简介

DSP 通过数据审计 Agent 采集数据库服务器的日志信息，并对接入的数据类型日志进行数据审计规则匹配，命中规则后产生数据审计事件，帮助租户及时发现数据库运行中可能存在的潜在风险和隐患。

如果您需要对数据进行审计，则需要安装数据审计 Agent。

限制与指导

目前仅支持Linux操作系统。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“系统设置 > 插件安装”，进入“插件安装”页面。

(2)单击“下载链接”，下载数据审计Agent安装包。

(3)进入到被审计的数据库节点命令运行界面。

(4)在Linux环境中解压数据审计Agent安装包“agent.tar”，得到以下文件：

dsp-audit-agent

setting/config.tom

start.sh

stop.sh

(5)使用root用户操作或sudo执行以下命令，赋予执行权限：

chmod 777 dsc-audit-agent-* start.sh stop.sh

(6)执行Agent安装指令：

sh start.sh 数据库审计服务端地址 Agent安装租户唯一标识 网卡名

例如：sh start.sh 10.252.235.137:50080 kz0MAIeDXobIiVPuEOp/7CFoajqgRjA56G8rpMvBf+8= eth0

如果返回“true”表示Agent部署在数据库上，返回“false”表示Agent部署在数据库访问端。

Agent安装指令说明如下：

参数1：使用数据库审计服务端访问地址。如，10.252.235.137:50080

参数2：使用Agent安装租户的唯一标识。如，kz0MAIeDXobIiVPuEOp/7CFoajqgRjA56G8rpMvBf+8=

参数3：指定抓取网卡名，如，eth0。

注意：多网卡时请指定具体的通信网卡名称，目前系统默认是any。

验证Agent是否启动成功

执行以下命令验证Agent是否启动成功，当以下命令返回有值时，标识Agent启动成功。

ps -aux |grep dsp-audit-agent |grep -v grep|awk '{print $2}'

卸载Agent

(1)执行stop.sh卸载Agent。

(2)执行以下命令验证Agent是否删除成功，当以下命令无值返回时，标识Agent删除成功。

ps -aux |grep dsp-audit-agent |grep -v grep|awk '{print $2}'

简介

分类分级（含数据源引擎）Agent部署在用户数据源节点上，用于连通DSP与用户数据库；在对用户数据进行分类分级时，DSP通过Agent获取用户的数据库信息，根据分类分级规则执行分类分级任务，并将分类分级结果返回到DSP。

通过安装分类分级Agent，在新建数据源时，可以测试数据源连通性、地址/账号/密码是否正确等；在下发分类分级任务后，可获取用户数据库信息，并根据分类分级策略执行任务。

限制与指导

目前仅支持Linux操作系统。

使用分类分级功能时，请务必安装分类分级（含数据源引擎）Agent。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“系统设置 > 插件安装”，进入“插件安装”页面。

(2)在“手工方式安装-分类分级、数据源等”区域，单击“下载链接”，下载分类分级（含数据源引擎）Agent安装包。

(3)进入到部署Agent的节点Linux环境运行页面。

(4)在Linux环境中解压分类分级（含数据源引擎）Agent安装包，得到以下文件：

dsp-datasource-agent-arm

dsp-datasource-agent-x86

config.toml

start.sh

stop.sh

说明：

解压成功后即安装了Agent。

(5)使用root用户操作或sudo执行以下命令，为文件和脚本赋予执行权限：

chmod 777 start.sh dsp-datasource-agent-* stop.sh

(6)进入到Agent安装包解压后的文件夹中，执行启动命令：

sh start.sh

验证Agent是否启动成功

执行以下命令验证Agent是否启动成功，当以下命令返回有值时，标识Agent启动成功。

ps -aux |grep dsp-datasource-agent |grep -v grep|awk '{print $2}'

后续操作

新建云下引擎

新建数据源

数据分类分级

简介

静态脱敏/数据水印（含数据源引擎）Agent部署在用户数据源节点上，用于连通DSP与用户数据库；在DSP管控服务端配置完脱敏任务后，将任务下发到Agent，Agent读取用户数据库信息，根据脱敏任务中配置的脱敏规则对数据进行脱敏，并将脱敏后的数据写入到目标表中。

通过安装静态脱敏/数据水印Agent，在新建数据源时，可以测试数据源连通性、地址/账号/密码是否正确等。

限制与指导

目前仅支持Linux操作系统。

使用静态脱敏/数据水印功能时，请务必安装静态脱敏/数据水印（含数据源引擎）Agent。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“系统设置 > 插件安装”，进入“插件安装”页面。

(2)在“手工方式安装-静态脱敏、数据库水印等”区域，单击“下载链接”，下载静态脱敏/数据库水印（含数据源引擎）Agent安装包。

(3)进入到部署Agent的节点Linux环境运行页面。

(4)在Linux环境中解压静态脱敏/数据库水印（含数据源引擎）Agent安装包，得到以下文件 / 文件夹：

dsp-datasource-agent-arm

dsp-datasource-agent-x86

config.toml

start.sh

stop.sh

datax

说明

解压成功后即安装了Agent。

(5)使用root用户操作或sudo执行以下命令，为文件和脚本赋予执行权限：

chmod 777 start.sh dsp-datasource-agent-* stop.sh

(6)确认配置文件config.toml中dataX下path的路径和解压后安装datax的路径是否一致。

如不一致，请修改配置文件config.toml中dataX下path的路径，或修改解压后安装datax的路径，使实际路径和配置一致即可。

(7)进入到Agent安装包解压后的文件夹中，执行启动命令：

sh start.sh

验证Agent是否启动成功

执行以下命令验证Agent是否启动成功，当以下命令返回有值时，标识Agent启动成功。

ps -aux |grep dsp-datasource-agent |grep -v grep|awk '{print $2}'

