文档首页/ 数据安全中心 DSC/ 快速入门/ 对云上数据资产进行分类分级
更新时间:2025-08-05 GMT+08:00
分享

对云上数据资产进行分类分级

数据资产分类分级是指根据识别规则将数据进行分类,并在分类的基础上,根据数据的敏感性、重要性以及泄露后可能造成的影响,将数据划分为不同的级别。这样做可以确保数据得到与其重要性和影响程度相适应的保护,同时满足合规要求。

DSC提供敏感数据识别功能,定义10种敏感级别,实现数据的精细化管理,有效帮助企业或组织监控敏感数据的流向,制定相应的数据安全策略,并在数据泄露或其他安全事件发生时,快速定位问题并采取应对措施。

本章节以购买DSC标准版为例,介绍如何快速对云上数据资产进行分类分级,操作包含购买DSC、授权数据库、新建敏感数据识别任务、查看分类分级结果。

操作流程

操作步骤

说明

步骤一:购买DSC并完成云资产委托授权

购买DSC,选择版本规格(本文以标准版为例)扩展包等信息并完成云资产委托授权打通各服务与DSC的访问策略权限。

步骤二:授权数据库允许DSC访问数据库进行数据识别

数据库和大数据类型资产需要完成授权之后才能进行敏感数据识别、数据脱敏和数据库水印注入/提取,完成数据库授权,允许DSC访问数据库获取数据进行敏感数据识别和脱敏。

步骤三:新建敏感数据识别任务

创建识别任务,对资产进行敏感数据识别,根据所选识别模板对数据进行分类分级。

步骤四:查看分类分级结果

查看分类分级结果,对数据资产进行进一步安全防护。

准备工作

  1. 在购买数据安全中心之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云实名认证

    如果您已开通华为云并进行实名认证,请忽略此步骤。

    仅在购买或使用中国大陆云服务区的资源时,需要实名认证。

  2. 购买包周期资源时,请保证账户有足够的资金,防止购买数据安全中心失败。具体操作请参见账户充值
  3. 请确保已为账号赋予相关DSC权限。具体操作请参见创建用户组并授权使用DSC
    表1 DSC系统权限

    角色名称

    描述

    类别

    依赖关系

    DSC DashboardReadOnlyAccess

    数据安全中心服务大屏服务只读权限。

    系统策略

    DSC FullAccess

    数据安全中心服务所有权限。

    系统策略

    购买RDS包周期实例需要配置授权项:

    bss:order:update

    bss:order:pay

    DSC ReadOnlyAccess

    数据安全中心服务只读权限。

    系统策略

步骤一:购买DSC并完成云资产委托授权

  1. 登录管理控制台
  2. 单击左上角的,选择区域或项目。
  3. 在左侧导航树中,单击,选择安全与合规 > 数据安全中心
  4. 首次购买DSC,在界面左侧,单击“立即购买”
  5. “购买数据安全中心”页面,完成购买参数配置如表2所示并完成支付。

    表2 购买参数配置

    参数

    取值示例

    描述

    当前区域

    华北-北京一

    单击下拉框选择购买区域,数据安全中心不支持跨区域使用,即在本Region下购买的DSC版本,只能在该Region下使用。

    当前项目

    cn-north

    单击下来框选择企业项目。

    使用场景

    通用数据安全防护场景

    选择使用场景:

    • 通用数据安全防护场景:

      通用数据安全防护场景提供数据分级分类、数据脱敏、数据水印、API数据保护等基础数据安全能力,通过资产地图整体呈现云上数据安全态势,实现一站式数据安全运营能力。

    • 大模型数据安全防护场景:

      大模型数据安全防护场景结合AI大模型对数据安全的新需求,DSC强化对AI数据的隐私和合规处置能力,确保AI训练和推理全流程中的数据安全和合规性。

    版本规格

    标准版

    标准版支持资产地图、敏感数据识别和数据风险检测的功能。如果需要进行数据脱敏和数据水印注入\提取的功能,请参照升级版本和规格章节进行版本升级。

    OBS扩展包

    1

    1个OBS扩展包含1T体量,即1024GB。

    数据库扩展包

    1

    1个数据库扩展包含1个可添加数据库(支持RDS、DWS、ECS自建数据库、DLI、Elasticsearch、ECS自建大数据等)资产,支持的数据库类型及版本详情请参见使用约束章节。

    购买时长

    1个月

    单击时间轴的点,选择购买时长 ,可以选择1个月~3年的时长。

    图1 购买参数配置

  6. 购买完成后,返回控制台进入“资产地图”界面,单击界面左上角的云资产授权后的“修改”,完成云资产委托授权,如图2所示打开数据库委托授权开关。

    同意授权后,DSC将根据您的选择,设置委托权限以此来访问您的云上资产,详细的委托授权策略请参见云资产委托授权/停止授权

    停止授权,需要您的资产没有绑定任务。停止授权后,DSC会删除您的委托和资产信息,对应的所有数据将被清除,请谨慎操作。

    图2 授权资产

步骤二:授权数据库允许DSC访问数据库

数据安全中心支持自动发现云上资产和添加自建数据资产。完成云上资产委托授权将资产接入DSC后,您可以在资产中心授权和管理您的资产。

数据库和大数据类型资产需要完成授权之后才能进行敏感数据识别、数据脱敏和数据库水印注入/提取。

  1. 登录管理控制台
  2. 单击左上角的,选择区域或项目。
  3. 在左侧导航树中,单击,选择安全与合规 > 数据安全中心
  4. 在左侧导航树中选择“资产管理 > 资产中心”,进入“资产中心”页面。
  5. 在资产类型菜单中,选择数据库 > RDS,进入“数据库”页签。
  6. 单击“数据库实例”页签,在对应的数据库实例“操作”列,单击“授权”按照如图3所示填写信息。

