对云上数据资产进行分类分级
数据资产分类分级是指根据识别规则将数据进行分类,并在分类的基础上,根据数据的敏感性、重要性以及泄露后可能造成的影响,将数据划分为不同的级别。这样做可以确保数据得到与其重要性和影响程度相适应的保护,同时满足合规要求。
DSC提供敏感数据识别功能,定义10种敏感级别,实现数据的精细化管理,有效帮助企业或组织监控敏感数据的流向,制定相应的数据安全策略,并在数据泄露或其他安全事件发生时,快速定位问题并采取应对措施。
本章节以购买DSC标准版为例,介绍如何快速对云上数据资产进行分类分级,操作包含购买DSC、授权数据库、新建敏感数据识别任务、查看分类分级结果。
操作流程
|
操作步骤 |
说明 |
|---|---|
|
购买DSC,选择版本规格(本文以标准版为例)扩展包等信息并完成云资产委托授权打通各服务与DSC的访问策略权限。 |
|
|
数据库和大数据类型资产需要完成授权之后才能进行敏感数据识别、数据脱敏和数据库水印注入/提取,完成数据库授权,允许DSC访问数据库获取数据进行敏感数据识别和脱敏。 |
|
|
创建识别任务,对资产进行敏感数据识别,根据所选识别模板对数据进行分类分级。 |
|
|
查看分类分级结果,对数据资产进行进一步安全防护。 |
准备工作
- 在购买数据安全中心之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。
如果您已开通华为云并进行实名认证,请忽略此步骤。
仅在购买或使用中国大陆云服务区的资源时,需要实名认证。
- 购买包周期资源时,请保证账户有足够的资金,防止购买数据安全中心失败。具体操作请参见账户充值。
- 请确保已为账号赋予相关DSC权限。具体操作请参见创建用户组并授权使用DSC。
表1 DSC系统权限 角色名称
描述
类别
依赖关系
DSC DashboardReadOnlyAccess
数据安全中心服务大屏服务只读权限。
系统策略
无
DSC FullAccess
数据安全中心服务所有权限。
系统策略
购买RDS包周期实例需要配置授权项:
bss:order:update
bss:order:pay
DSC ReadOnlyAccess
数据安全中心服务只读权限。
系统策略
无
步骤一:购买DSC并完成云资产委托授权
- 登录管理控制台。
- 单击左上角的
,选择区域或项目。 - 在左侧导航树中,单击
,选择。 - 首次购买DSC,在界面左侧,单击“立即购买”。
- 在“购买数据安全中心”页面,完成购买参数配置如表2所示并完成支付。
表2 购买参数配置 参数
取值示例
描述
当前区域
华北-北京一
单击下拉框选择购买区域,数据安全中心不支持跨区域使用,即在本Region下购买的DSC版本,只能在该Region下使用。
当前项目
cn-north
单击下来框选择企业项目。
使用场景
通用数据安全防护场景
选择使用场景:
版本规格
标准版
标准版支持资产地图、敏感数据识别和数据风险检测的功能。如果需要进行数据脱敏和数据水印注入\提取的功能,请参照升级版本和规格章节进行版本升级。
OBS扩展包
1
1个OBS扩展包含1T体量,即1024GB。
数据库扩展包
1
1个数据库扩展包含1个可添加数据库(支持RDS、DWS、ECS自建数据库、DLI、Elasticsearch、ECS自建大数据等)资产,支持的数据库类型及版本详情请参见使用约束章节。
购买时长
1个月
单击时间轴的点,选择购买时长 ,可以选择1个月~3年的时长。
图1 购买参数配置
- 购买完成后,返回控制台进入“资产地图”界面,单击界面左上角的云资产授权后的“修改”,完成云资产委托授权,如图2所示打开数据库委托授权开关。
同意授权后,DSC将根据您的选择,设置委托权限以此来访问您的云上资产,详细的委托授权策略请参见云资产委托授权/停止授权。
