水印提取_数据安全中心 DSC_用户指南_数据水印_华为云

(1)

数据安全中心

用户指南

文档版本 24

发布日期 2021-12-24

(2)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

(3)

1 ^{开通 DSC}

1.1 购买数据安全中心

数据安全中心服务版本支持包年/包月（预付费）的计费方式，API接口（数据脱敏和水印API调用）支持按需计费（后付费）的计费方式。同时，DSC提供两个服务版本：

标准版和专业版，两种扩展包：数据库扩展包和OBS扩展包。您可以根据业务需求购买数据安全中心服务。

前提条件

● 已获取具有“Security Administrator”权限的华为云管理控制台的登录帐号与密码。

● 已通过IAM对用户绑定“DSC FullAccess”权限的用户组。

约束条件

● 同一帐号在同一个大区域（例如华东区域）只能选择一个服务版本。

说明

数据安全中心不支持跨区域使用，即在本Region下购买的DSC版本，只能在该Region下使用。

● DSC不支持降低购买版本的规格。如果您需要降低购买的DSC规格，您可以先退订当前的DSC，再重新购买较低版本的DSC。

● 数据库扩展包和OBS扩展包与DSC版本绑定，不能单独续费或退订。

规格限制

● 1个数据库扩展包含1个可添加数据库（支持RDS、DWS、ECS自建数据库、DLI、

Elasticsearch、ECS自建大数据等）资产。

● 1个OBS扩展包含1T体量，即1024G。

用户指南 1 开通 DSC

(6)

步骤2 单击左上角的，选择区域或项目。

步骤3 在左侧导航树中，单击，选择“安全与合规 > 数据安全中心”。

步骤4 首次购买DSC，在界面左侧，单击“立即购买”。

步骤5 在“购买数据安全中心”页面，选择“区域”和“版本规格”。

图1-1 选择区域和版本规格

说明

如果您需要切换区域，请在“区域”下拉框里选择区域。同一个区域只支持购买一个DSC版本。

步骤6 选择“数据库扩展包”和“OBS扩展包”的数量。

图1-2 选择扩展包

(7)

步骤7 选择“购买时长”。单击时间轴的点，选择购买时长，可以选择1个月～3年的时长。

图1-3 购买时长

说明

勾选“自动续费”后，当服务期满时，系统会自动按照购买周期进行续费。

步骤8 在页面的右下角，单击“立即购买”。

如果您对价格有疑问，可以单击页面左下角的“了解计费详情”，了解产品价格。

步骤9 确认订单无误后，阅读并勾选“我已阅读并同意《数据安全中心免责声明》”，单击

“去支付”。

图1-4 详情页面

步骤10 进入“付款”页面，请选择付款方式进行付款。

----结束

1.2 升级版本和规格

购买了数据安全中心服务后，您可以从较低版本（标准版）的DSC升级到更高版本

（专业版），也可以根据需求增加数据库扩展包和OBS扩展包的数量。

(8)

● 已通过IAM对用户绑定“DSC FullAccess”权限的用户组。

● 已购买任一版本的数据安全中心服务。

约束条件

已到期的服务版本，不支持直接升级，请先完成续费再升级。

规格限制

操作步骤

步骤1 登录管理控制台。

步骤3 在左侧导航树中，单击，选择“安全与合规 > 数据安全中心”，进入数据安全中心总览界面。

步骤4 在页面的右上角单击“升级规格”。

步骤5 在DSC的购买页面，“版本规格”默认为当前服务版本，您可以选择比当前服务规格更高的服务版本。

“版本规格”从左到右，服务版本的规格越高。

(9)

图1-5 升级版本规格

步骤6 选择“数据库扩展包”和“OBS扩展包”的数量。

图1-6 选择扩展包

步骤7 在页面的右下角，单击“立即购买”。

如果您对价格有疑问，可以单击页面左下角的“了解计费详情”，了解产品价格。

步骤8 确认订单无误后，阅读并勾选“我已阅读并同意《数据安全中心免责声明》”，单击

“去支付”。

(10)

图1-7 详情页面

步骤9 进入“付款”页面，请选择付款方式进行付款。

----结束

2 ^资产列表

2.1 云资源委托授权/停止授权

本章节将介绍如何授权或者停止授权访问私有OBS桶、数据库、大数据以及数据安全总览。系统将为您创建可供DSC使用的委托关系。

前提条件

● 已获取具有“Security Administrator”权限的华为云管理控制台的登录帐号与密码。

● 已通过IAM对用户绑定“DSC FullAccess”权限的用户组，具体的操作请参见创建用户并授权使用DSC。

约束条件

● 同意授权后，DSC将根据您的选择，设置委托权限以此来访问您的OBS，数据库，大数据实例以及其他相应的云上资产。

说明

授权访问OBS桶后，需要获取OBS日志，因此会产生请求费用，具体的请参考请求费用。

● 停止授权，需要您的资产没有绑定任务。停止授权后，DSC会删除您的委托和资产信息，对应的所有数据将被清除，请谨慎操作。

开通授权后获得的授权委托策略

表2-1 对应授权项服务创建的委托

资产模块服务策略作用范围备注

OBS OBS 全局用于配置OBS日志，获取OBS对象列

用户指南 2 资产列表

(12)

