数据安全中心
产品介绍
文档版本 18
发布日期 2022-01-26
版权所有 © 华为技术有限公司 2022。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传 播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或 特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声 明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文 档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
目 录
1 什么是数据安全中心... 1
2 规格版本差异... 2
3 功能特性...3
4 产品优势...7
5 计费说明...8
6 应用场景...10
7 与其他云服务的关系... 11
8 使用约束...16
9 个人数据保护机制... 17
10 DSC 权限管理... 18
A 修订记录... 20
产品介绍 目 录
1 什么是数据安全中心
数据安全中心服务(Data Security Center,DSC)是新一代的云化数据安全平台,提 供数据分级分类、数据安全风险识别、数据水印溯源和数据静态脱敏等基础数据安全 能力,通过数据安全总览整合数据安全生命周期各阶段状态,对外整体呈现云上数据 安全态势。
须知
DSC仅对数据进行敏感数据检测,不会对您的数据文件进行保存。
产品介绍 1 什么是数据安全中心
2 规格版本差异
数据安全中心服务提供了标准版和专业版两个服务版本供您选择,其差异如表2-1所 示。
说明
当前版本的数据库数量和OBS体量不能满足业务需求时,可以通过升级版本和规格增加数据库扩 展包和OBS扩展包的数量。
表2-1 服务版本差异 规格版
本
支持添加的数
据库数量 OBS体量 API调用额度 支持的功能
标准版 2个 100GB 不支持 ● 数据安全总览
● 敏感数据识别
● 数据使用审计 专业版 2个 100GB 100W次 ● 数据安全总览
● 敏感数据识别
● 数据使用审计
● 数据脱敏
● 数据水印注入/提取
● API接口的调用
产品介绍 2 规格版本差异
3 功能特性
数据安全中心为您提供的功能如表3-1。
表3-1 功能概览
功能特性 说明 参考文档
数据安全总览 展示数据安全全生命周期各个阶段的状 态,包括云服务全景图(资产地图)、
数据采集安全、数据传输/存储安全、数 据使用安全和数据交换/删除安全,实时 呈现了用户资产的具体情况。
数据安全总览
资产列表 DSC支持管理OBS、数据库和大数据三 类数据资产。
可添加资产的约束条件详见使用约束。
批量添加资产
产品介绍 3 功能特性
功能特性 说明 参考文档 敏感数据识别 ● 数据自动分级分类:在AI和专家知识
库的双重加权下,精准识别敏感数据 和文件,覆盖结构化(RDS)和非结 构化(OBS)两种数据类型,实现云 上全场景覆盖。
– 文件类型:支持近200种非结构化 文件。
– 数据类型:支持数十种个人隐私 数据类型,包含中英文。
– 图片类型:支持识别(png、
jpeg、x-portable-pixmap、tiff、
bmp、gif、jpx、jp2总共8中类 型)图片中的敏感文字,包含中 英文。
– 合规模板:多种内置合规知识 库,如GDPR,PCI DSS,HIPAA 等。
● 自动识别敏感数据
– 自动识别敏感数据及个人隐私数 据。
– 支持自定义规则,场景适配不同 行业。
– 血缘图梳理敏感文件框架,清晰 定位。
– 提供合规报表下载,数据透明可 视。
DSC服务敏感数据的识别时长将由您所 扫描数据源的数据量、扫描规则数、扫 描模式决定,具体请参见DSC扫描时 长。
创建敏感数据识别任务
产品介绍 3 功能特性
功能特性 说明 参考文档 数据使用审计 用户异常行为分析:基于深度行为识别
技术,建立用户行为基线,实现基线外 异常操作实时告警,行为操作实时查 询,行为轨迹可视化,风险事件关联识 别,针对风险事件关联用户操作,完善 溯源审计链条。
通常情况下,以下行为均被视为异常事 件:
● 非法用户在未经授权的情况下对敏感 数据进行了访问、下载。
● 合法用户对敏感数据进行了访问、下 载、修改、权限更改、权限删除。
● 合法用户对敏感数据的桶进行权限更 改、权限删除。