停止授权,需要您的资产没有绑定任务。停止授权后,DSC会删除您的委托和资产信息,对应的所有数据将被清除,请谨慎操作。
步骤二:授权数据库允许DSC访问数据库
数据安全中心支持自动发现云上资产和添加自建数据资产。完成云上资产委托授权将资产接入DSC后,您可以在资产中心授权和管理您的资产。
数据库和大数据类型资产需要完成授权之后才能进行敏感数据识别、数据脱敏和数据库水印注入/提取。
- 登录管理控制台。
- 单击左上角的
,选择区域或项目。 - 在左侧导航树中,单击
,选择。 - 在左侧导航树中选择“资产管理 > 资产中心”,进入“资产中心”页面。
- 在资产类型菜单中,选择,进入“数据库”页签。
- 单击“数据库实例”页签,在对应的数据库实例“操作”列,单击“授权”按照如图3所示填写信息。
授权“只读权限”:只能使用“敏感数据识别”功能。
授权“读写权限”:可使用“敏感数据识别”和“数据脱敏”功能。
DSC暂不支持对RDS中已开启SSL的MySQL数据库进行扫描和脱敏。
- 完成授权后,单击“数据库”页签,查看已授权数据库的连通状态。
图4 连通状态
资产授权完成后,该资产“连通状态”为“检查中”,此时,DSC会测试数据库的连通性。
DSC能正常访问已添加的数据库,该数据库的“连通状态”为“成功”。
步骤三:新建敏感数据识别任务
数据安全中心会根据创建识别任务时选择的数据类型以及识别模板,对资产数据进行敏感数据识别并生成识别结果。
- 登录管理控制台。
- 单击左上角的
,选择区域或项目。 - 在左侧导航树中,单击
,选择。 - 在左侧导航树中,选择,进入识别任务界面。
- 在任务列表左上角,单击“新建任务”。
- 在弹出的“新建任务”的对话框中,参照表3配置相关参数。
表3 新建任务参数取值 参数
取值样例
说明
任务名称
Test任务_01
您可以自定义敏感数据识别任务名称。
任务名称需要满足以下要求:
- 4~255个字符。
- 字符可由中文、英文字母、数字、下划线或中划线组成。
- 开头需为中文或者字母。
- 任务名称不能与已有的任务名称重复。
数据类型
数据库 > testPG13
选择识别的数据类型,可多选。
- OBS:DSC将对已添加的华为云OBS里的资产进行敏感数据识别,添加OBS资产的相关操作请参见添加OBS资产。
- 数据库:DSC将对已授权的数据库资产进行敏感数据识别,授权数据库资产的相关操作请参见添加数据库资产并授权。
- 大数据:DSC将对已授权的大数据资产进行敏感数据识别,授权大数据源资产请参见添加大数据资产并授权。
- MRS:DSC将对已授权的MRS资产进行敏感数据识别,授权MRS资产请参见添加大数据资产并授权。
- LTS:DSC将对已授权的LTS资产进行敏感数据识别,添加日志流请参见添加日志流。
识别模板
华为云数据安全分类分级模板
选择内置模板或者自定义模板,DSC将根据您选择的模板对数据进行分级分类展示。新增模板请参见配置敏感数据识别策略章节中的“新建识别模板”的内容。
识别周期
单次
设置数据识别任务的执行策略:
- 单次:根据设置的执行计划,在设定的时间内或者立即执行一次该识别任务。
- 每天:选择该选项,即在每天的固定时间执行该识别任务。
- 每周:选择该选项,即在设定的每周这一时间点执行该识别任务。
- 每月:选择该选项,即在设定的每月这一时间点执行该识别任务。
执行计划
立即执行
“识别周期”为“单次”时,显示该选项:- 立即执行:选择该选项,单击“确定”,系统立即执行数据识别任务。
- 定时启动:在指定时间执行一次该识别任务。
通知主题(可选)
无
- 单击下拉列表选择已创建消息通知主题或者单击“查看通知主题”创建新的主题,用于配置接收告警通知的终端。
- 如果不配置通知主题,可在识别任务列表查看识别结果,详情请参考识别结果。
图5 新建任务参数配置
- 单击“确定”,界面右上角提示创建任务成功,即识别任务创建成功。