后续操作

新建云下引擎

新建数据源

数据脱敏

数据水印

数据源引擎包括云上引擎（VPC 内引擎）和云下引擎（ECS 的引擎）。

6.3.1.1 新建云上引擎（专有网络）

简介

“新建云上引擎”即创建专有网络。

一般地，DSP服务部署在管控侧，租户购买的数据库部署在VPC侧，需创建一个专属VPC，连通管控侧和租户侧，拉齐两侧的Agent。

通过添加专有网络，与数据源管理联动，在新建数据源时可选择绑定的VPC ID。

注意事项

• 同一个VPC中，不同子网间默认是连通的；子网之间请勿添加安全策略，以保证子网间的网络连通性。

• 如果租户购买的数据库部署在其他子网中，请确保子网间的网络连通性。

前提条件

已在“专有网络 VPC”的控制台中创建专有网络。具体操作参见《专有网络 VPC用户指南》。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据源服务 > 云上引擎”，进入“云上引擎”页面。

(2)单击“添加专有网络”，弹出“添加专有网络”对话框。

(3)根据下表配置参数。

(4)单击“确定”，专有网络添加成功。

6.3.1.2 新建云下引擎

简介

“新建云下引擎”即添加数据源引擎信息，与数据源管理联动，在新建数据源时可选择绑定的引擎。

前提条件

在 ECS 等节点上已安装相应的Agent插件，参见安装 Agent 插件。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据源服务 > 云下引擎”，进入“云下引擎”页面。

(2)单击“新建数据源引擎”，弹出“新建数据源引擎”对话框。

(3)根据下表配置参数。

(4)单击“确定”，数据源引擎添加成功。

简介

云上引擎（VPC 内引擎）和云下引擎（ECS 的引擎）删除操作相同，本节以删除云上引擎为例说明。

限制与指导

如果数据源引擎已在数据源管理中被绑定，无法删除；您须先在“数据源列表”中解除绑定关系才可删除。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据源服务 > 云上引擎”，进入“云上引擎”页面。

(2)选择要删除的引擎，单击所在行的“删除”，在弹出的确认框中确认即可。

简介

DSP会对自建数据源和云上数据库产生的日志进行检测，并与审计策略匹配，命中后产生相应的审计告警事件。

您可以先添加数据源。

限制与指导

在数据源管理中，创建的数据源数不受限制，但被检测的数据源个数最多等于开通DSP时购买的数据库实例个数，即：如果您在开通数据安全管理平台 DSP时购买的数据库实例个数为3个，那您在数据源管理中，最多可对3个数据源进行检测。

已安装相应的Agent插件，参见安装 Agent 插件。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据源服务 > 数据源列表”，进入“自建数据源”页面。

(2)单击“新建数据源”，弹出“新建数据源”对话框。

(3)配置参数。

(4)单击“保存”，数据源添加成功。

限制与指导

数据源ID和数据源类型是不允许被修改的。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据源服务 > 数据源列表”，进入“自建数据源”页面。

(2)选择要修改的数据源，单击所在行的“编辑”，在弹出的对话框中修改数据源信息，单击“确定”即可。

限制与指导

如果数据源已被引用，无法删除；您须先在“分类分级任务”中解除绑定关系才可删除。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据源服务 > 数据源列表”，进入“自建数据源”页面。

(2)删除数据源。

单个删除：选择要删除的数据源，单击所在行的“删除”，在弹出的确认框中确认即可。

批量删除：勾选要删除的数据源，单击左下方的“删除”，在弹出的确认框中确认即可。

简介

DSP会对自建数据源和云上数据库产生的日志进行检测，并与审计策略匹配，命中后产生相应的审计告警事件。

在使用云上数据审计功能前，您需要先手动同步云上数据源信息。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，进入“数据源服务 > 数据源列表 > 云数据库”页面。

(2)单击“手动同步”，系统开始同步云上数据源信息，完成同步时提示“同步成功”。

DSP支持对敏感数据进行分类、分级管理，支持用户自定义敏感数据，支持敏感数据识别规则管理。

DCS可通过内置和用户自定义的敏感数据级别、分类以及识别规则，构建精准的敏感数据识别能力。

6.4.2.1 数据分级

1.简介

DSP可基于内置和自定义两种方式，对敏感数据进行分级管理。DSP在出厂时预置4个级别的分级策略，级别越高，敏感度越高，对应关系：

• 级别1：常规

• 级别2：内部

• 级别3：敏感

• 级别4：机密

2.自定义敏感数据分级

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“敏感数据管理 > 分类分级”，进入“分类分级”页面。

(2)单击“数据分级”页签，进入“数据分级”页面。

(3)单击右侧“新建自定义分级”，弹出“新建数据分级”对话框。

(4)设置级别名称，单击“确定”，创建成功。

创建成功的敏感数据级别显示在“数据分级”列表中。

注意：

自定义的敏感级别根据创建的先后顺序由系统排序，不支持自定义；自定义敏感分级从5开始，最多可创建10级。

3.查询敏感数据分级

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“敏感数据管理 > 分类分级”，进入“分类分级”页面。

(2)单击“数据分级”页签，进入“数据分级”页面。

(3)在搜索框中输入分级名称即可。

说明：

支持分级名称模糊搜索。

4.修改敏感数据分级

您可根据需要修改内置和自定义的敏感数据分级名称。

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“敏感数据管理 > 分类分级”，进入“分类分级”页面。

(2)单击“数据分级”页签，进入“数据分级”页面。

(3)选择敏感数据分级，单击右侧的“编辑”，即可修改敏感数据分级的名称。

5.删除敏感数据分级

您可以删除不需要的敏感数据分级。

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“敏感数据管理 > 分类分级”，进入“分类分级”页面。

(2)单击“数据分级”页签，进入“数据分级”页面。

(3)选择自定义敏感数据分级，单击右侧的“删除”即可。

注意:

系统内置的敏感分级不允许删除。

6.4.2.2 数据分类

1.简介

DSP基于AI算法和丰富的知识库，可对接入数据安全管理平台的敏感数据进行分类管理。系统内置敏感数据分类，支持自定义敏感数据分类，覆盖结构化（RDS）和非结构化（OBS）两种数据类型，可精准识别敏感数据和文件。

2.内置的敏感数据分类

DSP内置部分敏感数据类别，首次登录DSP时，您可以在“敏感数据管理 > 分级分类 > 数据分类”页面查看预置的敏感数据类别。

内置的敏感数据分类有：

3.查看敏感数据分类列表

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“敏感数据管理 > 分类分级”，进入“分类分级”页面。

(2)单击“数据分类”页签，进入“数据分类”页面。

(3)在左侧选择数据类别，右侧列表展示该类别的敏感数据详细信息。

(4)单击“敏感数据”列的“更多”，跳转至“敏感数据管理 > 敏感数据定义”页面查看该类数据包含的所有敏感数据信息。

4.创建敏感数据分类

(1)在数据安全管理平台 DSP控制台页面，单击“敏感数据管理 > 分级分类 > 数据分类”，进入“数据分类”页面。

(2)单击，弹出“新建数据分类”对话框。

(3)设置参数，单击“确定”，创建成功。

5.修改敏感数据分类

您可根据需要修改自定义的数据分级和描述信息。

(1)在数据安全管理平台 DSP控制台页面，单击“敏感数据管理 > 分级分类 > 数据分类”，进入“数据分类”页面。

(2)在左侧选择目标分类，单击右侧列表中的“编辑”，在弹出的对话框中修改数据分级和描述信息。

注意：

内置的敏感数据分类不允许编辑。

6.删除敏感数据分类

您可删除不需要的敏感数据分类。

注意：

内置的敏感数据分类不允许删除。

如果敏感数据分类已被敏感数据引用，不允许删除；如果您想删除此分类，请至“敏感数据管理 > 敏感数据定义”页面，通过“编辑”将该分类内的敏感数据移出此分类，再在此页面删除。

(1)在数据安全管理平台 DSP控制台页面，单击“敏感数据管理 > 分级分类 > 数据分类”，进入“数据分类”页面。

在左侧选择目标分类，单击操作列的“删除”即可。

6.4.3.1 简介

DSP内置部分敏感数据，支持用户根据应用场景自定义敏感数据。

6.4.3.2 内置的敏感数据

DSP内置的部分敏感数据见下表（更多内置的敏感数据以实际环境中为准）：

6.4.3.3 新建敏感数据

简介

您可根据应用场景自定义敏感数据。新建的敏感数据可应用于敏感数据识别规则中。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“敏感数据管理 > 敏感数据定义”，进入“敏感数据定义”页面。

(2)单击右侧“新建敏感数据”，弹出“新建敏感数据”对话框。

(3)设置以下参数。

(4)单击“确定”，创建成功。创建成功的敏感数据显示在“敏感数据定义”列表中。

6.4.3.4 查询敏感数据

简介

您可通过敏感数据关键字、数据分级、数据分类快速查询敏感数据。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“敏感数据管理 > 敏感数据定义”，进入“敏感数据定义”页面。

(2)在搜索栏查找关键信息或通过列表表头的过滤漏斗，可过滤查找敏感数据。

6.4.3.5 修改敏感数据

简介

您可修改敏感数据的分级、分类和描述信息。

注意：

系统内置的敏感数据不支持修改。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“敏感数据管理 > 敏感数据定义”，进入“敏感数据定义”页面。

(2)选择自定义敏感数据，单击右侧的“编辑”，在弹出的对话框中修改即可。

6.4.3.6 删除敏感数据

简介

您可删除不需要的敏感数据。

注意：

系统内置的敏感数据不支持删除。

如果敏感数据已被识别策略或脱敏模板引用，不允许删除；如果您想删除此分类，请至“敏感数据管理 > 识别策略”页面将引用的敏感数据移除。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“敏感数据管理 > 敏感数据定义”，进入“敏感数据定义”页面。

(2)选择自定义敏感数据，单击右侧的“删除”即可。

6.4.4.1 简介

“识别策略管理”中定义了识别敏感数据的具体规则，DSP提供内置的识别规则，同时支持自定义识别规则，您可以通过内置和自定义的识别规则构建专属的敏感数据识别能力。

6.4.4.2 内置的敏感数据识别策略

DSP内置的部分敏感数据识别策略见下表（更多内置的识别策略以实际环境中为准）：

6.4.4.3 新建敏感数据识别策略

简介

如果内置的识别策略无法满足您的需求，或者您希望根据自身需求定制敏感数据的识别策略，可通过“新建识别策略”实现。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“敏感数据管理 > 识别策略”，进入“识别策略”页面。

(2)单击右上角的“新建识别策略”，弹出“新建识别策略”对话框。

(3)设置参数。

(4)单击“确定”，创建成功。

操作结果

识别策略创建成功后，您可在“敏感数据管理 > 识别策略”页面查看新建的识别策略和应用的敏感数据等信息；您也可以在“敏感数据管理 > 敏感数据定义”页面查看此处被选择的敏感数据应用的识别策略。

6.4.4.4 查询敏感数据识别策略

简介

您可以在“敏感数据管理 > 识别策略”页面通过策略名称模糊搜索、敏感数据名称模糊搜索、识别方式过滤、规则类型过滤等方式快速查询敏感数据识别规则。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“敏感数据管理 > 识别策略”，进入“识别策略”页面。

