風(fēng)險識別管理(新版)
風(fēng)險識別管理提供了多維度的關(guān)聯(lián)分析及算法,智能化的分析技術(shù)幫助您通過風(fēng)險識別規(guī)則,主動發(fā)現(xiàn)風(fēng)險操作并預(yù)警,使用可視化方式進(jìn)行一站式審計。DataWorks內(nèi)置了多種場景的風(fēng)險識別規(guī)則,您可以直接使用,也可以根據(jù)業(yè)務(wù)場景自定義規(guī)則。本文為您介紹如何創(chuàng)建并管理風(fēng)險識別規(guī)則。
背景信息
數(shù)據(jù)輸入DataWorks后會經(jīng)過數(shù)據(jù)保護(hù)傘進(jìn)行過濾處理,舊版風(fēng)險識別管理的風(fēng)險識別功能僅當(dāng)涉及敏感數(shù)據(jù)時才會被識別為風(fēng)險,不支持操作審計相關(guān)場景及事件統(tǒng)計聚合場景的識別。因此,DataWorks為解決該問題,為您提供了功能更加全面的新版風(fēng)險識別管理功能。具體如下:
易用性好
包含數(shù)據(jù)訪問風(fēng)險、數(shù)據(jù)導(dǎo)出風(fēng)險、數(shù)據(jù)操作風(fēng)險、其他風(fēng)險類型等4類風(fēng)險類型,并支持訪問時間、敏感類型、訪問量等多種維度組合識別各類風(fēng)險。
精準(zhǔn)度高
增加事件聚合統(tǒng)計比較,通過比較時間窗口內(nèi)事件發(fā)生次數(shù)的閾值,更精準(zhǔn)識別風(fēng)險,減少大量誤報。例如,在10分鐘內(nèi)發(fā)生相同事件3次以上才會命中風(fēng)險。
精細(xì)化管理
支持配置高、中、低的風(fēng)險級別,根據(jù)風(fēng)險級別精細(xì)化管理風(fēng)險。
規(guī)則靈活
內(nèi)置了多種場景的常用規(guī)則,可以直接使用;同時,您也可以基于業(yè)務(wù)需求,自定義風(fēng)險識別規(guī)則。詳情請參見系統(tǒng)內(nèi)置風(fēng)險識別規(guī)則及新建風(fēng)險識別規(guī)則。
新舊版本風(fēng)險識別規(guī)則配置項的配置位置存在差異,詳情請參見新舊版風(fēng)險識別規(guī)則配置項位置對比說明。
使用限制
版本限制
僅DataWorks專業(yè)版及以上版本支持使用新版風(fēng)險識別管理功能。
僅DataWorks企業(yè)版及以上版本支持內(nèi)置風(fēng)險識別規(guī)則。
新舊版本切換
舊版風(fēng)險識別管理運行的時間將保留至2022年06月30日(請以界面實際顯示的保留時間為準(zhǔn)),保留時間到期后,已創(chuàng)建的風(fēng)險識別規(guī)則及相關(guān)風(fēng)險數(shù)據(jù)將自動清除,后續(xù)則只能使用新版風(fēng)險識別管理功能。請您及時將需要使用的規(guī)則及風(fēng)險數(shù)據(jù)導(dǎo)出備份,導(dǎo)出備份操作,詳情請參見風(fēng)險識別管理(舊版)。
新版風(fēng)險識別管理在舊版保留時間段內(nèi)會同時運行,您可以切換至新版使用。切換至新版后,舊版中已創(chuàng)建的風(fēng)險識別規(guī)則及風(fēng)險數(shù)據(jù)不會同步至新版,您需要在新版中重新創(chuàng)建相關(guān)規(guī)則。
告警方式
僅支持郵件和WebHook告警方式。
