文档

敏感数据保护

更新时间:

OSS敏感数据保护是一款识别、分类、分级和保护存储空间(Bucket)中敏感数据的原生服务,可满足数据安全、个人信息保护等相关法规的合规要求。

背景信息

敏感数据主要包括个人隐私信息、密码、密钥、敏感图片等高价值数据,这些数据通常会以不同的格式存储在您的OSS Bucket中。企业拥有大量数据,但无法准确获知这些数据中是否包含敏感数据以及敏感数据所在的位置。

OSS的敏感数据保护能从海量数据中快速发现和定位敏感数据,精准区分敏感数据与非敏感数据。通过内置算法规则和敏感数据识别规则,对OSS存储的海量数据进行扫描、分类和分级。您可以根据扫描结果做进一步的安全防护,例如通过加密设置访问权限等方式对数据进行安全审计或保护,从而满足数据安全、个人信息保护等相关法规的合规要求。

注意事项

  • 无地域属性存储空间不支持开启敏感数据保护。

  • 权限说明

    要使用RAM用户扫描指定Bucket中包含的敏感数据时,需授予RAM用户oss:SddpCreateDataLimit权限。

    要使用RAM用户查看单个Bucket扫描结果时,需授予RAM用户oss:SddpDescribeBucketInstances权限。

    要使用RAM用户查看所有Bucket扫描结果时,需授予RAM用户oss:SddpDescribeAllBucketInstances权限。

    请通过脚本配置方式创建以上自定义权限策略,然后为指定的RAM用户授予相应权限。具体操作,请参见为RAM用户授权自定义的权限策略

  • 支持地域

    华东1(杭州)、华东2(上海)、华北2(北京)、华南1(深圳)、华北3(张家口)、华北5(呼和浩特)、中国香港地域支持开启敏感数据保护。

  • 计费说明

    在OSS数据初次接入扫描时,敏感数据识别对已授权的数据源执行全量扫描并收取全量扫描费用。初次扫描任务完成后,敏感数据识别仅对该数据源中新增或修改的文件收取扫描费用。关于敏感数据保护费用的更多信息,请参见敏感数据保护费用

敏感数据分级分类

等级

数据分类

S1:低敏感

  • 企业敏感信息:统一社会信用代码、组织机构代码、营业执照号码

  • 个人敏感信息:SSN、SwiftCode、未校验的身份证号

  • 位置敏感信息:城市(中国内地)、省份(中国内地)

  • 通用敏感信息:日期

S2:中敏感

  • 企业敏感信息:税务登记证号码

  • 个人敏感信息:车辆识别代码、宗教、姓名(英文)、姓名(简体中文)、姓名(繁体中文)、军官证、电话号码(中国内地)、车牌号(中国内地)

  • 密钥敏感信息:密码、AccessKeyId

  • 设备敏感信息:URL链接、MEID、IMEI、IPv6地址、JDBC连接串、MAC地址、IP地址

  • 位置敏感信息:地址(中国内地)

S3:高敏感

  • 个人敏感信息:电话号码(美国)、信用卡、身份证(新加坡)、身份证(马来西亚)、身份证(中国香港)、港澳通行证、护照号(中国内地)、邮箱、手机号(中国内地)、银行卡、身份证(中国内地)

  • 密钥敏感信息:PEM证书、KEY私钥、AccessKey Secret

  • 位置敏感信息:GPS位置

  • 设备敏感信息:Linux-Passwd文件、Linux-Shadow文件

  • 敏感图片信息:身份证图片(中国内地)、护照图片(中国内地)

N/A:未知风险等级

未识别风险信息

使用OSS控制台

  1. 登录OSS管理控制台

  2. 单击Bucket 列表,然后单击目标Bucket名称。

  3. 在左侧导航栏,选择数据安全 > 敏感数据保护

    重要

    初次使用敏感数据保护功能时,请单击授权并开通后,在弹出对话框,单击确定,完成授权并开通功能。

    初次开启敏感数据保护后,OSS会对指定Bucket内存储的数据进行全量扫描并收取扫描费用。完成初次扫描的时间因扫描的数据量会存在差异,请间隔一段时间后查看扫描结果。敏感数据扫描完成后,您可以查看各等级敏感数据的占比以及Top 5的敏感数据类型等信息。

    image.png

    当您对多个Bucket进行敏感数据扫描后,您可以通过在左侧导航栏选择数据服务>数据安全,在数据安全页面查看所有扫描过的Bucket数据,如下图所示。

    image.png

更多操作

操作说明
查看敏感数据详情如果您需要查看被命中文件的敏感数据类型、敏感等级、命中规则和命中数量等,您可以单击目标文件右侧的命中详情
搜索指定文件如果您想快速查看与指定字段匹配的文件包含的敏感信息,您可以在搜索栏输入文件名称关键字,然后单击搜索
修改扫描设置初次扫描任务完成后,如果您仅需要扫描该Bucket中新增或修改的数据,您可以单击扫描设置定义自动扫描周期和自动扫描开始时间。
关闭敏感数据扫描如果您已完成敏感数据识别,且后续不需要进行增量数据的识别,您可以单击关闭扫描
保护敏感数据对于扫描出的敏感数据,您可以结合等保V2.0的要求和业务的实际需要,通过加密设置访问权限等方式对数据进行安全审计或保护。

  • 本页导读 (1)
文档反馈