功能特性

资产地图

数据资产地图可以通过可视化的手段，从资产概况、分类分级、权限配置、数据存储、敏感数据等多种维度查看资产的安全状况。可协助您快速发现风险资产并快速进行风险处理操作。

• 资产可视化
  • 数据服务资产：涵盖了云上所有数据资产，包含OBS、RDS、CSS、Hive以及Hbase等。
  • 数据风险：数据关联分级分类结果，一览展示各个数据风险级别。
  • 分区展示：根据云上资源VPC展示各个资产所在区域，和业务区域关联。
• 出口可视
  • 数据出口：识别云上关键数据出口，包含EIP/NAT/APIGateway/Roma等。
  • 出口关联资产：云上出口和数据关联，结合分级分类结果，一览数据出口风险。
  • 级联关联：数据出口包含直接出口和级联间接出口，不同展示方式。
• 策略可视
  • 数据安全策略：云原生能力检测数据资产的安全策略，一览策略风险。
  • 策略推荐：根据数据资产等级推荐不同的安全策略配置。

资产地图

资产管理

• 资产中心：DSC支持管理OBS、数据库、大数据、MRS数据资产以及云日志类型资产。
• 资产目录：查看不同业务域或不同类型数据的统计信息。
• 数据探索：查看当前已添加的所有数据资产详细信息，并对数据库、数据表以及数据视图等添加描述、标签、密级和分类操作，从而实现数据资产分级分类管理。
• 元数据任务：用户可以创建元数据任务扫描数据资产，数据资产信息会以元数据的形式被采集、收纳到DSC中，后续用户可以对数据资产进行分级分类管理。
• 资产分组管理：对现有数据进行分组管理。

资产管理

敏感数据识别

• 数据自动分级分类：从海量数据中自动发现并分析敏感数据使用情况，基于数据识别引擎，对其储存结构化数据（RDS、DWS等）和非结构化数据（OBS）进行扫描、分类、分级，解决数据“盲点”，以此做进一步安全防护。
  • 文件类型：支持近200种非结构化文件。
  • 数据类型：支持数十种个人隐私数据类型，包含中英文。
  • 图片类型：支持识别（png、jpeg、x-portable-pixmap、tiff、bmp、gif、jpx、jp2总共8种类型）图片中的敏感文字，包含中英文。
• 自动识别敏感数据
  • 自动识别敏感数据及个人隐私数据。
  • 支持自定义规则，场景适配不同行业。
  • 提供可视化识别结果，同时，可供用户下载到本地查看。

DSC服务敏感数据的识别时长将由您所扫描数据源的数据量、扫描规则数、扫描模式决定，具体请参见DSC扫描时长。

新建敏感数据识别任务

数据脱敏

DSC的数据脱敏支持静态脱敏和动态脱敏。

DSC的数据脱敏特点：

• 不影响用户数据：从原始数据库读取数据，通过精确的脱敏引擎，对用户的敏感数据实施静态脱敏，脱敏结果另行存放，不会影响原始的用户数据。
• 支持云上各类场景：支持RDS，ECS自建数据库，大数据合规。
• 满足多种脱敏需求：用户可以通过20+种预置脱敏规则，或自定义脱敏规则来对指定数据库表进行脱敏，DSC支持的脱敏算法详见脱敏算法。
• 实现一键合规：基于扫描结果自动提供脱敏合规建议，一键配置脱敏规则。

同时，DSC提供了数据动态脱敏的API接口供您使用，具体请参考数据动态脱敏。

DSC通过内置和自定义脱敏算法，实现对RDS、Elasticsearch、MRS、Hive、HBase、DLI以及OBS数据进行脱敏，具体的脱敏时长请参见DSC脱敏时长。

配置脱敏规则

数据水印

针对数据库、文档以及图片提供了注入和提取水印的功能。

• 版权证明：嵌入数据拥有者的信息，保证资产唯一归属，实现版权保护。
• 追踪溯源：嵌入数据使用者的信息，在发生数据泄露事件时，追踪其泄露源头。

同时，DSC提供了数据动态添加水印和提取数据水印的API接口供您使用，具体请参考API接口参考。

水印注入

策略中心

• 策略基线：策略基线是数据安全管理规定、数据分类分级要求、数据出境管理规定、重要数据和核心数据要求等数据安全策略结构化，DSC依据华为云数据安全治理经验预置策略模板，支持策略的增删改查、策略的结构化展示和过滤查询等。
• 流转日志采集：DSC对各个应用中的日志数据进行采集，如DBSS服务和API数据安全防护，可动态的采集用户访问行为的路径，可以快速全面支撑溯源或定位，直观了解数据的流转情况，及时发现异常和风险。
• 策略管理：管理员在策略中心的策略管理页面制定数据库审计、数据库加密、数据库水印、数据库静态脱敏、数据库动态脱敏策略，下发给相应的服务或者实例。

策略中心

API数据安全防护

API数据安全防护是一款为企业提供综合的API安全防护系统。

对应用API接口进行自动梳理，实现应用接口细粒度访问控制、API异常风险发现、API敏感数据检测、脱敏和水印等能力。

API数据安全防护

态势大屏

数据安全中心默认提供一个综合态势感知大屏，对云上风险资产、识别任务、脱敏任务、水印任务、事件、告警等信息进行综合展示和分析，实现一屏全面感知，帮助用户快速识别资产综合态势，对风险资产和紧急告警快速做出响应。

态势大屏

告警管理

当DBSS有系统或者业务方面的风险告警事件时，会将告警事件推送到DSC，用户可以在DSC控制台确认相关的告警事件。

告警管理

事件管理

数据安全中心对接数据库审计、云堡垒机等安全组件，对各组件事件进行统一管理，会将事件实时推送到DSC，用户可以对事件进行确认和处理。也可以将告警页面的告警转事件。

事件管理

OBS使用审计

数据安全中心服务根据敏感数据规则对OBS桶进行识别，根据识别的敏感数据进行监控，监控到敏感数据的异常事件相关操作后，会将监控结果展示在异常事件处理页面中，用户可根据需要对异常事件进行处理。

OBS使用审计

数据流转详情

• 调用链数据采集，对各个应用中的日志数据进行采集。
• 调用链数据存储及查询，对采集到的数据进行存储，由于日志数据量一般都很大，不仅要能对其存储，还需要能提供快速查询。
• 调用链数据生成，DSC负责对采集上报的日志进行数据链路流转分析，并绘制流转图
• 指标运算、存储及查询，对采集到的日志数据进行各种指标运算，将运算结果保存起来。

数据流转详情

设备管理

设备管理的作用是纳管第三方设备，包含应用数据审计设备、应用数据安全网关设备、数据库防火墙设备、数据库加密设备，进行状态监控和告警展示，将风险和告警呈现给客户。

管理员在数据安全设备管理的策略管理页面制定数据库加密、数据库动脱策略，下发给数据库加密（动脱）设备生效。

设备管理

多账号管理

开启多账号管理功能后，安全管理员在安全运营账号中对所有成员账号进行统一的数据安全防护，而无需逐个登录到成员账号。

多账号管理

告警通知

通过设置告警通知，当敏感数据检测完成后或异常事件处理监测到异常事件时，DSC会将其检测结果通过用户设置的接收通知方式发送给用户。

告警通知