說明DataWorks支持使用釘釘群、企業(yè)微信和飛書的WebHook地址。其中,僅企業(yè)版及以上版本支持推送報警信息至企業(yè)微信或飛書。
進(jìn)入風(fēng)險識別管理
進(jìn)入數(shù)據(jù)保護(hù)傘。
登錄DataWorks控制臺,切換至目標(biāo)地域后,單擊左側(cè)導(dǎo)航欄的 ,在下拉框中選擇對應(yīng)工作空間后單擊進(jìn)入數(shù)據(jù)開發(fā)。
單擊左上方的圖標(biāo),選擇 。
單擊立即體驗,進(jìn)入數(shù)據(jù)保護(hù)傘。
進(jìn)入風(fēng)險識別管理。
在數(shù)據(jù)保護(hù)傘頁面的左側(cè)導(dǎo)航欄,單擊
,默認(rèn)進(jìn)入舊版風(fēng)險識別管理頁面。您需要單擊體驗新版本切換至新版,使用新版風(fēng)險識別管理功能創(chuàng)建并管理風(fēng)險識別規(guī)則。新版風(fēng)險識別管理內(nèi)置了多種場景的常用規(guī)則,可以直接使用;同時,您也可以基于業(yè)務(wù)需求,自定義風(fēng)險識別規(guī)則。詳情請參見系統(tǒng)內(nèi)置風(fēng)險識別規(guī)則及新建風(fēng)險識別規(guī)則。
系統(tǒng)內(nèi)置風(fēng)險識別規(guī)則
新版風(fēng)險識別管理功能支持的內(nèi)置規(guī)則如下表。
規(guī)則名稱 | 規(guī)則類型 | 規(guī)則等級 | 規(guī)則配置 |
非工作時間查詢大數(shù)據(jù)量敏感數(shù)據(jù) | 數(shù)據(jù)訪問風(fēng)險 | 低 | 如下時間段查詢數(shù)據(jù)量大于10000時命中該規(guī)則。
|
相似SQL查詢 | 數(shù)據(jù)訪問風(fēng)險 | 低 | 十分鐘內(nèi)查詢相似SQL大于等于10次時,命中該規(guī)則。 |
批量查詢大量敏感數(shù)據(jù) | 數(shù)據(jù)訪問風(fēng)險 | 中 | 單次查詢數(shù)據(jù)量大于10000時命中該規(guī)則。 |
批量導(dǎo)出大量敏感數(shù)據(jù) | 數(shù)據(jù)導(dǎo)出風(fēng)險 | 高 | 單次導(dǎo)出數(shù)據(jù)量大于10000時命中該規(guī)則。 |
非工作時間導(dǎo)出大數(shù)據(jù)量敏感數(shù)據(jù) | 數(shù)據(jù)導(dǎo)出風(fēng)險 | 高 | 如下時間段導(dǎo)出數(shù)據(jù)量大于10000時命中該規(guī)則。
|
新建風(fēng)險識別規(guī)則
新建規(guī)則的規(guī)劃和準(zhǔn)備工作。
您可以基于實際場景,選擇從數(shù)據(jù)位置、數(shù)據(jù)屬性、用戶信息、操作時間等維度識別風(fēng)險數(shù)據(jù),配置更精細(xì)的風(fēng)險識別條件。當(dāng)使用數(shù)據(jù)屬性及用戶信息的不同細(xì)分類別配置風(fēng)險識別條件時,需要進(jìn)行如下準(zhǔn)備工作。
風(fēng)險識別維度
細(xì)分類別
描述
數(shù)據(jù)屬性
數(shù)據(jù)分級
識別指定級別的風(fēng)險數(shù)據(jù),您需要提前定義數(shù)據(jù)的分級,詳情請參見配置敏感數(shù)據(jù)分類分級。
數(shù)據(jù)分類
識別指定類別的風(fēng)險數(shù)據(jù),您需要提前定義數(shù)據(jù)的類別,詳情請參見配置數(shù)據(jù)識別規(guī)則并執(zhí)行識別任務(wù)。