资产模块服务策略作用范围备注

OBSAdminstrator 全局用于获取OBS服务投递日志

数据库 ECS

ReadOnlyAccess 区域用于获取自建数据库ECS列表 RDSReadOnlyAccess 区域用于获取RDS数据库列表及数据库列

表相关信息

DWSReadOnlyAccess 区域用于获取DWS列表

VPC FullAccess 区域用于打通网络，VPC的端口创建，安全组规则创建等

KMSCMKFullAccess 区域用于使用KMS加密脱敏的场景

大数据 ECS

ReadOnlyAccess 区域用于获取自建大数据ECS列表 CSSReadOnlyAccess 区域用于获取CSS数据集群列表及数据索

引等相关信息

DLI Service User 区域用于获取DLI队列及数据库

VPC FullAccess 区域用于打通网络，VPC的端口创建，安全组规则创建等

KMSCMKFullAccess 区域用于使用KMS加密脱敏的场景

数据安全总览

Tenant Guest 区域用于获取用户涉及数据存储处理等相关云服务的列表等

OBSAdminstrator 全局用于配置OBS日志，获取OBS对象列表，下载OBS对象等

EVSReadOnlyAccess 区域用于云硬盘列表获取

OBSAdminstrator 全局用于OBS服务投递日志

操作步骤

(13)

步骤4 在左侧导航树中选择“资产列表”，进入OBS资产列表页面。

步骤5 单击页面右上角的“云资产委托授权”。

图2-1 资产列表

步骤6 在“云资源委托授权”页面，开启/停止授权访问对应的云资源，根据表2-2进行操作。

图2-2 云资源委托授权

表2-2 参数说明

参数名称参数说明

资产模块 DSC提供了四种资产模块：

● OBS：对象存储服务。

● 数据库：DSC支持的数据库类型及版本请参见使用约束。

● 大数据

(14)

参数名称参数说明开通授权状态两种状态：

● 已授权

● 未授权

操作单击图标开启或者停止授权。

● ：未授权

● ：已授权

步骤7 配置完成后，在页面的右下角，单击“确定”。

----结束

2.2 批量添加资产

如果您需要批量添加OBS、数据库和大数据资产，可参考本章节进行操作。

前提条件

● 已获取管理控制台的登录帐号与密码。

● 已完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。

● 已获取自建数据库的引擎、版本、主机等相关信息，且自建数据库子网下含有可用的IP配额。

约束条件

只能添加数据安全中心支持的数据库类型及版本，DSC支持的数据库类型及版本如表

2-3所示。

表2-3 DSC 支持的数据库类型及版本

数据库类型版本

MySQL 5.6、5.7、5.8、8.0

SQL Server ● 2017_SE、2017_EE、2017_WEB

● 2016_SE、2016_EE、2016_WEB

● 2014_SE、2014_EE

● 2012_SE、2012_EE、2012_WEB

● 2008_R2_EE、2008_R2_WEB PostGreSQL 11、10、9.6、9.5、9.4、9.1 Oracle 10、12

(15)

操作步骤

图2-3 OBS 资产列表

步骤5 在OBS资产列表右上角，单击“批量添加”。

步骤6 在弹出的“批量添加”对话框中，单击“添加文件”，将已整理好的资产文件导入到系统中。

单击“下载模板”，将资产信息按模板整理好。

图2-4 批量添加自建数据库

步骤7 单击“确定”，批量添加数据库完成。

图2-5 连通性测试

(16)

● 若DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。

单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败？解决。

----结束

2.3 OBS 资产列表

2.3.1 添加 OBS 资产

本章节将介绍如何添加OBS资产。

前提条件

● 已完成OBS资产委托授权，参考云资源委托授权/停止授权进行操作。

● 如果需要添加自有OBS桶，则需要已开通且已使用过OBS服务。

● 如果需要添加其他桶，则需设置该桶的权限为“公共”。

操作步骤

步骤5 添加OBS资产。

● 添加自有桶

a. 在OBS资产列表左上角，单击“添加自有桶”。

b. 在弹出添加自有桶对话框中，勾选需要添加的OBS桶。

(17)

图2-7 添加自有桶

c. 单击“确定”。

● 添加其他桶

a. 在OBS资产列表左上角，单击“添加其他桶”。

b. 在弹出的添加其他桶对话框中，输入待添加桶的名称。

如需添加多个桶，则可单击，继续进行添加。

图2-8 添加其他桶

c. 单击“确定”。

----结束

前提条件

● 已完成OBS资产委托授权，参考云资源委托授权/停止授权进行操作。

● 待删除的OBS资产未被应用在敏感数据识别任务中。

约束条件

● 如果需要删除的OBS资产已被应用在敏感数据检测任务中，请先解绑资产或者删除任务，再参照本章节删除资产。

● 资产删除后无法恢复，资产相关的任务模板，任务结果，报表都将删除，请谨慎操作。

操作步骤

步骤5 在OBS资产列表中，在需要删除的OBS资产所在行的“操作”列，单击“删除”。

步骤6 在弹出窗口中，单击“确定”。

----结束

2.4 数据库资产列表

2.4.1 添加 RDS 数据库

如果您已经完成数据库资产委托授权，并开通了华为云关系型数据库（RDS），且已在RDS里创建了数据库，可参考本章节对RDS创建的云数据库进行相关操作的授权。

说明

DSC暂不支持对RDS中已开启SSL的MySQL数据库进行扫描和脱敏。

(19)