● 访问敏感数据的用户登录终端异常等 情况。
查看异常事件
数据脱敏 DSC的数据脱敏支持静态脱敏和动态脱 敏。
DSC的数据脱敏特点:
● 不影响用户数据:从原始数据库读取 数据,通过精确的脱敏引擎,对用户 的敏感数据实施静态脱敏,脱敏结果 另行存放,不会影响原始的用户数 据。
● 支持云上各类场景:支持RDS,ECS 自建数据库,大数据合规。
● 满足多种脱敏需求:用户可以通过 20+种预置脱敏规则,或自定义脱敏 规则来对指定数据库表进行脱敏,
DSC支持的脱敏算法详见脱敏算法。
● 实现一键合规:基于扫描结果自动提 供脱敏合规建议,一键配置脱敏规 则。
同时,DSC提供了数据动态脱敏的API接 口供您使用,具体请参考数据动态脱 敏。
DSC通过内置和自定义脱敏算法,实现 对RDS、CSS数据进行脱敏,具体的脱 敏时长请参见DSC脱敏时长。
配置脱敏规则
产品介绍 3 功能特性
功能特性 说明 参考文档 数据水印 针对PDF、PPT、Word、Excel格式的文
件提供了添加和提取水印的功能。
● 版权证明:嵌入数据拥有者的信息,
保证资产唯一归属,实现版权保护。
● 追踪溯源:嵌入数据使用者的信息,
在发生数据泄露事件时,追踪其泄露 源头。
同时,DSC提供了数据动态添加水印和 提取数据水印的API接口供您使用,具 体请参考API接口参考。
水印注入
告警通知 通过设置告警通知,当敏感数据检测完 成后或异常事件处理监测到异常事件 时,DSC会将其检测结果通过用户设置 的接收通知方式发送给用户。
告警通知
产品介绍 3 功能特性
4 产品优势
数据安全全生命周期可视
整合数据安全全生命周期各阶段状态,对外整体呈现云上数据安全态势。
云上全场景覆盖
整合云上各类数据源,提供一站式数据保护和防御机制。支持结构化和非结构化类型 数据,支持云原生和ECS自建场景。
精准高效识别
在专家知识库和NLP的双重加权下,识别能力更强,精准高效锁定敏感数据源。
全栈敏感数据防护
根据敏感数据发现策略来精准识别数据库中的敏感数据,基于多种预置脱敏算法+用户 自定义脱敏算法,实现全栈敏感数据防护。
产品介绍 4 产品优势
5 计费说明
数据安全中心服务版本支持包年/包月(预付费)的计费方式,API接口(数据脱敏和 水印API调用)支持按需计费(后付费)的计费方式。
计费项
表5-1 计费项信息
计费模式 计费项目 计费说明
包周期(包年/包 月)
服务版本(必须) 按购买的版本规格(标准版、专业版)
计费。
各服务版本支持的业务规格和功能,请 参见规格版本差异。
数据库扩展包(可 选)
按购买个数计费。
OBS扩展包(可选) 按购买个数计费。
购买时长 提供包月和包年的购买模式。
按需计费 API接口(数据脱敏和
水印API调用) 仅专业版支持,且默认支持每月100W 次的调用额度,不累计,月末清零。超 出部分按照调用次数收费,详情请参见 产品价格详情。
计费模式
● 包周期(包年/包月):服务版本计费模式,使用越久越便宜。包周期计费按照订 单的购买周期来进行结算。
● 按需计费:API接口计费模式,这种购买方式比较灵活,可以即开即停。
详细的服务资费费率标准请参见产品价格详情。
产品介绍 5 计费说明
变更配置
● 购买数据安全中心服务后,您可以通过升级规格操作,将DSC从较低版本升级到 更高版本,也可以根据业务需求增加数据库扩展包和OBS扩展包的数量。
● 退订:以包年/包月方式购买DSC后,如需停止使用,请到费用中心执行退订操 作。
续费
包年/包月方式购买的DSC到期后,如果没有按时续费,公有云平台会提供一定的保留 期。
保留期的时长由客户等级而定,详细信息请参见“保留期”。
为了防止造成不必要的损失,请您及时续费。如果未续费,您将不能使用DSC服务。
如需续费,请在管理控制台续费管理页面进行续费操作。详细操作请参考续费管理。
到期与欠费
● 服务到期
若购买的服务版本到期后,如果没有按时续费,公有云平台会提供一定的保留 期,请参考保留期。
● 欠费
若购买的服务版本已欠费,可以查看欠费详情。为了更好的使用服务,建议您及 时进行充值,详细操作请参考欠费还款。
FAQ
更多计费相关FAQ,请参见DSC常见问题。
产品介绍 5 计费说明
6 应用场景
敏感数据自动识别分类
从海量数据中自动发现并分析敏感数据使用情况,基于数据识别引擎,对其储存结构 化数据(RDS)和非结构化数据(OBS)进行扫描、分类、分级,解决数据“盲点”,
以此做进一步安全防护。
用户异常行为分析