敏感字段類型
識別指定敏感字段的風(fēng)險數(shù)據(jù),您需要提前定義敏感字段類型,詳情請參見配置數(shù)據(jù)識別規(guī)則并執(zhí)行識別任務(wù)。
用戶信息
用戶組
識別當(dāng)前登錄賬號下指定用戶組的風(fēng)險數(shù)據(jù),您需要提前配置用戶組,詳情請參見配置用戶組。
RAM角色
識別當(dāng)前登錄賬號下RAM用戶的風(fēng)險數(shù)據(jù),您需要提前在當(dāng)前阿里云賬號下添加RAM用戶,詳情請參見創(chuàng)建RAM用戶。
在風(fēng)險識別管理頁面右上角,單擊+風(fēng)險識別規(guī)則。
在新建風(fēng)險識別規(guī)則對話框配置規(guī)則信息。
說明當(dāng)前僅支持新建統(tǒng)計關(guān)聯(lián)規(guī)則。統(tǒng)計關(guān)聯(lián)規(guī)則用于對單一事件進(jìn)行聚合統(tǒng)計,閾值比較,當(dāng)事件數(shù)量超過設(shè)置的閾值時,則命中規(guī)則。例如,設(shè)置的規(guī)則為低權(quán)限用戶在非工作時間訪問敏感數(shù)據(jù)超過1萬條。
配置規(guī)則基本信息。
參數(shù)
描述
規(guī)則名稱
新建的風(fēng)險識別規(guī)則名稱。名稱長度為1~30字符,并且不能包含特殊字符。
規(guī)則類型
風(fēng)險識別規(guī)則的類型,取值如下:
數(shù)據(jù)訪問風(fēng)險:訪問數(shù)據(jù)時可能存在風(fēng)險。
數(shù)據(jù)導(dǎo)出風(fēng)險:導(dǎo)出數(shù)據(jù)時可能存在風(fēng)險。
數(shù)據(jù)操作風(fēng)險:創(chuàng)建、修改、刪除數(shù)據(jù)時可能存在風(fēng)險。
其他:其他類型。
規(guī)則等級
風(fēng)險識別規(guī)則的級別。包含低、中、高等級。您可以根據(jù)實際需求,將識別重要數(shù)據(jù)信息的規(guī)則設(shè)置為高等級。
描述信息
風(fēng)險識別規(guī)則的描述信息。長度為1~100字符。
單擊下一步。
配置風(fēng)險識別條件及閾值。
配置風(fēng)險識別的條件。
DataWorks支持設(shè)置從數(shù)據(jù)位置、數(shù)據(jù)屬性、用戶信息、操作時間等維度識別風(fēng)險數(shù)據(jù),幫助您基于實際場景配置更精細(xì)的風(fēng)險識別條件。
說明當(dāng)前最多支持添加10個條件。單擊所選維度中的+添加比較關(guān)系即可添加多個識別條件,并且添加的多個條件邏輯關(guān)系為且。
數(shù)據(jù)位置
用于設(shè)置識別風(fēng)險數(shù)據(jù)的位置范圍,可以精確到字段。
參數(shù)
描述
是否必配
是否過濾所選位置
選擇是否過濾所選位置的風(fēng)險數(shù)據(jù)。取值如下:
≠:表示過濾目標(biāo)位置,即配置的風(fēng)險識別規(guī)則不會識別所選位置中的風(fēng)險數(shù)據(jù)。
=:表示僅識別目標(biāo)位置,即配置的風(fēng)險識別規(guī)則僅識別所選位置中的風(fēng)險數(shù)據(jù)。
是
數(shù)據(jù)引擎名稱
選擇識別規(guī)則限定的引擎范圍。
說明當(dāng)前僅支持識別MaxCompute引擎中的風(fēng)險數(shù)據(jù)。