前提条件

● 已开通RDS服务，且RDS中已有资产，且对应子网下含有可用的IP配额。

● RDS实例的“状态”为“正常”。

操作步骤

步骤4 在左侧导航树中选择“资产列表”，并选择“数据库 > 未授权”，进入未授权数据库资产列表页面，如图2-10所示。

图2-10 未授权数据库资产列表

步骤5 在需要授权的数据库资产所在行的“操作”列，单击“授权”。

说明

如果只需要授权数据库实例下的某个数据库，单击数据库实例前的，展开实例列表，单击数据库所在行的操作列的“授权”即可。

步骤6 在弹出的“数据库批量授权”对话框中，参考表2-4配置数据库参数。

图2-11 数据库批量授权

(20)

表2-4 参数说明

权限设置 ● 只读权限：只能用于敏感数据识别。

注意创建了RDS只读权限后，DSC服务会在RDS创建一个 dsc_readonly帐户。

– dsc_readonly帐户的密码在RDS重置后，将不会自动同步到 DSC服务，会导致敏感数据识别任务失败，因此，建议您不要重置该帐户密码。

– 如果您已在RDS里重置了dsc_readonly帐户的密码，建议您在DSC服务里先删除已授权的rds实例，再重新对该实例进行权限设置。

● 读写权限：可使用敏感数据识别和数据脱敏功能。

资产列表 ● “权限设置”选择“只读权限”时，可修改需要授权的

“资产名称”。

● “权限设置”选择“读写权限”时，可修改需要授权的

“资产名称”，必需配置访问该数据库的“用户名”和

“密码”。

步骤7 单击“确定”，数据库添加完成，并展示在已授权的数据库列表中。

数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性。

● DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。

----结束

2.4.2 添加 DWS 数据库

如果您已经开通了华为云数据仓库服务（DWS），并已在DWS里创建了数据库，可参考本章节直接将DWS创建的云数据库数据添加到DSC里。

(21)

前提条件

● 已开通DWS服务，且DWS中已有资产，且对应子网下含有可用的IP配额。

操作步骤

步骤5 在数据库资产列表左上角，单击“添加DWS数据库”。

步骤6 在弹出的“添加云数据库”对话框中，参考表2-5配置数据库参数。

图2-14 添加 DWS 数据库

(22)

表2-5 DWS 数据库参数列表

参数名称参数说明举例

资产名称自定义参数。 dsc_test

所在区域默认为当前帐号登录的区域。 -- DWS实例在下拉框中选择本帐号下已在DWS里

创建的数据库实例。 --

版本已选数据库实例对应的版本号，默认

参数，不支持修改。 5.7

主机在下拉框中选择数据库服务器IP地

址。 192.168.0.233

端口数据库服务器的端口号，默认参数，

不支持修改。 3306

数据库名称在DWS里创建的数据库，支持下拉框

选择和手动输入。 --

用户名输入访问数据库服务器的用户名，与 DWS里创建的保持一致。 -- 密码输入访问数据库服务器的密码，与

DWS里创建的保持一致。 --

步骤7 单击“确定”，数据库添加完成，并展示在已授权的数据库列表中。

----结束

2.4.3 添加自建数据库

如果您需要添加RDS和DWS以外的自建数据库资产，可参考本章节进行操作，添加自建数据库资产前，需要获取自建数据库的引擎、版本、主机等相关信息。

前提条件

● 已获取自建数据库的引擎、版本、主机等相关信息，且自建数据库子网下含有可用的IP配额。

约束条件

2-6所示。

MySQL 5.6、5.7、5.8、8.0

● 2016_SE、2016_EE、2016_WEB

● 2014_SE、2014_EE

● 2012_SE、2012_EE、2012_WEB

操作步骤

(24)

步骤5 在未授权数据库资产列表左上角，单击“添加自建数据库”。

步骤6 在弹出的“添加自建数据库”对话框中，参考表2-7配置数据库参数。

图2-17 添加自建数据库

表2-7 添加自建数据库参数说明

参数名称参数说明取值样例

对象名称输入数据库对象名称。 -

所在区域默认为当前帐号登录的区域。 - ECS实例在下拉框中选择已在ECS服务里创建

的数据库实例。 --

安全组选择对应的ECS实例所在的安全组名

称。 default

数据库引擎选择数据库引擎。可选择

“MySQL”、“PostgreSQL”、

“SQLServer”和“Oracle”。

MySQL

版本选择数据库引擎对应的版本。 5.6

主机输入数据库服务器IP地址。 -

(25)

端口输入数据库服务器的端口号。 -

数据库名称输入自建数据库名称。 -

用户名输入访问数据库服务器的用户名。 -

密码输入访问数据库服务器的密码。 -

步骤7 单击“确定”，数据库添加完成。

----结束

2.4.4 编辑数据库信息

如果已添加的数据库服务器的用户名和密码已修改或者访问数据库的用户名和密码配置有误，您可以参考本章节进行重新配置。

前提条件

● 已添加数据库资产。

操作步骤

(26)

步骤4 在左侧导航树中选择“资产列表”，并选择“数据库 > 已授权”，进入已授权数据库资产列表页面，如图2-19所示。

图2-19 已授权数据库资产列表

步骤5 在需要编辑的数据库资产所在行的“操作”列，单击“编辑”。

步骤6 在系统弹出编辑数据库对话框中，修改数据库服务器的用户名或密码。

图2-20 编辑云数据库

步骤7 修改后，单击“确定”。

修改完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性，即测试DSC是否能够通过您配置的用户名和密码正常访问添加的数据库。