(2)在搜索栏查找关键信息或通过列表表头的过滤漏斗  ，可过滤查找敏感数据识别策略。

6.4.4.5 修改敏感数据识别策略

简介

自定义的识别策略支持修改动作，您可以修改识别策略的启用状态，也可以修改规则内容和引用的敏感数据；系统内置的识别策略不允许修改。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“敏感数据管理 > 识别策略”，进入“识别策略”页面。

(2)选择自定义识别策略，单击状态的开启/关闭图标，可设置是否启用该策略；单击右侧的“编辑”可修改该策略。

6.4.4.6 删除敏感数据识别策略

简介

自定义的识别策略支持后期删除动作；系统内置的识别策略不允许删除。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“敏感数据管理 > 识别策略”，进入“识别策略”页面。

(2)选择自定义识别策略，单击右侧的“删除”可删除该策略；您也可以勾选要删除的规则，单击左下方的“删除”实现批量删除。

您需要创建分类分级任务对指定的数据源里的数据库、数据表进行敏感数据识别。

在创建了分类分级任务并启动任务后，系统开始下发任务、扫描数据，在任务执行过程中将查询当前租户下的所有敏感数据识别策略，循环所有敏感数据识别策略并逐一匹配，当表字段匹配上敏感数据识别规则后就打上该敏感数据绑定的分类分级标签。同一字段被不同识别规则命中，将产生多条分类分级结果，需要人工进行核实。

简介

通过创建敏感数据分类分级任务对指定的数据源里的数据库、数据表进行敏感数据识别。

前提条件

已完成新建数据源。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据分类分级 > 分类分级任务”，进入“分类分级任务”页面。

(2)单击“新建分类分级任务”，弹出“新建分类分级”对话框。

(3)配置参数。

(4)单击“确定”，创建成功。

后续操作

“周期设置”选择“手动运行”的任务，在创建完成后，需在“分类分级任务”列表中启动任务。

简介

启动任务后，系统开始下发任务、扫描数据，在任务执行过程中将查询当前租户下的所有敏感数据识别策略，循环所有敏感数据识别策略并逐一匹配，当表字段匹配上敏感数据识别规则后就打上该敏感数据绑定的分类分级标签。

启动任务包括手动运行任务和系统自动运行任务：

• 手动运行任务：在新建分类分级任务中，“周期设置”配置为“手动运行”的任务，需要手动执行任务。

• 系统自动运行任务：在新建分类分级任务中，“周期设置”配置为“周期运行”的任务，系统将在指定的时间周期内自动执行任务。

前提条件

已完成新建分类分级任务。

限制与指导

• 对于系统自动运行的任务，您也可以在自动运行前手动执行任务。

• 每执行一次任务，将产生一个任务实例。

• 对于“周期设置”选择“周期运行”的任务，如果事先执行手动启动，将生成一个任务实例；后续系统根据指定时间再次启动任务，将生成另一个任务实例，两个实例相互独立，不会覆盖。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据分类分级 > 分类分级任务”，进入“分类分级任务”页面。

(2)找到目标任务，单击“启动”，任务执行一次，弹出“运行成功”提示信息。

您可以进入到“任务实例”页面，查看生成的任务结果。

后续操作

查看任务实例

结果核实

简介

每运行一次任务，默认生成一条任务实例，您可以在“任务实例”页面查看任务运行的状态、任务执行的起止时间、运行时长、运行结果的核实状态、运行日志信息等，也可以在此页面执行任务重跑、进入“结果核实”页面核实结果等。

前提条件

已完成新建分类分级任务。

已完成启动任务。

限制与指导

每执行一次任务，将产生一个任务实例。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据分类分级 > 分类分级任务”，进入“分类分级任务”页面。

(2)单击任务名称，进入“任务实例”页面。

您可以在此页面执行重跑任务、查看任务运行日志、进入“结果核实”页面核实结果。

简介

启动任务并生成任务实例后，您可以查看任务的运行日志记录。

前提条件

已完成新建分类分级任务。

已完成启动任务。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据分类分级 > 分类分级任务”，进入“分类分级任务”页面。

(2)单击任务名称，进入“任务实例”页面。

单击“日志”，可查看该任务实例相关的运行日志信息。

简介

启动任务并生成任务实例后，如果您想重新运行该任务又不生成新的任务实例，可手动执行“重跑任务”。

如果在启动任务后，任务运行失败，您也可以通过手动执行“重跑”再次运行任务。

对于在新建分类分级任务中，“周期设置”开启“失败重跑”的任务，如果首次运行任务后执行失败，系统自动重跑一次任务。

前提条件

已完成新建分类分级任务。

已完成启动任务。

限制与指导

重跑任务不会生成新的任务实例，只会覆盖掉原来的任务实例。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据分类分级 > 分类分级任务”，进入“分类分级任务”页面。

(2)单击任务名称，进入“任务实例”页面。

(3)单击“重跑”，系统开始运行任务，运行结束后自动刷新任务实例页面。

后续操作

结果核实

简介

对于暂时不需要运行，但以后可能会运行的任务，您可以通过“冻结”来防止人为启动任务或系统自动启动任务。

对于已冻结的任务，如果后续需要运行该任务，需先“解冻”。

前提条件

已完成新建分类分级任务。

限制与指导

已冻结的任务不允许手动启动。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据分类分级 > 分类分级任务”，进入“分类分级任务”页面。

(2)（如果想冻结任务）找到目标任务，单击“冻结”即可将该任务冻结，系统或人为无法运行该任务。

（如果想解冻任务）找到目标任务，单击“解冻”即可将该任务解除冻结状态，系统或人为可运行该任务。

简介

您可以通过“克隆”快速创建一个新的分类分级任务。

前提条件

已完成新建分类分级任务。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据分类分级 > 分类分级任务”，进入“分类分级任务”页面。