通过深度行为识别引擎,建立用户行为基线,实现基线外异常操作实时告警,行为操 作实时查询,行为轨迹可视化,风险事件关联识别,针对风险事件关联用户操作,完 善溯源审计链条。及时发现数据使用是否存在安全违规并及时预警,预防数据泄露。
数据脱敏保护
通过多种预置脱敏算法+用户自定义脱敏算法,搭建数据保护引擎,实现非结构化数据 脱敏储存,结构化数据静态脱敏,防止敏感数据泄露。
满足信息合规要求
DSC拥有数十种合规模板,包含GDPR,PCI DSS,HIPAA等,多种合规规则一键匹配 识别,生成报表供针对性整改,精准区分和保护个人数据,避免产生合规问题。
产品介绍 6 应用场景
7 与其他云服务的关系
数据安全中心与周边服务的依赖关系如图7-1所示。
图7-1 与其他云服务的关系
与对象存储服务的关系
对象存储服务(Object Storage Service,简称OBS)是一款稳定、安全、高效、易用 的云存储服务,具备标准Restful API接口,可存储任意数量和形式的非结构化数据。
经用户授权后,数据安全中心可以为OBS提供敏感数据自动识别分类、用户异常行为 分析、数据保护三大服务。
产品介绍 7 与其他云服务的关系
与数据仓库服务的关系
数据仓库服务(Data Warehouse Service,简称DWS)是一种基于公有云基础架构和 平台的在线数据处理数据库,提供即开即用、可扩展且完全托管的分析型数据库服 务。经用户授权后,数据安全中心可以为数据仓库服务提供敏感数据自动识别分类和 数据保护服务。
与弹性云服务器的关系
弹性云服务器(Elastic Cloud Server,简称ECS)是一种可随时自助获取、可弹性伸缩 的云服务器。经用户授权后,数据安全中心可以为弹性云服务器上的自建数据库提供 敏感数据自动识别分类和数据保护服务。
与裸金属服务器的关系
裸金属服务器(Bare Metal Server,简称BMS)是一款兼具虚拟机弹性和物理机性能 的计算类服务。经用户授权后,数据安全中心可以为裸金属服务器上的自建数据库提 供敏感数据自动识别分类和数据保护服务。
与云搜索服务的关系
云搜索服务(Cloud Search Service,简称CSS),为您提供托管的分布式搜索引擎服 务,完全兼容开源Elasticsearch搜索引擎,支持结构化、非结构化文本的多条件检索、
统计、报表。云搜索服务的使用流程和数据库类似。经用户授权后,数据安全中心可 以为云搜索服务上的大数据资产提供敏感数据自动识别分类和数据保护服务。
与数据湖探索服务的关系
数据湖探索(Data Lake Insight,简称DLI),是完全兼容Apache Spark、Apache Flink、openLooKeng(基于Apache Presto)生态,提供一站式的流处理、批处理、
交互式分析的Serverless融合处理分析服务。经用户授权后,数据安全中心可以为数据 湖探索服务上的大数据资产提供敏感数据自动识别分类和数据保护服务。
与弹性负载均衡的关系
数据安全中心与弹性负载均衡(Elastic Load Balance ,以下简称ELB)绑定,DSC通 过ELB获取加密通信状态。
与消息通知服务的关系
消息通知服务(Simple Message Notification,简称SMN)提供消息通知功能。DSC 开启通知设置后,当敏感数据检测完成后或异常事件处理监测到异常事件时,告警信 息会通过用户设置的邮箱发送给用户。
与云审计服务的关系
云审计服务(Cloud Trace Service,CTS)记录了数据安全中心相关的操作事件,方便 用户日后的查询、审计和回溯。
产品介绍 7 与其他云服务的关系
表7-1 云审计服务支持的 DSC 操作列表
操作名称 资源类型 事件名称
授权或者取消对
DSC的授权 dscGrant grantOrRevokeTodsc 添加OBS桶资产 dscObsAsset addBuckets
删除OBS桶资产 dscObsAsset deleteBucket 添加数据库资产 dscDatabaseAsset addDatabase 修改数据库资产 dscDatabaseAsset updateDatabase 删除数据库资产 dscDatabaseAsset deleteDatabase 添加大数据资产 dscBigdataAsset addBigdata 修改大数据资产 dscBigdataAsset updateBigdata 删除大数据资产 dscBigdataAsset deleteBigdata 更新对象名称 dscAsset updateAssetName