----结束

2.4.5 删除数据库资产

本章节介绍如何对已添加的数据库资产进行删除的操作。

前提条件

(27)

● 待删除的数据库资产未被应用在敏感数据检测任务中。

约束条件

● 如果需要删除的数据库资产已被应用在敏感数据检测任务中，请先解绑资产或者删除任务，再参照本章节删除资产。

● 删除操作无法恢复，删除后，资产相关的任务模板、任务结果、报表都将被删除，请谨慎操作。

操作步骤

步骤4 在左侧导航树中选择“资产列表”，并选择“数据库 > 已授权”，进入已授权数据库资产列表页面，如图2-21所示。

图2-21 已授权数据库资产列表

步骤5 在数据库资产列表中，在需要删除的数据库资产所在行的“操作”列，单击“删除”。

图2-22 删除资产

(28)

2.5 大数据资产列表

2.5.1 添加大数据源资产

如果您需要添加云搜索服务（CSS）和数据湖探索（DLI）里的资产，可参考本章节进行操作。

前提条件

● 已完成大数据资产委托授权，参考云资源委托授权/停止授权进行操作。

● 已开通CSS和DLI服务，且CSS和DLI中已有资产，且对应子网下含有可用的IP配额。

约束条件

2-8所示。

MySQL 5.6、5.7、5.8、8.0

● 2016_SE、2016_EE、2016_WEB

● 2014_SE、2014_EE

● 2012_SE、2012_EE、2012_WEB

操作步骤

步骤4 在左侧导航树中选择“资产列表”，并选择“大数据”页签，进入大数据资产列表页面。

(29)

图2-23 进入大数据资产列表入口

步骤5 在大数据资产列表左上角，单击“添加大数据源”。

步骤6 在弹出的“添加大数据源”对话框中，参考表2-9配置大数据源参数。

图2-24 添加大数据源

表2-9 添加大数据源参数说明

资产名称自定义参数。 --

所在区域默认为当前帐号登录的区域。 - 大数据类型选择大数据类型。

● “Elasticsearch”，选择此类型时，其他参数说明请参见表

2-10。

● “DLI”，选择此类型时，其他参数说明请参见表2-11。

● “Hive”，选择此类型时，

其他参数说明请参见表

2-12。

Elasticsearch

表2-10 “Elasticsearch”参数说明

(30)

端口大数据源服务器的端口号。 3306

索引输入大数据源对应的index。 --

用户名输入访问大数据服务器的用户

名。 --

密码输入访问大数据服务器的密码。 --

表2-11 “DLI”参数说明

队列在下拉框中选择DLI中数据源的

队列名称。 default

DLI数据库选择DLI中目标队列下的数据库

名称。 5.x

表2-12 “Hive”参数说明

虚拟私有云在下拉框中选择虚拟私有云。 --

子网选择虚拟私有云对应的子网名

称。 --

安全组在下拉框中选择可用的安全组。 --

主机大数据源服务器IP地址。 192.168.0.233

端口大数据源服务器的端口号。 3306

数据库名称输入数据库名称。 --

步骤7 单击“确定”，大数据源资产添加完成。

大数据资产添加完成后，该大数据源的“连通性”为“检查中”，此时，DSC会测试数据源的连通性，即测试DSC是否能够通过您配置的用户名和密码正常访问添加的大数据源。

● DSC能正常访问已添加的大数据源，该大数据源的“连通性”状态为“成功”。

● 若DSC不能正常访问已添加的大数据源，该大数据源的“连通性”状态为“失败”。单击“原因”查看失败的原因并重新正确填写访问目标大数据源的用户名和密码。

----结束

(31)

2.5.2 添加自建大数据源

本章节将介绍如何添加自建大数据源资产。

前提条件

● 已获取其他自建大数据源的类型、版本、主机、索引等相关信息，且自建大数据源子网下含有可用的IP配额。

约束条件

2-13所示。

MySQL 5.6、5.7、5.8、8.0

● 2016_SE、2016_EE、2016_WEB

● 2014_SE、2014_EE

● 2012_SE、2012_EE、2012_WEB

操作步骤

(32)

步骤5 在大数据资产列表左上角，单击“添加自建大数据源”。

步骤6 在弹出“添加自建大数据源”对话框中，参照表2-14配置大数据源参数。

图2-26 添加自建大数据源

表2-14 添加自建大数据源参数说明

对象名称自定义参数。 --

所在区域默认为当前帐号登录的区域。 - ECS实例选择ECS里的“Elasticsearch”

类型的实例。

--

安全组在下拉框中选择已有的安全组。 default 大数据类型选择大数据类型。目前仅支持

“Elasticsearch”。 Elasticsearch 版本选择大数据库类型对应的版本。 5.x

主机输入大数据源服务器IP地址。 192.168.0.233 端口输入大数据源服务器的端口号。 3306

索引输入大数据源对应的index。 --

用户名输入访问大数据服务器的用户

名。

--

密码输入访问大数据服务器的密码。 --

步骤7 单击“确定”，大数据源资产添加完成。

(33)

