配置敏感数据识别任务
敏感数据识别基于数据识别引擎,对其储存结构化数据(RDS、DWS等)和非结构化数据(OBS)进行扫描、分类、分级。
前提条件
- 已完成云资产委托授权,具体请参见云资产委托授权/停止授权进行操作。
- 已添加OBS资产或者已授权数据库/大数据资产,具体请参见将数据资产添加至DSC并授权中添加和授权资产的操作。
新建敏感数据识别任务
- 登录DSC服务控制台。
- 单击左上角的
,选择区域或项目。
- 在左侧导航树中,选择“识别任务”界面。 ,进入
- 在任务列表左上角,单击“新建任务”。
- 在“新建任务”界面,参照表1配置相关参数。
表1 新建任务参数说明 参数
说明
任务名称
您可以自定义敏感数据识别任务名称。
任务名称需要满足以下要求:
- 4~255个字符。
- 字符可由中文、英文字母、数字、下划线或中划线组成。
- 开头需为中文或者字母。
- 任务名称不能与已有的任务名称重复。
数据类型
选择识别的数据类型,可多选。
- OBS:DSC将对已添加的华为云OBS里的资产进行敏感数据识别,添加OBS资产的相关操作请参见添加OBS资产。
- 数据库:DSC将对已授权的数据库资产进行敏感数据识别,授权数据库资产的相关操作请参见添加数据库资产并授权。
- 大数据:DSC将对已授权的大数据资产进行敏感数据识别,授权大数据源资产请参见添加大数据资产并授权。
- MRS:DSC将对已授权的MRS资产进行敏感数据识别,授权MRS资产请参见添加大数据资产并授权。
- LTS:DSC将对已授权的LTS资产进行敏感数据识别,添加日志流请参见添加日志流。
识别模板
选择内置模板或者自定义模板,DSC将根据您选择的模板对数据进行分级分类展示。新增模板请参见新建识别模板。
识别范围
当“数据类型”选择“LTS”显示该参数,请选择识别日志范围,可选1天、2天和3天。
识别灵敏度
当“数据类型”选择“LTS”显示该参数,请选择识别日志的灵敏度,有高、中、低三种程度供选择,灵敏度越高采样数据越多。
识别周期
设置数据识别任务的执行策略:
- 单次:根据设置的执行计划,在设定的时间内或者立即执行一次该识别任务。
- 每天:选择该选项,即在每天的固定时间执行该识别任务。
- 每周:选择该选项,即在设定的每周这一时间点执行该识别任务。
- 每月:选择该选项,即在设定的每月这一时间点执行该识别任务。
执行计划
“识别周期”为“单次”时,显示该选项:- 立即执行:选择该选项,单击“确定”,系统立即执行数据识别任务。
- 定时启动:在指定时间执行一次该识别任务。
启动时间
“识别周期”为“每天”、“每周”、“每月”时显示该选项:
选择识别任务执行时间。选择时间后,该任务在每天、每周、每月或者当前时间点执行此识别任务。
通知主题(可选)
- 单击下拉列表选择已创建消息通知主题或者单击“查看通知主题”创建新的主题,用于配置接收告警通知的终端。
- 如果不配置通知主题,可在识别任务列表查看识别结果,详情请参考查看并下载敏感数据识别结果。
添加识别范围(可选)
“数据类型”选择具体资产后会显示该参数,单击“添加OBS识别范围”或“添加数据库识别范围”或“添加大数据识别范围”或“添加MRS识别范围”或者“添加LTS识别范围”添加资产识别范围,如果不添加默认对选择的资产进行全局扫描,添加步骤详情参见添加识别范围章节。
非结构数据AI辅助识别
“数据类型”选择OBS,选择桶资产后显示该参数。
AI辅助识别采用自研自然语言处理引擎扫描进行辅助识别,实现数据处理的自动化,开启后会对内置的支持AI辅助算法二次校验的内置规则进行二次确认,降低误报率。开启后可能会使得识别速度变慢。