(2)找到目标任务，单击“克隆”，待系统提示“成功”后便可在“分类分级任务”列表页面查看到新克隆的任务，任务名称沿用原来的名称，并在后面增加“_copy”字样。

(3)（如果想修改任务信息）找到克隆的任务，单击“编辑”，在弹出的对话框中修改任务信息，单击“确定”即可。

简介

您可以删除不需要的敏感数据识别任务。

前提条件

已完成新建分类分级任务。

限制与指导

正在运行中的任务不允许删除。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据分类分级 > 分类分级任务”，进入“分类分级任务”页面。

找到目标任务，单击“删除”，弹出“删除成功”提示信息表示删除成功。

6.5.10.1 手动核实

简介

您在创建了分类分级任务并启动任务后，系统开始下发任务、扫描数据，在任务执行过程中将查询当前租户下的所有敏感数据识别策略，循环所有敏感数据识别策略并逐一匹配，当表字段匹配上敏感数据识别规则后就打上该敏感数据绑定的分类分级标签。

同一字段被不同识别规则命中，将产生多条分类分级结果，需要人工进行核实；对于未被识别为敏感数据的数据字段，也需要人工进行核实。

在新建分类分级任务中，对于“核实方式”配置为“自动核实”的任务结果，您也可以手动重新核实。

前提条件

已启动任务、完成策略匹配并生成结果。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据分类分级 > 分类分级任务”，进入“分类分级任务”页面。

(2)单击任务名称，进入“任务实例”页面。

(3)单击操作列的“详情”，进入“结果核实”页面。

(4)手动核实结果。

关联操作

通过“编辑”重新修改敏感数据分类分级结果

通过“编辑”重新修改敏感数据分类分级结果

6.5.10.2 查看样例数据

简介

您可以通过“样例数据”查看指定数据表下、该字段的所有数据信息。默认可查阅10条数据。

例如，单击“os_type”字段（此字段属于“test”数据表）中的“样例数据”，弹出的对话框中查看到的数据是“test”数据表中匹配“os_type”字段的实际数据。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，进入“数据分类分级 > 分类分级任务 > 任务实例 > 结果核实”页面。

(2)单击操作列的“样例数据”，弹出“样例数据”对话框。

6.5.11.1 基于字段管理分类分级结果

1.配置搜索条件

简介

您可以通过设置多条过滤条件，查阅分类分级的结果。

前提条件

必须完成结果核实，“分类分级结果”页面才有数据。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，进入“数据分类分级 > 分类分级结果 > 字段”页面。

(2)配置字段名称、敏感数据、数据分级、数据分类、数据源类型、打标方式、结果修改时间等条件。

(3)单击“搜索”，页面刷新展示。

2.查看样例数据

简介

您可以通过“样例数据”查看指定数据表下、该字段的所有数据信息。默认可查阅10条数据。

例如，单击“os_type”字段（此字段属于“test”数据表）中的“样例数据”，弹出的对话框中查看到的数据是“test”数据表中匹配“os_type”字段的实际数据。

前提条件

必须完成结果核实，“分类分级结果”页面才有数据。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，进入“数据分类分级 > 分类分级结果 > 字段”页面。

(2)单击操作列的“样例数据”，弹出“样例数据”对话框。

3.通过“编辑”重新修改敏感数据分类分级结果

简介

您可以通过“编辑”重新修改敏感数据分类分级结果，作用同结果核实；如将某个字段的数据分级由“常规”修改为“机密”等。修改完成后，系统自动更新该数据的分类分级结果。

前提条件

必须完成结果核实，“分类分级结果”页面才有数据。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，进入“数据分类分级 > 分类分级结果 > 字段”页面。

(2)在列表中选择要修改的字段，单击操作列的“编辑”，弹出“编辑”对话框。

(3)修改该字段的敏感数据类型、数据分级、数据分类，单击“确定”，修改成功。

修改完成后，系统自动更新该数据的分类分级结果。

6.5.11.2 基于数据表管理分类分级结果

1.配置搜索条件

简介

您可以通过设置多条过滤条件，查阅分类分级的结果。

前提条件

必须完成结果核实，“分类分级结果”页面才有数据。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，进入“数据分类分级 > 分类分级结果 > 数据表”页面。

(2)配置数据分级、数据分类、数据源类型、打标方式、结果修改时间等条件。

(3)单击“搜索”，页面刷新展示。

2.通过“编辑”重新修改敏感数据分类分级结果

简介

您可以通过“编辑”重新修改敏感数据分类分级结果，作用同结果核实；如将某个数据表的数据分级由“常规”修改为“机密”等。修改完成后，系统自动更新该数据表的分类分级结果。

前提条件

必须完成结果核实，“分类分级结果”页面才有数据。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，进入“数据分类分级 > 分类分级结果 > 数据表”页面。

(2)在列表中选择要修改的数据表，单击操作列的“编辑”，弹出“编辑”对话框。

(3)修改该数据表的数据分级、数据分类，单击“确定”，修改成功。

修改完成后，系统自动更新该数据表的分类分级结果。

3.查看某个数据表中所有字段的分类分级结果

简介

您可以“数据表”页面查看某一个数据表中所有字段的分类分级结果。

前提条件

必须完成结果核实，“分类分级结果”页面才有数据。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，进入“数据分类分级 > 分类分级结果 > 数据表”页面。