下载批量添加模板 dscBatchImportTemplate downloadBatchImportTemplate 批量添加数据库 dscAsset batchAddDatabase
批量添加资产 dscAsset batchAddAssets 展示异常事件 dscExceptionEvent listExceptionEventInfo 获取异常事件详细
信息
dscExceptionEvent getExceptionEventDetail
添加告警配置 dscAlarmConfig addAlarmConfig 修改告警配置 dscAlarmConfig updateAlarmConfig 下载报表 dscReport downloadReport 删除报表 dscReport deleteReport 添加扫描规则 dscRule addRule 修改扫描规则 dscRule editRule 删除扫描规则 dscRule deleteRule 添加扫描规则组 dscRuleGroup addRuleGroup 修改扫描规则组 dscRuleGroup editRuleGroup 删除扫描规则组 dscRuleGroup deleteRuleGroup
产品介绍 7 与其他云服务的关系
操作名称 资源类型 事件名称 删除扫描任务 dscScanTask deleteScanJob 启动扫描任务 dscScanTask startJob 停止扫描任务 dscScanTask stopJob 启动扫描子任务 dscScanTask startTask 停止扫描子任务 dscScanTask stopTask
启用/停用ES脱敏 dscBigDataMaskSwitch switchBigDataMaskStatus 获取ElasticSearch
field信息 dscBigDataMetaData getESField 添加ES脱敏模板 dscBigDataMaskTemplat
e addBigDataTemplate 编辑ES脱敏模板 dscBigDataMaskTemplat
e editBigDataTemplate 删除ES脱敏模板 dscBigDataMaskTemplat
e deleteBigDataTemplate 查询ES脱敏模板列
表 dscBigDataMaskTemplat
e showBigDataTemplates 启动/停止ES脱敏
模板 dscBigDataMaskTemplat
e operateBigDataTemplate 切换ES脱敏模板状
态 dscBigDataMaskTemplat
e switchBigDataTemplate 启用/停用数据库脱
敏 dscDBMaskSwitch switchDBMaskStatus 获取数据库字段信
息 dscDBMetaData getColumn 添加数据库脱敏模
板 dscDBMaskTemplate addDBTemplate 修改数据库脱敏模
板
dscDBMaskTemplate editDBTemplate
删除数据库脱敏模 板
dscDBMaskTemplate deleteDBTemplate
查询数据库脱敏模 板列表
dscDBMaskTemplate showDBTemplates
启动/停止数据库脱 敏模板
dscDBMaskTemplate operateDBTemplate
切换数据库脱敏模 dscDBMaskTemplate switchDBTemplate
产品介绍 7 与其他云服务的关系
操作名称 资源类型 事件名称
添加脱敏算法 dscMaskAlgorithm addMaskAlgorithm 编辑脱敏算法 dscMaskAlgorithm editMaskAlgorithm 删除脱敏算法 dscMaskAlgorithm deleteMaskAlgorithm 测试脱敏算法 dscMaskAlgorithm testMaskAlgorithm 获取字段与脱敏算
法的映射关系 dscMaskAlgorithm getFieldAlgorithms 添加加密算法配置 dscEncryptMaskConfig addEncryptConfig 修改加密算法配置 dscEncryptMaskConfig editEncryptConfig 删除加密算法配置 dscEncryptMaskConfig deleteEncryptConfig