说明:如果上述内置规则没有匹配到敏感数据,即使勾选了“非结构数据AI辅助识别”也不会进行二次识别。
- 单击“确定”,界面右上角提示创建任务成功,即识别任务创建成功。
- 在待启动任务行的“操作”列单击“立即识别”,右上角弹框提示扫描任务开始扫描,即执行成功。
如果您需要停止正在执行的任务,请在目标任务“操作”列,单击“停止”。
如果需要关闭定时任务,请在目标任务“操作”列,选择 。
添加识别范围
DSC默认对选择的资产进行全局扫描,您也可以参考本章节的内容添加具体的扫描范围。
- 登录DSC服务控制台。
- 单击左上角的
,选择区域或项目。
- 在左侧导航树中,选择“识别任务”界面。 ,进入
- 单击“新建任务”,进入“新建任务”界面。
- 选择“数据类型”并选择具体扫描资产名称,单击“确定”。
- 在新建识别任务界面左下角单击添加识别范围,进行扫描范围配置,可以同时添加多项识别范围,参数配置如表2所示。
表2 扫描范围配置参数说明 资产类型
配置参数
说明
OBS
资产
单击下拉框选择需要扫描的桶,支持多选。
扫描范围配置
- “文件名前缀”:如:将文件名前缀为dsc_添加为包含条件时,就会扫描所有前缀为dsc_的文件。
文件名前缀的包含条件最多只能添加1个。
- “文件名后缀”:文件名后缀包括"."后面的文件类型,如:dsc_security.txt后缀可以是security.txt或者.txt等所有条件为组合关系,只扫描满足所有筛选条件的文件。
文件名后缀的包含条件最多只能添加1个。
- “目录名”:扫描指定目录名下的所有文件。
目录名包含条件最多只能添加1个。
填写文件名前缀/后缀/目录名称后,单击“添加为包含条件”将其添加为包含条件。单击“添加为不包含条件”将其添加为不包含条件。
如:选择“文件名前缀”,输入前缀为dsc_,单击“添加为包含条件”,添加到包含条件,扫描时只会对文件名前缀为dsc_的文件进行扫描。如果单击“添加为不包含条件”,添加到不包含条件,则扫描时只会扫描前缀除了dsc_以外的文件。
扫描深度
- “全局扫描”:如果选择全局扫描是对指定范围内的全部数据进行扫描。
- “指定扫描范围”:选择“指定扫描范围”,输入扫描深度值,根目录深度为1,依次类推,根目录深度值不能超过10。
数据库/大数据/MRS
资产
单击下拉框选择实例名称,支持多选。
扫描范围配置
- “前缀”:前缀的包含条件最多只能添加1个。如:输入前缀为dsc_时,单击“添加为包含条件”添加为包含条件后就会只扫描表名前缀为dsc_的表数据。如果单击“添加为不包含条件”添加为不包含条件就只扫描表名前缀除dsc_以外的表数据。
- “后缀”:后缀的包含条件最多只能添加1个。原理如同表名前缀所示。
LTS
资产
单击下拉框选择实例名称,支持多选。
扫描范围配置
- “key前缀”:添加为包含条件会扫描包含该key前缀的日志内容。添加为不包含条件会扫描除该key前缀的日志内容。
- “key后缀”:原理如同key前缀所示。
说明:
- key前缀和key后缀最多可各添加1个包含条件。
- key前缀和key后缀总共可以添加10个不包含条件。
图1 扫描范围配置 - “文件名前缀”:如:将文件名前缀为dsc_添加为包含条件时,就会扫描所有前缀为dsc_的文件。
相关操作
- 在目标任务“操作”列单击 进入“编辑任务”界面,编辑和修改任务内容。
- 在目标任务“操作”列单击 ,在确认删除的弹框中单击“确定”,删除此任务。
- 如果识别任务正在运行,需先停止任务或者待任务识别完成后再执行删除操作。
- 删除操作无法恢复,请谨慎操作。