每條比較關(guān)系只能選擇一個引擎,如果您需要限定多個引擎范圍,則請單擊+添加比較關(guān)系配置多條風(fēng)險識別條件。
是
項目空間名稱
選擇識別規(guī)則限定的目標(biāo)項目空間。項目空間名稱需要配置為所選引擎中的項目空間,您可以在下拉列表選擇,也可以輸入項目空間名稱進(jìn)行搜索。
說明下拉列表最多顯示100個項目空間名稱。
名稱搜索支持模糊匹配,即輸入關(guān)鍵詞,即可搜索到名稱包含關(guān)鍵詞的項目。
每條比較關(guān)系只能選擇一個項目空間,如果您需要限定多個項目空間范圍,則請單擊+添加比較關(guān)系配置多條風(fēng)險識別條件。
是
表名
輸入識別規(guī)則限定的目標(biāo)表。您可以輸入單個或多個表名稱,多個表名稱之間使用英文逗號(,)分隔。輸入表名稱的說明如下:
單個表名不超過30個字符,輸入的表名整體不超過100字符。
支持使用
*
通配符。例如,*name
表示識別所有名稱為name
后綴的表數(shù)據(jù)。
否。不配置默認(rèn)識別所選項目空間中所有表的風(fēng)險數(shù)據(jù)。
字段名
輸入識別規(guī)則限定的目標(biāo)字段。您可以輸入單個或多個字段名稱,多個字段名稱之間使用英文逗號(,)分隔。輸入字段名稱的說明如下:
單個字段名不超過30個字符,輸入的字段名整體不超過100字符。
支持使用
*
通配符。例如,*name
表示識別所有名稱為name
后綴的字段數(shù)據(jù)。
否。不配置默認(rèn)識別所有表字段的風(fēng)險數(shù)據(jù)。
數(shù)據(jù)屬性
用于篩選識別風(fēng)險數(shù)據(jù)的屬性范圍。
參數(shù)
描述
屬性
您可以根據(jù)業(yè)務(wù)需求選擇識別風(fēng)險數(shù)據(jù)的屬性類別。當(dāng)前支持的屬性類別如下:
數(shù)據(jù)分級:用于指定識別哪個級別的風(fēng)險數(shù)據(jù)。您需要提前定義數(shù)據(jù)的分級,詳情請參見配置敏感數(shù)據(jù)分類分級。
數(shù)據(jù)分類:用于指定識別哪個類別的風(fēng)險數(shù)據(jù)。您需要提前定義數(shù)據(jù)的類別,詳情請參見配置數(shù)據(jù)識別規(guī)則并執(zhí)行識別任務(wù)。
敏感字段類型:用于指定識別哪類敏感字段的風(fēng)險數(shù)據(jù)。您需要提前定義敏感字段類型,詳情請參見配置數(shù)據(jù)識別規(guī)則并執(zhí)行識別任務(wù)。
是否過濾所選屬性
選擇是否過濾所選屬性的風(fēng)險數(shù)據(jù)。取值如下:
≠:表示過濾目標(biāo)屬性,即配置的風(fēng)險識別規(guī)則不會識別所選屬性中的風(fēng)險數(shù)據(jù)。
=:表示僅識別目標(biāo)屬性,即配置的風(fēng)險識別規(guī)則僅識別所選屬性中的風(fēng)險數(shù)據(jù)。
用戶信息
用于篩選識別風(fēng)險數(shù)據(jù)的用戶信息范圍。
參數(shù)
描述
信息類別
選擇識別風(fēng)險數(shù)據(jù)的用戶信息類別,取值如下:
用戶組:當(dāng)前登錄賬號下的用戶組名稱。您需要提前配置用戶組,詳情請參見配置用戶組。
RAM角色:當(dāng)前登錄賬號下的RAM用戶。您需要提前在當(dāng)前阿里云賬號下添加RAM用戶,詳情請參見創(chuàng)建RAM用戶。
用戶名稱:當(dāng)前登錄用戶。
是否過濾所選用戶信息