(2)在列表中单击数据表列的名称，调整至“字段”页面，过滤筛选出该数据表的所有字段分类分级结果。

数据安全管理平台 DSP可对接入的几种数据类型日志（MySQL、SQLserver、PostgreSQL、DB2、ElasticSearch、Redis、MongoDB、Hive、Clickhouse、HBase、达梦、人大金仓、南大通用GBASE）进行数据审计规则匹配，命中规则后产生数据审计事件，帮助租户及时发现数据库运行中可能存在的潜在风险和隐患，为数据库安全运行保驾护航，满足等保合规要求。

“数据审计”页面提供数据审计结果概览、原始日志查询、审计策略管理。您可在此页面执行与数据审计相关的操作。

1.审计日志存储说明

• 每个租户的日志存储容量最大为100GB，当日志存储达到容量阈值时，系统进行删除，删除比例为25%。

• 每个租户的日志存储时间最长为180天，系统自动清理超过180天的数据。

2.查看日志审计字段说明

您可以在“数据审计 > 审计查询”页面单击右上方的“字段说明”，将《数据审计字段说明》文件下载到本地，查看数据审计日志接入的类型和审计日志表字段说明、审计告警接入说明。

提示：

您可以借助《数据审计字段说明》文件中的审计日志表字段说明在“审计查询”页面“原始报文”输入框自行输入origin_message字段内容查询原始报文。

简介

“审计概览”展示指定时间范围内的原始日志发展趋势、审计事件发展趋势、审计类型日志量、审计类型日志量备份，帮助您更好地从审计层面了解资产的风险状态。您可在此处下载数据统计结果。

“审计概览”页面包含4个模块：

前提条件

您必须开通相应数据类型的服务，在数据源管理中新建数据源，审计概览页面才有数据。

已安装数据库审计 Agent。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据审计 > 审计概览”，进入“审计概览”页面。

(2)（可选）指定统计的时间范围。

单击左上角的“近1天”、“近7天”、“近14天”、“近30天”或自定义时间，可选择“审计概览”页面统计数据的时间范围；选择后页面自动刷新展示。

(3)（可选）单击可下载审计图表。

6.6.3.1 查看 / 下载原始日志

简介

原始日志页面包含两个模块：日志发展趋势和日志详情。

您可以基于审计原始日志、审计告警日志查询。

“日志发展趋势”以柱状图统计指定时间范围内的日志数量，在“日志详情”区域可查看具体日期内的原始日志详情。

前提条件

您必须开通相应数据类型的服务，在数据源管理中新建数据源，审计查询页面才有数据。

已安装数据库审计 Agent。

限制与指导

单次日志下载量不超过1万条。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，进入“数据审计 > 审计查询”页面。

(2)（可选）选择要查询的数据类型、时间范围或输入origin_message字段内容，单击“检索”，页面根据筛选条件刷新展示，各功能模块的说明见下文。

在“原始报文”输入框处需输入origin_message字段内容时，您可以单击右上方的“字段说明”，将“数据审计字段说明”文件下载到本地，根据审计日志表字段说明填写过滤条件进行检索。

(3)查看日志发展趋势。

“日志发展趋势”以柱状图的形式展示在指定时间范围内，总共的日志条数以及各时间点的日志数量。

单击“隐藏”可隐藏“日志发展趋势”面板；鼠标悬停在柱状图上可查看每天统计的日志条数总量。

(4)查看日志详情。

单击 ，展开日志详情；“日志详情”区域可查看具体日期内的原始日志详情。

(5)下载日志。

在日志详情模块单击  ，可将当前展示的日志下载到本地。

6.6.4.1 简介

数据安全管理平台 DSP根据审计策略对采集的数据进行匹配，若命中规则产生相应级别的审计告警事件。数据安全管理平台 DSP在出厂时预置审计规则（即系统规则），也支持用户自定义审计规则。

6.6.4.2 创建审计策略

简介

您可以在数据安全管理平台 DSP中基于自身需求自定义审计规则。

限制与指导

目前每个租户只支持100条（含系统内置、自定义）审计规则。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击“数据审计 > 审计策略”，进入“审计策略”页面。

(2)单击“新建”，弹出新建审计规则对话框。

(3)根据下表中的参数说明配置参数信息。

(4)单击“确定”，审计规则策略创建成功。

后续步骤

自定义审计规则创建成功并开启后，等待约3分钟后，您可以在“数据审计 > 审计概览”和“数据审计 > 审计查询”中查看相关告警数据。

6.6.4.3 审计策略管理

简介

您可以基于策略状态、策略类型、规则名称等快速查看系统内置的和自定义的审计策略，也可以对修改或删除自定义策略。

限制与指导

系统内置的审计规则不允许编辑、删除、修改策略状态。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击“数据审计 > 审计策略”，进入“审计策略”页面。

(2)对目标策略执行编辑/删除/开启/关闭等操作：

单击策略操作列的“编辑”，可修改此策略。

单击策略操作列的“删除”，可删除此策略。

单击策略状态列的  或  ，可开启或关闭此策略。

6.7.1.1 同步用户权限

简介

通过调用数据中台确定的URL接口，可同步用户业务系统的用户数据，包括用户名、用户描述、角色、组织和创建时间等信息。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“安全策略 > 用户权限”，进入“用户权限”页面。

(2)单击“同步”，即可将用户业务系统的用户数据信息同步到用户权限列表。

6.7.1.2 编辑用户权限

简介

通过“编辑”，可以修改用户的数据权限和用户描述信息，通过“编辑数据权限”，仅可以批量修改用户的数据权限，数据权限等级分别为：常规、内部、敏感、机密。

前提条件

已同步用户权限。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“安全策略 > 用户权限”，进入“用户权限”页面。