    授权“只读权限”:只能使用“敏感数据识别”功能。

    授权“读写权限”:可使用“敏感数据识别”“数据脱敏”功能。

    DSC暂不支持对RDS中已开启SSL的MySQL数据库进行扫描和脱敏。

    图3 数据库授权

  7. 完成授权后,单击“数据库”页签,查看已授权数据库的连通状态。

    图4 连通状态

    资产授权完成后,该资产“连通状态”“检查中”,此时,DSC会测试数据库的连通性。

    DSC能正常访问已添加的数据库,该数据库的“连通状态”“成功”

步骤三:新建敏感数据识别任务

数据安全中心会根据创建识别任务时选择的数据类型以及识别模板,对资产数据进行敏感数据识别并生成识别结果。

  1. 登录管理控制台
  2. 单击左上角的,选择区域或项目。
  3. 在左侧导航树中,单击,选择安全与合规 > 数据安全中心
  4. 在左侧导航树中,选择敏感数据识别 > 识别任务,进入识别任务界面。
  5. 在任务列表左上角,单击“新建任务”
  6. 在弹出的“新建任务”的对话框中,参照表3配置相关参数。

    表3 新建任务参数取值

    参数

    取值样例

    说明

    任务名称

    Test任务_01

    您可以自定义敏感数据识别任务名称。

    任务名称需要满足以下要求:

    • 4~255个字符。
    • 字符可由中文、英文字母、数字、下划线或中划线组成。
    • 开头需为中文或者字母。
    • 任务名称不能与已有的任务名称重复。

    数据类型

    数据库 > testPG13

    选择识别的数据类型,可多选。

    • OBS:DSC将对已添加的华为云OBS里的资产进行敏感数据识别,添加OBS资产的相关操作请参见添加OBS资产
    • 数据库:DSC将对已授权的数据库资产进行敏感数据识别,授权数据库资产的相关操作请参见添加数据库资产并授权
    • 大数据:DSC将对已授权的大数据资产进行敏感数据识别,授权大数据源资产请参见添加大数据资产并授权
    • MRS:DSC将对已授权的MRS资产进行敏感数据识别,授权MRS资产请参见添加大数据资产并授权
    • LTS:DSC将对已授权的LTS资产进行敏感数据识别,添加日志流请参见添加日志流

    识别模板

    华为云数据安全分类分级模板

    选择内置模板或者自定义模板,DSC将根据您选择的模板对数据进行分级分类展示。新增模板请参见配置敏感数据识别策略章节中的“新建识别模板”的内容。

    识别周期

    单次

    设置数据识别任务的执行策略:

    • 单次:根据设置的执行计划,在设定的时间内或者立即执行一次该识别任务。
    • 每天:选择该选项,即在每天的固定时间执行该识别任务。
    • 每周:选择该选项,即在设定的每周这一时间点执行该识别任务。
    • 每月:选择该选项,即在设定的每月这一时间点执行该识别任务。

    执行计划

    立即执行

    “识别周期”“单次”时,显示该选项:
    • 立即执行:选择该选项,单击“确定”,系统立即执行数据识别任务。
    • 定时启动:在指定时间执行一次该识别任务。

    通知主题(可选)

    • 单击下拉列表选择已创建消息通知主题或者单击“查看通知主题”创建新的主题,用于配置接收告警通知的终端。
    • 如果不配置通知主题,可在识别任务列表查看识别结果,详情请参考识别结果
    图5 新建任务参数配置

  7. 单击“确定”,界面右上角提示创建任务成功,即识别任务创建成功。

步骤四:查看分类分级结果

  1. 登录管理控制台
  2. 单击左上角的,选择区域或项目。
  3. 在左侧导航树中,单击,选择安全与合规 > 数据安全中心
  4. 在左侧导航树中,选择敏感数据识别 > 识别任务,进入“识别任务”界面。
  5. 单击目标任务“操作”列的“识别结果”,进入“结果明细”界面。

    图6 识别结果明细

  6. 在目标扫描对象所在行的“操作”列,单击“查看分类分级结果详情”,进入“分类分级结果详情”页面。

    查看结果详情和具体的样例数据,如需下载识别结果请参照下载识别结果

    单击“样例数据”页签查看匹配该规则的样例数据信息,目前大数据类型和LTS不支持查看样例数据。

相关操作

对分类分级后的数据,为了保护敏感信息和隐私数据,防止未经授权的访问或泄露,您可以进行数据脱敏和添加数据水印的操作,请先参照升级版本和规格章节升级为专业版。

  • 请参见数据脱敏章节进行脱敏,脱敏后的数据可用于开发测试、数据分享、数据研究等场景。
  • 请参见数据水印章节添加数据水印,给您的数据资产打上唯一标识,保证资产唯一归属,实现版权保护,在发生数据泄露事件时,追踪其泄露源头。

相关文档