大数据资产添加完成后，该大数据源的“连通性”为“检查中”，此时，DSC会测试数据源的连通性，即测试DSC是否能够通过您配置的用户名和密码正常访问添加的大数据源。

----结束

2.5.3 编辑大数据源资产

如果已添加的大数据源服务器的用户名和密码已修改或者访问数据源的用户名和密码配置有误，您可以参考本章节进行重新配置。

前提条件

● 已添加大数据源资产。

操作步骤

步骤5 在需要编辑的大数据资产所在行的“操作”列，单击“编辑”。

步骤6 在系统弹出编辑数据库对话框中，修改访问大数据源的用户名或密码。

(34)

图2-28 编辑自建大数据源

步骤7 修改后，单击“确定”。

修改完成后，该大数据源的“连通性”为“检查中”，此时，DSC会测试数据源的连通性，即测试DSC是否能够通过您配置的用户名和密码正常访问添加的大数据源。

----结束

2.5.4 删除大数据源资产

本章节介绍如何对已添加的大数据源资产进行删除的操作。

前提条件

● 待删除的大数据源资产未被应用在敏感数据检测任务中。

约束条件

● 如果需要删除的大数据源资产已被应用在敏感数据检测任务中，请先解绑资产或者删除任务，再参照本章节删除资产。

● 删除操作无法恢复，删除后，资产相关的任务模板、任务结果、报表都将被删除，请谨慎操作。

操作步骤

(35)

步骤5 在需要编辑的大数据资产所在行的“操作”列，单击“删除”。

步骤6 在弹出删除资产提示框中，单击“确定”。

----结束

(36)

3 ^{数据安全概览}

总览页面分为云服务全景图（资产地图）、数据采集安全、数据传输/存储安全、数据使用安全和数据交换/删除安全共五大板块，实时呈现了用户资产的具体情况。

前提条件

● 已完成资产访问的授权。

● 已添加资产。

操作步骤

步骤4 查看数据安全中心服务的总览—云服务全景图，如图3-1所示。

提供数据资产地图，帮助客户建立数据资产的全景视图，可视化呈现数据资产分布、

数据敏感程度、当前的风险级别。

● 梳理云上数据资产：自动扫描并梳理云上数据资产，地图化展示资产分布，帮助用户解决数据在哪里的问题。

● 敏感数据展示：基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术，对数据资产进行分类分级。

– 对数据资产按照“风险VPC数”、“风险安全组数”、“风险主机数”、

“风险RDS数”、“风险OBS数”进行分类展示。

– 每类资产按照“高危”、“中危”、“低危”、“未识别风险”对敏感数据进行分级定位。

● 风险监控和预警：基于风险识别引擎，对数据资产进行风险监控，展示每类资产的风险分布，并预警。

用户指南 3 数据安全概览

(37)

图3-1 云服务全景图

说明

● 将鼠标移动到数据资产图标处，可查看资产相关信息。

● 单击数据资产图标，在界面的右侧弹框中可详细查看该资产的“基本信息”、“风险信息”

或者“风险安全组规则”等信息。

步骤5 查看数据安全中心服务的总览—数据采集安全，如图3-2所示。

DSC根据敏感数据规则对敏感数据进行识别和敏感等级分类，您可以在总览页面查看您资产中不同风险等级的数据的分布情况。

基于敏感字段在文件中出现的累计次数和敏感字段关联组来判断文件的敏感性，并根据文件的敏感程度将其划分为3个等级：“低风险”、“中风险”和“高风险”。风险等级依次递增。具体风险等级情况说明：

● 低风险：1~3级

● 中风险：4~7级

● 高风险：8~10级

在柱状图中，不同高度代表该风险等级的资产数量。将鼠标箭头放置在柱状图上，可查看该风险等级的资产数量。

图3-2 数据采集安全

步骤6 查看数据安全中心服务的总览—数据传输/存储安全，如图3-3所示。

(38)

图3-3 数据传输/存储安全

● 数据传输安全：DSC统计了以下可能存在传输安全的项，您可以直接单击具体项的名称，查看详细情况。

– VPN连接数：您的资产中存在已创建的虚拟专用网络，具体的请参考《VPN 服务用户指南》。

– 云专线连接数：您的资产中存在已创建的云专线物理连接，具体的请参考

《云专线用户指南》。

– ELB未采用加密通信的监听器：添加监听器时，未使用加密通信HTTPS协议的监听器数量的统计，建议您采用HTTS协议进行加密通信，具体的操作请参见修改监听器。

– SSL证书订阅：您的资产中存在已购买或者已上传的证书数量，了解SSL证书请参考《SSL证书管理用户指南》。

– WAF未采用加密通信的域名：WAF中添加域名时，未使用加密传输HTTPS协议的域名数量的统计，建议您采用HTTS协议进行加密通信，具体的操作请参见修改服务器信息。

● 数据存储安全：该模块为您罗列了存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密，详细操作请参见对象桶加密。

步骤7 查看数据安全中心服务的总览—数据使用安全，如图3-4所示。

该模块统计了“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”

内的数据使用安全信息。

● 未处理异常事件：按“数据访问异常”、“数据操作异常”、“数据管理异常”

所占比例进行展示。同时，展示了异常事件总数、违例确认总数和违例排除总数。

– 单击“未处理异常事件”中的其中一个颜色区域，可查看指定数据异常占比。

– 当不需要展示某种类型的异常事件时，单击事件分布图右侧攻击类型对应的颜色方块，取消在事件分布圆环中的展示。

● Top5访问源IP：前5的访问源IP的统计。

● Top5被访问高风险对象：被访问的对象中，排在前5的高风险对象。

● Top5访问帐号：前5的访问帐号的统计。

(39)