≠:表示過濾目標(biāo)用戶信息,即配置的風(fēng)險識別規(guī)則不會識別所選用戶信息中的風(fēng)險數(shù)據(jù)。
=:表示僅識別目標(biāo)用戶信息,即配置的風(fēng)險識別規(guī)則僅識別所選用戶信息中的風(fēng)險數(shù)據(jù)。
操作時間
用于篩選識別風(fēng)險數(shù)據(jù)的操作時間范圍。
參數(shù)
描述
選擇時間范圍
單擊目標(biāo)星期及小時,即可選擇所需的時間范圍。您可以選擇周一至周日的任意時間,精確到小時。
是否過濾所選時間
≠:表示過濾目標(biāo)操作時間,即配置的風(fēng)險識別規(guī)則不會識別所選操作時間中的風(fēng)險數(shù)據(jù)。
=:表示僅識別目標(biāo)操作時間,即配置的風(fēng)險識別規(guī)則僅識別所選操作時間中的風(fēng)險數(shù)據(jù)。
配置閾值。
DataWorks支持事件聚合統(tǒng)計,您也可以選擇通過比較時間窗口內(nèi)事件發(fā)生次數(shù)的閾值識別風(fēng)險數(shù)據(jù)。單擊+添加閾值比較 即可配置多個風(fēng)險識別閾值條件。
參數(shù)
描述
閾值類別
數(shù)據(jù)量:通過操作的數(shù)據(jù)量大小識別風(fēng)險數(shù)據(jù)。當(dāng)操作的數(shù)據(jù)量超過設(shè)置的閾值時,則此次操作命中風(fēng)險。數(shù)據(jù)量取值為1至1000萬的整數(shù),單位為條。默認(rèn)取值為1。
發(fā)生次數(shù):通過指定時間范圍單一事件發(fā)生的次數(shù)識別風(fēng)險數(shù)據(jù)。當(dāng)在指定時間范圍內(nèi),某單一事件的發(fā)生次數(shù)超過設(shè)置的閾值時,則命中風(fēng)險。發(fā)生次數(shù)取值為1至10000的整數(shù),單位為次。默認(rèn)取值為10。
說明DataWorks自動幫您歸類識別單一事件。
時間窗口
事件發(fā)生次數(shù)限定的時間范圍,默認(rèn)為10分鐘。取值如下:
分鐘:取值范圍為
1~59
。小時:取值范圍為
1~23
。天:取值范圍為
1~7
。
說明僅當(dāng)閾值類別取值為發(fā)生次數(shù),時需要配置該參數(shù)。
單擊下一步。
配置告警方式。
在識別到數(shù)據(jù)風(fēng)險后,您可以根據(jù)配置的告警方式,及時接收到告警信息,以便對風(fēng)險進(jìn)行相應(yīng)的處理。支持您選擇郵件和webHook的告警方式。
說明選擇告警方式前請確保已在系統(tǒng)配置中完成郵箱及webHook的相關(guān)配置。
單擊保存,規(guī)則創(chuàng)建完成。
創(chuàng)建的自定義規(guī)則默認(rèn)不生效,您需要在風(fēng)險識別規(guī)則頁面單擊目標(biāo)規(guī)則的重新生效,手動生效規(guī)則。
管理風(fēng)險識別規(guī)則
在風(fēng)險識別管理頁面,您可以查看已創(chuàng)建的規(guī)則列表及規(guī)則詳細(xì)信息。同時,也可以編輯修改目標(biāo)規(guī)則,或批量操作多個規(guī)則。
區(qū)域 | 描述 |
1 | 在該區(qū)域,您可以通過風(fēng)險類型、風(fēng)險等級、風(fēng)險類型、是否內(nèi)置、風(fēng)險規(guī)則名稱等條件進(jìn)行篩選,查看目標(biāo)條件的規(guī)則列表。 說明 通過名稱搜索識別規(guī)則時支持模糊匹配,輸入關(guān)鍵詞即可搜索名稱中包含關(guān)鍵詞的風(fēng)險識別規(guī)則。 |
