OSS敏感数据保护是一款识别、分类、分级和保护存储空间(Bucket)中敏感数据的原生服务,可满足数据安全、个人信息保护等相关法规的合规要求。

背景信息

敏感数据主要包括个人隐私信息、密码、密钥、敏感图片等高价值数据,这些数据通常会以不同的格式存储在您的OSS Bucket中。企业拥有大量数据,但无法准确获知这些数据中是否包含敏感信息,以及敏感数据所在的位置。

OSS的敏感数据保护能从海量数据中快速发现和定位敏感数据,精准区分敏感数据与非敏感数据。通过内置算法规则和敏感数据识别规则,对OSS存储的海量数据进行扫描、分类和分级。您可以根据扫描结果做进一步的安全防护,例如通过加密设置访问权限等方式对数据进行安全审计或保护,从而满足数据安全、个人信息保护等相关法规的合规要求。

注意事项

使用敏感数据保护功能时,有如下注意事项:
  • 权限说明

    RAM用户要扫描指定Bucket中包含的敏感数据时,需授予oss:SddpCreateDataLimit权限。

    RAM用户要查看单个Bucket扫描结果时,需授予oss:SddpDescribeBucketInstances权限。

    RAM用户要查看所有Bucket扫描结果时,需授予oss:SddpDescribeAllBucketInstances权限。

    请通过脚本配置方式创建以上自定义权限策略,然后为指定的RAM用户授予相应权限。具体步骤,请参见为RAM用户授权自定义的RAM Policy

  • 支持地域

    当前仅支持在华东1(杭州)、华东2(上海)、华北2(北京)、华南1(深圳)、华北3(张家口)、华北5(呼和浩特)以及中国(香港)地域开启敏感数据保护。

  • 计费说明

    在OSS数据初次接入扫描时,敏感数据识别对已授权的数据源执行全量扫描并收取全量扫描费用。初次扫描任务完成后,敏感数据识别仅对该数据源中新增或修改的文件收取扫描费用。扫描费用=扫描数据量(GB)×每GB单价(0.20元)。

敏感数据分级分类

等级 数据分类
S1:低敏感
  • 企业敏感信息:统一社会信用代码、组织机构代码、营业执照号码
  • 个人敏感信息:SSN、SwiftCode、未校验的身份证号
  • 位置敏感信息:城市(中国内地)、省份(中国内地)
  • 通用敏感信息:日期
S2:中敏感
  • 企业敏感信息:税务登记证号码
  • 个人敏感信息:车辆识别代码、宗教、姓名(英文)、姓名(简体中文)、姓名(繁体中文)、军官证、电话号码(中国内地)、车牌号(中国内地)
  • 密钥敏感信息:密码、AccessKeyId
  • 设备敏感信息:URL链接、MEID、IMEI、IPv6地址、JDBC连接串、MAC地址、IP地址
  • 位置敏感信息:地址(中国内地)
S3:高敏感
  • 个人敏感信息:电话号码(美国)、信用卡、身份证(新加坡)、身份证(马来西亚)、身份证(中国香港)、港澳通行证、护照号(中国内地)、邮箱、手机号(中国内地)、银行卡、身份证(中国内地)
  • 密钥敏感信息:PEM证书、KEY私钥、AccessKey Secret
  • 位置敏感信息:GPS位置
  • 设备敏感信息:Linux-Passwd文件、Linux-Shadow文件
  • 敏感图片信息:身份证图片(中国内地)、护照图片(中国内地)
N/A:未知风险等级 未识别风险信息

配置方式

您只需在OSS管理控制台进行简单的配置即可开启Bucket的敏感数据保护。具体操作,请参见开启敏感数据保护