(2)修改数据权限：

单个修改：选择要修改的用户，单击所在行的“编辑”，在弹出的确认框中修改数据权限和描述信息，单击“确定”，即可完成编辑。

批量修改：勾选多个用户，单击下方的“修改数据权限”，在弹出的确认框中修改数据权限，单击“确定”，即可完成编辑。

 注意

用户未勾选时，“修改数据权限”是置灰状态，不可操作；勾选用户后，会变为可点击状态。

6.7.1.3 删除用户权限

简介

您可以将不再使用的用户数据删除。

前提条件

已同步用户权限。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“安全策略 > 用户权限”，进入“用户权限”页面。

(2)单击目标操作列的“删除”，在删除确认框单击“确定”，即可删除成功。

6.7.2.1 创建策略

简介

通过创建行级策略，在数据脱敏时可以根据行的条件调节数据分级。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“安全策略 > 行级策略”，进入“行级策略”页面。

(2)单击“新建行级策略”，进入“新建行级策略”页面。

(3)根据参数说明配置参数。

(4)确认配置信息无误后，单击“确定”，新建成功。

6.7.2.2 编辑策略

前提条件

已创建策略。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“安全策略 > 行级策略”，进入“行级策略”页面。

(2)单击目标操作列的“编辑”，进入“编辑行级策略”页面。

(3)修改该策略的策略名称、策略名称、状态、判断条件等信息，单击“确定”，修改成功。

修改完成后，系统自动更新该行级策略。

6.7.2.3 删除策略

简介

您可以将不再使用的行级策略删除。

前提条件

已创建策略。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“安全策略 > 行级策略”，进入“行级策略”页面。

(2)单击目标操作列的“删除”，在删除确认框单击“确定”，即可删除成功。

DSP提供数据脱敏功能，支持静态脱敏，覆盖多种场景。

DSP支持哈希脱敏、字符掩盖、关键字替换、数据加密脱敏、数据解密脱敏、取整脱敏、字符移位脱敏脱敏等多种预置脱敏算法，您可以通过预置脱敏规则，或自定义脱敏规则来对指定数据库表进行脱敏。

6.8.2.2 配置脱敏算法

1.简介

DSP支持字符遮盖、关键字替换、取整脱敏、字符移位脱敏、数据加密、数据解密、哈希脱敏和脚本自定义等多种脱敏算法，脱敏算法说明见支持的脱敏算法。

本节主要介绍如何配置脱敏算法。

2.字符遮盖

使用指定的特殊字符*、#或随机字符遮盖部分内容。

(1)进入“字符遮盖”页面。

a.在数据安全管理平台 DSP控制台页面。

b.单击“数据脱敏 > 脱敏算法 > 字符遮盖”，进入“字符遮盖”页面。

(2)配置字符遮盖算法。

a.单击右上角的“新建字符遮盖”，弹出“新建字符遮盖算法”对话框。

b.设置参数。

c.单击“确定”，脱敏规则配置成功，展示在脱敏算法页面中。

(3)测试脱敏效果。

您可以在新建脱敏规则的时候，在“新建字符串遮盖”对话框中，输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

您也可以在“数据脱敏 > 脱敏算法 > 字符遮盖”页面，单击“操作”列的“编辑”，弹出“编辑字符串遮盖”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

3.关键字替换

利用自定义的字符串替换数据中匹配到的关键字，达到脱敏的效果。例如：原始数据为张三李四抬水喝，“关键字”配置为张三，“替换字符串”配置为张先生，则“脱敏结果”显示为张先生李四抬水喝。

(1)进入“关键字替换”页面。

a.在数据安全管理平台 DSP控制台页面。

b.单击“数据脱敏 > 脱敏算法 > 关键字替换”，进入“关键字替换”页面。

(2)配置关键字替换脱敏算法。

a.单击右上角的“新建关键字替换”，弹出“新建关键字替换算法”对话框。

b.设置参数。

c.单击“确定”，脱敏规则配置成功，展示在脱敏算法页面中。

(3)测试脱敏效果。

您可以在新建脱敏规则的时候，在“新建关键字替换”对话框中，输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

您也可以在“数据脱敏 > 脱敏算法 > 关键字替换”页面，单击“操作”列的“编辑”，弹出“编辑关键字替换”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

4.取整脱敏

对数字或日期等进行取整操作，此为不可逆算法。

(1)进入“取整脱敏”页面。

a.在数据安全管理平台 DSP控制台页面。

b.单击“数据脱敏 > 脱敏算法 > 取整脱敏”，进入“取整脱敏”页面。

(2)配置取整脱敏算法。

a.单击右上角的“新建取整脱敏”，弹出“新建取整脱敏”对话框。

b.设置参数。

c.单击“确定”，脱敏规则配置成功，展示在脱敏算法页面中。

(2)测试脱敏效果。

您可以在新建脱敏规则的时候，在“新建取整脱敏”对话框中，输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

您也可以在“数据脱敏 > 脱敏算法 > 取整脱敏”页面，单击“操作”列的“编辑”，弹出“编辑取整脱敏”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

5.字符移位脱敏

通过指定的位移方向和位移个数，变换字符串中字符的位置。

(1)进入“字符移位脱敏”页面。

a.在数据安全管理平台 DSP控制台页面。

b.单击“数据脱敏 > 脱敏算法 > 字符移位脱敏”，进入“字符移位脱敏”页面。

(2)配置字符移位脱敏算法。

a.单击右上角的“新建字符移位脱敏”，弹出“新建字符移位脱敏”对话框。

b.设置参数。

c.单击“确定”，脱敏规则配置成功，展示在脱敏算法页面中。

(3)测试脱敏效果。

您可以在新建脱敏规则的时候，在“新建字符移位脱敏”对话框中，输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

您也可以在“数据脱敏 > 脱敏算法 > 字符移位脱敏”页面，单击“操作”列的“编辑”，弹出“编辑字符移位脱敏”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