2 | 在該區(qū)域,您可以執(zhí)行如下操作:
|
3 | 在該區(qū)域,您可以批量操作目標(biāo)規(guī)則。當(dāng)前支持執(zhí)行批量生效、批量失效、批量刪除等批量操作,單擊圖標(biāo),即可切換批量操作類別。 說明 DataWorks不支持刪除系統(tǒng)內(nèi)置的風(fēng)險識別規(guī)則,僅支持刪除失效狀態(tài)的自定義規(guī)則。 |
新舊版風(fēng)險識別規(guī)則配置項位置對比說明
新舊版本風(fēng)險識別規(guī)則配置項的配置位置存在差異,具體如下表。
新版風(fēng)險識別規(guī)則的配置詳情,請參見新建風(fēng)險識別規(guī)則,舊版風(fēng)險識別規(guī)則的配置詳情,請參見風(fēng)險規(guī)則配置。
序號 | 風(fēng)險識別規(guī)則配置項 | 舊版配置位置 | 新版配置位置 |
1 | 規(guī)則名稱 | ||
2 | 規(guī)則責(zé)任人 | 。 默認(rèn)規(guī)則的負(fù)責(zé)人為當(dāng)前登錄賬號。 | 無該配置項,DataWorks自動記錄規(guī)則責(zé)任人。 |
3 | 規(guī)則的描述信息 | ||
4 | 規(guī)則生效的引擎 | 區(qū)域,選擇條件選擇數(shù)據(jù)位置時,所配置的數(shù)據(jù)引擎名稱。 | |
5 | 規(guī)則生效的項目空間 | 區(qū)域,選擇條件選擇數(shù)據(jù)位置時,所配置的項目空間名稱。 | |
6 | 規(guī)則所屬的分類 | 區(qū)域,選擇條件選擇數(shù)據(jù)屬性時,屬性類別選擇數(shù)據(jù)分類。 | |
7 | 規(guī)則所屬的分級 | 區(qū)域,選擇條件選擇數(shù)據(jù)屬性時,屬性類別選擇數(shù)據(jù)分級。 | |
8 | 命中規(guī)則的敏感字段類型 | 區(qū)域,選擇條件選擇數(shù)據(jù)屬性時,屬性類別選擇敏感字段類型。 | |
9 | 規(guī)則所屬的操作類型 | 取值包括:
| 取值包括:
|
10 | 規(guī)則生效的表 | 區(qū)域,選擇條件選擇數(shù)據(jù)位置時,所配置的表名。 | |
11 | 規(guī)則生效的字段 | 區(qū)域,選擇條件選擇數(shù)據(jù)位置時,所配置的字段名。 | |
12 | 用于配置哪些用戶訪問時會觸發(fā)該規(guī)則。 | 區(qū)域,選擇條件選擇用戶信息時,所選擇的信息類別。 | |
13 | 規(guī)則限制的操作數(shù)據(jù)量,當(dāng)超出限制的數(shù)據(jù)量范圍時命中規(guī)則。 | 在 區(qū)域,閾值比較下配置數(shù)據(jù)量范圍。 | |
14 | 規(guī)則限制的訪問時間范圍,當(dāng)訪問操作與該時間范圍匹配時命中規(guī)則。 | 間 | 區(qū)域,選擇條件選擇操作時間時,所設(shè)置的時間配置。 |
15 | 觸發(fā)規(guī)則后的告警方式 | 不支持 |
后續(xù)步驟
風(fēng)險識別規(guī)則創(chuàng)建并生效后,您可以進(jìn)入數(shù)據(jù)風(fēng)險頁面,查看規(guī)則命中的風(fēng)險詳情,及時處理存在風(fēng)險。詳情請參見查看數(shù)據(jù)風(fēng)險(新版)。