与虚拟私有云的关系
虚拟私有云(Virtual Private Cloud,以下简称VPC),为云服务器、云容器、云数据 库等资源构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云上资源的安 全性,简化用户的网络部署。
与统一身份认证服务的关系
统一身份认证服务(Identity and Access Management,简称IAM)为数据安全中心 服务提供了权限管理的功能。需要拥有Tenant Administrator权限的用户才能拥有DSC 服务的操作权限(包括云资源授权,资产管理以及执行资产检测任务等)。如需开通 该权限,请联系拥有Security Administrator权限的用户。
产品介绍 7 与其他云服务的关系
8 使用约束
DSC目前仅支持管理华为云上数据库资产,暂不支持管理其他云厂商的数据库资产。
支持的华为云数据库类别
● 关系型数据库(Relational Database Service,RDS)
● 对象存储服务(Object Storage Service,OBS)
● 数据仓库服务(Data Warehouse Service,DWS)
● 云搜索服务(Cloud Search Service,CSS)
● 数据湖探索服务(Data Lake Insight,DLI)
● 弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库
● 裸金属服务器(Bare Metal Server,BMS)的自建数据库
支持的数据库类型及版本
数据安全中心支持的数据库类型及版本如表1所示。
表8-1 DSC 支持的数据库类型及版本
数据库类型 版本
MySQL 5.6、5.7、5.8、8.0
SQL Server ● 2017_SE、2017_EE、2017_WEB
● 2016_SE、2016_EE、2016_WEB
● 2014_SE、2014_EE
● 2012_SE、2012_EE、2012_WEB
● 2008_R2_EE、2008_R2_WEB PostgreSQL 11、10、9.6、9.5、9.4、9.1
Oracle 10、12
产品介绍 8 使用约束
9 个人数据保护机制
为了确保您的个人数据(例如用户名、密码、手机号码等)不被未经过认证、授权的 实体或者个人获取,DSC通过控制个人数据访问权限以及记录操作日志等方法防止个 人数据泄露,保证您的个人数据安全。
收集范围
DSC收集及产生的个人数据如表9-1所示:
表9-1 个人数据范围列表
类型 收集方式 是否可以
修改
是否必须
租户ID ● 在控制台进行任何操作时 Token中的租户ID
● 在调用API接口时Token中的 租户ID
否 是,租户ID是用户 的身份标识信息
存储方式
租户ID不属于敏感数据,明文存储。
访问权限控制
用户只能查看自己业务的相关日志。
日志记录
用户个人数据的所有操作,包括修改、查询和删除等,DSC都会记录审计日志并上传
产品介绍 9 个人数据保护机制
10 DSC 权限管理
如果您需要对华为云上购买的数据安全中心(DSC)资源,给企业中的员工设置不同 的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务
(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供 用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访 问。
通过IAM,您可以在华为云帐号中给员工创建IAM用户,并使用策略来控制他们对华为 云资源的访问范围。例如您的员工中有负责软件开发的人员,您希望他们拥有数据安 全中心(DSC)的使用权限,但是不希望他们拥有删除DSC等高危操作的权限,那么您 可以使用IAM为开发人员创建用户,通过授予仅能使用DSC,但是不允许删除DSC的权 限策略,控制他们对华为云DSC资源的使用范围。
如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您 可以跳过本章节,不影响您使用DSC服务的其它功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您帐号中的 资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》。