图3-4 数据使用安全

步骤8 查看数据安全中心服务的总览—数据交换/删除安全，如图3-5所示。

图3-5 数据交换/删除安全

● 数据交换安全：展示了已创建的“静态脱敏任务数”以及“水印API调用次数”，

如何创建数据脱敏任务请参考创建数据脱敏任务。

● 数据删除安全：DSC为您统计了数据库、ECS、OBS资产的当日删除数和总删除数。

----结束

(40)

4 ^{敏感数据识别}

4.1 敏感数据规则

4.1.1 新增敏感数据规则

本章节介绍如何新增敏感数据规则。

前提条件

已获取管理控制台的登录帐号与密码。

约束条件

敏感数据规则分为自定义的规则和内置的规则，内置的规则不可新增、编辑和删除。

操作步骤

步骤4 在左侧导航树中，选择“敏感数据识别 > 识别规则”，进入敏感数据规则列表。

图4-1 规则列表

用户指南 4 敏感数据识别

(41)

步骤5 在规则列表的左上角，单击“新增规则”，进入“新增规则”页面。

步骤6 在“新增规则”对话框中配置规则基本信息，如图4-2所示，相关参数说明如表4-1所示。

图4-2 新增敏感数据规则

表4-1 敏感规则参数说明

参数参数说明取值样例

规则名称您可以自定义敏感数据规则名称。

规则名称需要满足以下要求：

● 4~255个字符。

● 字符可由中文、英文字母、数字、下划线或中划线组成。

● 规则名称不能与已有的规则名称重复。

-

规则类型可选择“关键字”和“正则表达式”。

● 关键字：通过关键字来执行该条敏感规则。

关键字

(42)

参数参数说明取值样例关键字包含 “规则类型”设置为“关键字”时，显

示该参数。

● 逻辑：需要选择关键字的逻辑：

– and：关键字都需要包含。

– or：仅需要包含其中一个关键字。

● 内容：输入关键字。单击可添加关键字，最多可添加10项关键字。

and，张三

正则表达式 “规则类型”设置为“正则表达式”

时，显示该参数。

-

风险等级选择该条规则的风险等级。

风险等级分为1~10级。1~3级属于低风险，4~7级属于中风险，8~10级属于高风险。

5（中风险）

最小匹配次数规则命中次数。同一个规则达到命中次

数，则被标记为敏感信息。 2

规则描述可选参数。该规则的备注信息，用于区

别其他规则。 -

步骤7 单击“确定”，完成敏感数据规则的创建。

----结束

4.1.2 查看敏感数据规则列表

本章节介绍如何查看敏感数据规则。

前提条件

● 已添加敏感数据规则。

操作步骤

步骤4 在左侧导航树中，选择“敏感数据识别 > 识别规则”，进入敏感数据规则列表，如图

4-3所示，参数说明如表4-2所示

(43)

图4-3 规则列表

说明

● 在“全部规则类型”、“全部风险等级”搜索栏选择敏感规则的类型、等级，敏感数据规则列表界面将只显示对应状态的规则。

● 输入规则名称或规则名称的关键字，单击或按“Enter”，可以搜索指定的敏感数据规则。

表4-2 规则参数说明

规则名称敏感数据规则的名称。

规则类型规则类型说明如下：

● 关键字：通过关键字来执行敏感规则。

● 正则表达式：通过正则表达式来执行敏感规则。

风险等级敏感数据规则的风险等级。

规则描述该规则的备注信息。

操作用户可以在操作栏中，执行以下操作：

● 单击“编辑”，修改敏感数据规则的相关信息，具体操作请参见编辑敏感数据规则。

● 单击“删除”，修改自定义的敏感数据规则，具体操作请参见删除敏感数据规则。

● 单击“添加到组”，将敏感数据规则添加到敏感数据规则组，具体操作请参见添加敏感数据规则到组。

----结束

4.1.3 编辑敏感数据规则

(44)

前提条件

约束条件

DSC内置的敏感数据规则不可编辑。

操作步骤

图4-4 规则列表

步骤5 在敏感数据规则列表中，在需要编辑的规则所在行的“操作”列，单击“编辑”，系统弹出“编辑规则”的对话框。

步骤6 在“编辑规则”对话框中，根据您的需求，编辑规则参数，如图4-5所示，相关参数说明如表4-3所示

(45)

图4-5 编辑敏感数据规则

表4-3 敏感规则参数说明

规则名称您可以自定义敏感数据规则名称。

规则名称需要满足以下要求：

● 4~255个字符。

● 规则名称不能与已有的规则名称重复。

-

规则类型可选择“关键字”和“正则表达式”。

● 关键字：通过关键字来执行该条敏感规则。

● 正则表达式：用于指定和识别文本字符串（如特定字符，单词或字符模式）的一种简洁而灵活的方式。

关键字

(46)

参数参数说明取值样例关键字包含 “规则类型”设置为“关键字”时，显

示该参数。

● 逻辑：需要选择关键字的逻辑：

– and：关键字都需要包含。

– or：仅需要包含其中一个关键字。

● 内容：输入关键字。单击可添加关键字，最多可添加10项关键字。

and，张三

正则表达式 “规则类型”设置为“正则表达式”

