
敏感数据识别规则有系统内置的规则,同时支持用户自定义规则和批量导入规则。可在新增和编辑识别模板时选择内置或者自定义的识别规则。
必须有除内置模板外创建的自定义识别模板。
- 登录DSC服务控制台。
- 单击左上角的
,选择区域或项目。
- 在左侧导航树中选择“识别模板”页签。 ,进入
- 选择“识别规则”页签,进入识别规则界面。
- 单击界面左上角“新建自定义规则”,选择“新建自定义规则”,进入“添加规则”界面。
- 请参照表2表配置相关参数。
表2 添加规则参数配置说明 参数
说明
规则名称
您可以自定义敏感数据规则名称。
规则名称需要满足以下要求:
- 不能超过255个字符。
- 字符可由中文、英文字母、数字、下划线、中划线和括号组成。
- 规则名称不能与已有的规则名称重复。
描述(可选)
请输入规则描述。
添加到模板
- 在下拉框中依次选择“模板名称”、“模板规则分类”、“级别”将规则添加到规则模板中进行分类管理。
- 单击“添加”可添加到多个模板。
- 单击删除图标删除模板,至少保留一条模板。
匹配类型
可选择“规则匹配”和“关键字匹配”。
- 关键字匹配:通过关键字来执行该条敏感规则。
- 规则匹配:用于指定和识别文本字符串(如特定字符,单词或字符模式)的一种简洁而灵活的方式。
说明:
对于MRS中的HIVE数据,在敏感数据识别时,当前仅支持“匹配类型”为“规则匹配”、“规则”为 的方式。
匹配逻辑
选择匹配逻辑:- AND:关键字都需要包含。
- OR:仅需要包含其中一个关键字。
规则
“匹配类型”设置为“规则匹配”时,显示该参数,单击下拉框选择规则内容。
新建规则至少要有1个列名或列备注或内容的匹配项,不能仅含有表名或表备注的规则匹配。
- 选择 、或 或 或 或 ,输入一个关键字,判断列名或列备注或内容或表名或表备注中是否包含该关键字。
- 选择 或者 或 或 或 ,输入正则表达式,判断正则是否匹配。
- 选择 ,输入多个关键字,关键字之间是OR关系,判断内容中有任何一个关键字则为匹配。
说明:对于MRS中的HIVE数据,在敏感数据识别时,当前仅支持“匹配类型”为“规则匹配”、“规则”为 的方式。
规则测试
- “匹配类型”设置为“规则匹配”时,显示该参数。
- 输入规则内容单击测试,在测试结果框显示该条规则的测试结果。
- 单击“添加”,可测试多条规则。
- 内置规则和自定义规则均支持规则测试,内置规则请在规则列表“操作”列单击“详情”,在“编辑规则”界面,输入规则进行测试。
说明:
- 图片类型规则不支持规则测试。
- “匹配类型”为“关键字匹配”时不支持规则测试。
- 仅展示测试内容的第一处匹配结果。
内容
- “匹配类型”设置为“关键字匹配”时,显示该参数。
- 通过回车换行分隔多个关键字。
识别阈值配置
- 命中数:适用于非结构化数据,可选择低、中、高三种阈值,阈值越高要求命中的次数越多。
- 命中率:适用于结构化数据,可拖动滑块设置,数值越大命中率越高。
- 单击“确认”完成新建规则。
有除内置模板外创建的自定义识别模板。批量导入识别规则仅适用于规则模板。
- 登录DSC服务控制台。
- 单击左上角的
,选择区域或项目。
- 在左侧导航树中选择“识别模板”页签。 ,进入
- 选择“识别规则”页签,进入识别规则界面。
- 单击界面左上角“新建自定义规则”,选择“批量导入规则”,进入“批量导入规则”弹窗。
导入要求:
- 导入数据应不超过5000条,超过数量不允许导入。
- 相同数据不会重复。
- 上传文件限XLSX格式,文件不超过5000KB。
- 单击“下载识别模板”下载模板到本地。
- 单击下拉框选择添加到的识别模板,单击“添加文件”选择按照模板整理好的文件上传。
- 单击“导入”,将规则导入到选择的识别模板。
- 也可以在识别模板的详情页面,单击“添加规则” 选择“批量导入规则”,在该模板下进行规则批量导入。
新建和禁用分级
DSC内置有L1-L4四种敏感数据级别,四种级别对应的安全性和级别定义如表3所示,如果内置级别无法满足您的需要,可以根据此章节进行自定义级别。
安全性 |
级别 |
级别定义 |
---|---|---|
极高级别 |
L4 |
个人数据一旦泄露、篡改、或者非法使用,会对自然人权益、组织权益产生特别严重影响,例如导致自然人财产安全、人格尊严或人、长期或永久的身体或心理疾病,或企业经营资格被取消,业务长期被暂停,企业面临破产风险等;或对经济运行、社会秩序、公共利益造成一般危害。 |
高级别 |
L3 |
个人数据一旦泄露、篡改、或者非法使用,会对自然人权益、组织权益产生严重影响如导致自然人失业、遭受诈骗、资金被盗用、名誉受损,或企业经营资格被暂停,经济、技术或声誉较大受损。 |
中级别 |
L2 |
个人数据一旦泄露、篡改、或者非法使用,会对自然人权益、组织权益产生不利影响,如导致自然人心理伤害、遭受骚扰,或企业业务中断、经济、技术或声誉轻微受损。 |
低级别 |
L1 |
个人数据一旦泄露、篡改、或者非法使用,不会对自然人权益、组织权益产生影响或产生较低影响,如自然人受到打扰。 |
最多只能拥有20个密级。
- 登录DSC服务控制台。
- 单击左上角的
,选择区域或项目。
- 在左侧导航树中选择“识别模板”页签。 ,进入
- 选择“级别配置”页签,在级别配置列表左上角单击“新建分级”。
- 在“新建分级”弹框中配置相关信息,参数说明如表4。
- 单击“确定”完成新建规则。
内置级别不支持禁用。
- 登录DSC服务控制台。
- 单击左上角的
,选择区域或项目。
- 在左侧导航树中选择“识别模板”页签。 ,进入
- 选择“级别配置”页签查看级别配置列表。
- 在目标级别“操作”列,单击“禁用”。
- 禁用的级别在新增或者编辑模板时不会显示。
- 如果需要解除禁用,请在对应级别“操作”列单击“启用”。
相关操作
- 单击“设为默认”,可将该模板设置为默认模板,默认是内置识别模板。
- 单击模板“概览”查看模板分类分级详情。
- 单击“详情”可进行添加规则和修改分类,内置模板仅支持修改已有规则的状态。
- 单击对应分类分级模板的“删除”,单击“确定”删除该模板。使用中的分类分级模板无法删除,请先删除对应的识别任务再删除分类分级模板。内置模板和设置为默认的识别模板不支持删除。
- 在“识别规则”页签单击目标规则操作列“编辑”查看并修改规则,内置规则只支持修改“添加到模板”和“规则测试”。
- 在“级别配置”页签单击目标级别操作列“编辑”修改级别内容,内置级别不支持编辑。
- 在“级别配置”页签单击目标级别操作列“删除”删除级别,只有未被引用的自定义级别才能删除。