DSC 权限
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户 组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。
授权后,用户就可以基于被授予的权限对云服务进行操作。
DSC部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区 域级项目”,然后在指定区域对应的项目中设置相关权限,并且该权限仅对此项目生 效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问DSC 时,需要先切换至授权区域。
根据授权精细程度分为角色和策略。
● 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该 机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间 存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角 色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达 到企业对权限最小化的安全管控要求。
● 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资 源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业
产品介绍 10 DSC 权限管理
如表10-1所示,包括了DSC下所有的系统角色。
表10-1 DSC 系统角色
角色名称 描述 类别 依赖关系
DSCDashboardReadOnl yAccess
数据安全中心服务大屏 服务只读权限。
系统策略 无
DSC FullAccess 数据安全中心服务所有 权限。
系统策略 无
DSCReadOnlyAccess 数据安全中心服务只读 权限。
系统策略 无
须知
用户在执行云资源委托授权/停止授权时必须拥有IAM的管理员权限(“Security Administrator”权限)。
相关链接
● IAM产品介绍
● 创建用户组、用户并授权DSC权限
产品介绍 10 DSC 权限管理
A 修订记录
发布日期 修改说明
2022-01-26 第十八次正式发布。
增加“图解数据安全中心”章节。
2021-12-28 第十七次正式发布。
修改如下章节:
规格版本差异 2021-09-22 第十六次正式发布。
修改计费说明章节。
2021-09-14 第十五次正式发布。
● 修改功能特性章节。
● 修改计费说明章节。
2021-06-18 第十四次正式发布。
● 修改与其他云服务的关系章节,增加与裸金属服 务器的关系。
● 修改使用约束章节,支持的数据库类别增加裸金 属服务器。
2021-05-18 第十三次正式发布。
修改使用约束章节,增加厂商的相关描述。
2021-04-30 第十二次正式发布。
● 修改功能特性章节,敏感数据识别增加图片类 型。
● 修改使用约束章节,feedback问题修改。
2021-03-11 第十一次正式发布。
修改功能特性章节。
产品介绍 A 修订记录
发布日期 修改说明
2021-02-27 第十次正式发布。
● 修改计费说明章节,DSC正式商用。
● 增加规格版本差异章节。
2021-02-19 第九次正式发布。
修改使用约束章节,增加了RDS数据库的使用限 制。
2021-02-03 第八次正式发布。
修改使用约束章节,MySQL数据库支持8.0版本。
2021-01-13 第七次正式发布。
修改功能特性章节,增加了数据脱敏和水印的功 能。
2021-01-04 第六次正式发布。
修改DSC权限管理章节,增加了DSC的系统策略。
2020-12-18 第五次正式发布。
增加使用约束章节。
2020-12-14 第四次正式发布。
增加个人数据保护机制章节。
2020-11-26 第三次正式发布。
优化与其他云服务的关系,增加了与数据湖服务的 关系。
2020-11-16 第二次正式发布。
优化功能特性章节。
2020-09-30 第一次正式发布。
产品介绍 A 修订记录