时，显示该参数。

-

风险等级选择该条规则的风险等级。

5（中风险）

最小匹配次数规则命中次数。同一个规则达到命中次

数，则被标记为敏感信息。 2

规则描述可选参数。该规则的备注信息，用于区

别其他规则。 -

步骤7 单击“确定”，完成敏感数据规则的编辑。

----结束

4.1.4 删除敏感数据规则

本章节介绍如何删除不需要的自定义则。

前提条件

● 待删除的规则未添加到规则组。

约束条件

● DSC内置的规则不可删除。

● 如果待删除的规则已在敏感数据规则组中使用，您需要先参考编辑敏感数据规则组章节将待删除的规则移出规则组，然后参考本章节删除该规则。

● 规则删除后将无法恢复，请谨慎操作。

操作步骤

(47)

图4-6 规则列表

步骤5 在敏感数据规则列表中，在需要删除的规则所在行的“操作”列，单击“删除”。

步骤6 在弹出删除规则的提示框中，单击“确定”。

----结束

4.1.5 添加敏感数据规则到组

本章节介绍如何将规则添加到敏感数据规则组。

前提条件

● 已有敏感数据规则组。

操作步骤

图4-7 规则列表

(48)

步骤5 在目标规则所在行的“操作”列，单击“添加到组”，进入“添加到组”页面。

步骤6 在“添加到组”的对话框中，选择敏感数据规则组，如图4-8所示。

图4-8 添加到组

步骤7 单击“确定”。

----结束

4.2 敏感数据规则组

4.2.1 新增敏感数据规则组

本章节介绍如何新增敏感数据规则组。

前提条件

已获取管理控制台的登录帐号与密码。

约束条件

敏感数据规则组分为自定义的规则组和内置的规则组，内置的规则组不可新增、编辑和删除。

操作步骤

步骤4 在左侧导航树中，选择“敏感数据识别 > 识别规则”，并选择“规则组”页签，进入规则组列表。

(49)

图4-9 敏感数据规则组

步骤5 在规则组列表的左上角，单击“新增规则组”，弹出新增规则组对话框。

步骤6 在“新增规则组”对话框中配置规则组基本信息，如图4-10所示，相关参数说明如表

4-4所示。

图4-10 新增规则组

表4-4 敏感数据规则组参数说明

参数参数说明

规则组名称您可以自定义敏感数据规则组名称。

规则组名称需要满足以下要求：

● 4~255个字符。

● 规则组名称不能与已有的规则组名称重复。

规则组描述该规则组的备注信息，用于区别其他规则组。

(50)

步骤7 单击“确定”，完成敏感数据规则组的创建。

----结束

4.2.2 查看敏感数据规则组列表

本章节介绍如何查看敏感数据规则组的详细信息。

前提条件

● 已添加敏感数据规则组。

操作步骤

步骤4 在左侧导航树中，选择“敏感数据识别 > 识别规则”，并选择“规则组”页签，进入规则组列表，如图4-11所示，规则组参数说明如表4-5所示。

说明

输入规则组名称或规则名称的关键字，单击或按“Enter”，可以搜索指定的敏感数据规则组。

表4-5 规则组参数说明

规则组名称敏感数据规则组的名称。

规则组类型规则组类型说明如下：

● 自定义：用户自行创建的规则组。

● 默认：DSC内置的规则组。

(51)

规则组描述该规则组的备注信息。

包含规则规则组所包含的规则。

操作用户可以在操作栏中，执行以下操作：

● 单击“编辑”，修改敏感数据规则组的相关信息，

具体操作请参见编辑敏感数据规则组。

● 单击“删除”，删除自定义的敏感数据规则组，具体操作请参见删除敏感数据规则组。

----结束

4.2.3 编辑敏感数据规则组

本章节介绍如何编辑敏感数据规则组，可执行以下操作：

● 修改“则组名称”以及“规则组描述”。

● 添加敏感数据规则。

● 移除敏感数据规则。

前提条件

● 敏感数据规则组的“规则组类型”为“自定义”。

约束条件

DSC内置的敏感数据规则组不可编辑。

操作步骤

(52)

步骤5 在目标敏感规则组所在行的“操作”列，单击“编辑”，系统弹出编辑规则组的对话框。

步骤6 在“编辑规则组”对话框中编辑规则组参数，如图4-13所示，相关参数说明如表4-6所示

图4-13 编辑敏感数据规则组

表4-6 敏感数据规则组参数说明

参数参数说明

规则组名称您可以自定义敏感数据规则组名称。

规则组名称需要满足以下要求：

● 4~255个字符。

● 规则组名称不能与已有的规则组名称重复。

规则组描述该规则组的备注信息，用于区别其他规则组。

规则添加可选参数。勾选需要添加的敏感数据规则。

如果您想移除已选的规则，可在右边已选择的规则框中，找到目标规则，并在其所在行的“操作”列，单击

移除。

步骤7 单击“确定”，完成规则组的编辑。

----结束

4.2.4 删除敏感数据规则组

本章节介绍如何删除自定义敏感数据规则组。

(53)

前提条件

约束条件

● DSC内置的规则组不可删除。

● 如果待删除的规则组已在识别任务中使用，您需要先删除包含该规则组的敏感数据任务，再参照本章节删除该规则组。

● 规则组删除后将无法恢复，请谨慎操作。

操作步骤

步骤5 在目标敏感规则组所在行的“操作”列，单击“删除”。

步骤6 在弹出的提示框中，单击“确定”。

----结束

4.3 敏感数据识别任务

4.3.1 创建敏感数据识别任务

(54)

前提条件

● 已添加OBS、数据库或大数据源资产，具体操作请参见资产列表。

● 已创建敏感数据规则组，具体操作请参见新增敏感数据规则组。

操作步骤

步骤4 在左侧导航树中，选择“敏感数据识别 > 识别任务”，进入“识别任务”页面。

图4-15 识别任务

步骤5 在敏感数据任务列表的左上角，单击“新建任务”。

步骤6 在弹出的“新建任务”对话框中，配置任务基本信息，如图4-16所示，相关参数说明如表4-7所示。

(55)

图4-16 新建敏感数据识别任务

表4-7 敏感数据识别任务参数说明

开启任务是否开启敏感数据识别任务，系统默认开启任务。

● ：开启状态。

● ：关闭状态。

任务名称您可以自定义敏感数据识别任务名称。

任务名称需要满足以下要求：

● 4~255个字符。

● 任务名称不能与已有的任务名称重复。

-

(56)

参数参数说明取值样例识别对象选择识别的数据类型。可多选。

● OBS，添加OBS资产，参考添加OBS资产章节。

● 数据库，添加云数据库资产，参考添加RDS数据库章节。

● 大数据，添加大数据源资产，参考添加大数据源资产章节。

数据库

识别规则组选择识别任务需要使用的规则组，可多选。可参考新增敏感数据规则组章节创建规则组。 - 识别模式选择检测任务的扫描模式：

● 快速扫描：根据规则组进行扫描，实现数据分布快速识别。

● 全量扫描：在规则组的基础上加入自然语义处理NLP能力，扫描速度相对较慢，识别率更高。

快速扫描

识别周期选择任务的识别周期：

● 单次：根据设置的执行计划，在设定的时间执行一次该识别任务。

● 每天：选择该选项，需要设置“启动时间”，

即在每天的固定时间执行该识别任务。

● 每周：选择该选项，需要设置“启动时间”，

即在设定的时间以及每周这一时间点执行该识别任务。

● 每月：选择该选项，需要设置“启动时间”，

即在设定的时间以及每月这一时间点执行该识别任务。

单次

执行计划 “扫描周期”选择“单次”时，显示该参数。

● 立即执行：选择该选项，保存后，可以在当前立即执行一次该识别任务。

● 定时启动：在指定时间执行一次该识别任务。

立即执行

启动时间 “扫描周期”选择“每天”、“每周”、“每月”时，显示该参数。

设置识别任务的具体启动时间。设置后，会在指定时间以及每天或者每周或者每月的该时间点执行一次识别任务。

-

通知主题单击下拉列表选择已创建消息通知主题或者单击

“查看通知主题”创建新的主题，用于配置接收告警通知的终端。

告警通知的具体操作请参见告警通知。

--

(57)

步骤7 单击“确定”，完成敏感数据识别任务的创建。

----结束

4.3.2 查看敏感数据任务列表

本章节介绍如何查看识别任务列表。

前提条件

● 已完成识别任务的创建。

操作步骤

步骤4 在左侧导航树中，选择“敏感数据识别 > 识别任务”，进入“识别任务”页面，查看识别任务的详细信息，如图4-17所示，检测任务参数说明如表4-8所示。

图4-17 识别任务

说明

● 输入任务名称或任务名称的关键字，单击或按“Enter”，可以搜索指定的敏感数据识别任务。

● 单击任务名称，可以查看并下载识别任务报告，DSC为您提供PDF格式的识别任务报告。

● 在目标任务的“操作”列，单击“更多 > 下载风险结果”，下载风险结果报表，DSC为您提供了Excel格式的风险结果报表。

水印提取_数据安全中心 DSC_用户指南_数据水印_华为云

数据安全中心

用户指南

目 录

1 开通 DSC... 1

2 资产列表...7

3 数据安全概览...32

4 敏感数据识别...36

5 数据使用审计...64

6 数据脱敏...72

7 数据水印... 109

8 告警通知... 116

9 权限管理... 118

10 审计... 123

A 修订记录... 128

1 开通 DSC

1.1 购买数据安全中心

前提条件

约束条件

规格限制

相关操作

1.2 升级版本和规格

约束条件

规格限制

操作步骤

相关操作

2 资产列表

2.1 云资源委托授权/停止授权

前提条件

约束条件

开通授权后获得的授权委托策略

操作步骤

2.2 批量添加资产

前提条件

约束条件

2-3所示。

操作步骤

2.3 OBS 资产列表

2.3.1 添加 OBS 资产

前提条件

操作步骤

相关操作

前提条件

约束条件

操作步骤

2.4 数据库资产列表

2.4.1 添加 RDS 数据库

前提条件

操作步骤

相关操作

2.4.2 添加 DWS 数据库

前提条件

操作步骤

相关操作

2.4.3 添加自建数据库

前提条件

约束条件

2-6所示。

操作步骤

相关操作

2.4.4 编辑数据库信息

前提条件

操作步骤

2.4.5 删除数据库资产

前提条件

约束条件

操作步骤

2.5 大数据资产列表

2.5.1 添加大数据源资产

前提条件

约束条件

2-8所示。

操作步骤

2-10。

2-12。

2.5.2 添加自建大数据源

前提条件

约束条件

2-13所示。

操作步骤

目录

1 ^{开通 DSC}

2 ^资产列表

3 ^{数据安全概览}

4 ^{敏感数据识别}