6.数据加密

通过加密算法和密钥生成加密规则，达到数据脱敏的效果；适用于对需要回源的字段进行加密的场景。

DSP内置数据加密脱敏规则，您可以直接测试脱敏效果，也可以根据需要自行配置脱敏规则。

(1)进入“数据加密”页面。

a.在数据安全管理平台 DSP控制台页面。

b.单击“数据脱敏 > 脱敏算法 > 数据加密”，进入“数据加密”页面。

(2)配置数据加密算法。

a.单击右上角的“新建数据加密”，弹出“新建数据加密”对话框。

b.设置参数。

c.单击“确定”，脱敏规则配置成功，展示在脱敏算法页面中。

(3)测试脱敏效果。

内置的脱敏算法

单击“操作”列的“测试”，弹出“编辑数据加密”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

自定义的脱敏算法

您可以在新建脱敏规则的时候，在“新建数据加密”对话框中，输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

您也可以单击“操作”列的“编辑”，弹出“编辑数据加密”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

7.数据解密

通过解密算法和密钥生成解密规则，达到数据脱敏的效果；适用于对需要回源的字段进行解密的场景。

(1)进入“数据解密”页面。

a.在数据安全管理平台 DSP控制台页面。

b.单击“数据脱敏 > 脱敏算法 > 数据解密”，进入“数据解密”页面。

(2)配置数据解密算法。

a.单击右上角的“新建数据解密”，弹出“新建数据解密”对话框。

b.设置参数。

c.单击“确定”，脱敏规则配置成功，展示在脱敏算法页面中。

(3)测试脱敏效果。

内置的脱敏算法

单击“操作”列的“测试”，弹出“编辑数据解密”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

自定义的脱敏算法

您可以在新建脱敏规则的时候，在“新建数据解密”对话框中，输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

您也可以单击“操作”列的“编辑”，弹出“编辑数据加密”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

8.哈希脱敏（Hash脱敏）

使用哈希函数对敏感数据脱敏，此为不可逆算法；适用于密码或需要通过对比进行敏感数据确认的场景。

DSP内置Hash脱敏规则，您可以直接测试脱敏效果，也可以根据需要自行配置脱敏规则。

(1)进入“哈希脱敏”页面。

a.在数据安全管理平台 DSP控制台页面。

b.单击“数据脱敏 > 脱敏算法 > 哈希脱敏”，进入“哈希脱敏”页面。

(2)配置哈希脱敏算法。

a.单击右上角的“新建哈希脱敏”，弹出“新建哈希脱敏”对话框。

b.设置参数。

c.单击“确定”，脱敏规则配置成功，展示在脱敏算法页面中。

(3)测试脱敏效果。

内置的脱敏算法

单击“操作”列的“测试”，弹出“编辑哈希脱敏”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

自定义的脱敏算法

您可以在新建脱敏规则的时候，在“新建哈希脱敏”对话框中，输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

您也可以单击“操作”列的“编辑”，弹出“编辑哈希脱敏”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

6.8.3.1 简介

DSP支持配置脱敏模板。您可以将使用频率较高且应用场景相同的脱敏算法配置在同一个脱敏模板中，并在配置静态脱敏任务时引用此模板。

6.8.3.2 创建脱敏模板

1.通过“新建脱敏模板”创建

简介

您可以通过“新建脱敏模板”创建全新的脱敏模板。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击“数据脱敏 > 脱敏模板”，进入“脱敏模板”页面。

(2)单击右上角的“新建脱敏模板”，进入“新建脱敏模板”页面。

(3)设置参数，单击“确定”，创建成功。

创建成功的模板显示在“脱敏模板”列表中。

2.通过“复制”已有的模板创建

简介

您可以通过“复制”功能快速创建脱敏模板；复制成功后您可以通过“编辑”修改模板配置参数。

限制与指导

仅适用于已存在脱敏模板的场景。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击“数据脱敏 > 脱敏模板”，进入“脱敏模板”页面。

(2)选择目标模板，单击右侧的“复制”，弹出“复制脱敏模板”对话框。

(3)配置模板名称和描述信息，单击“确定”，模板创建成功。

6.8.3.3 启用/禁用脱敏模板

简介

创建成功后的脱敏模板，默认为启用状态，如果您想禁用此模板，请单击“状态”图标将其置为OFF。

前提条件

已完成创建脱敏模板。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击“数据脱敏 > 脱敏模板”，进入“脱敏模板”页面。

(2)找到要修改状态的脱敏模板，单击“状态”列图标将其置为ON / OFF便可启用/停用脱敏模板。

6.8.3.4 修改脱敏算法参数

简介

您可以在脱敏模板中，针对所选的敏感数据修改其脱敏算法参数，修改后，参数将同步到“数据脱敏 > 脱敏算法”对应的配置中。

限制与指导

仅自定义脱敏算法支持修改脱敏算法参数。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击“数据脱敏 > 脱敏模板”，进入“脱敏模板”页面。

(2)在“新建脱敏模板”页面，或者通过操作列的“编辑”进入“编辑脱敏模板”页面。

(3)在“模板配置”区域选择敏感数据，单击某一算法处的说明图标  ，弹出查看参数对话框。

(4)单击“修改参数”，进入相应的编辑算法页面，即可修改脱敏算法，脱敏算法参数配置说明参见配置脱敏算法。

修改后，参数将同步到“数据脱敏 > 脱敏算法”对应的脱敏算法配置中。

6.8.3.5 脱敏模板管理

1.查询

(1)在数据安全管理平台 DSP控制台页面，单击“数据脱敏 > 脱敏模板”，进入“脱敏模板”页面。

(2)在搜索栏中选择搜索项目，单击；或通过过滤漏斗，可过滤查看目标模板。

(3)单击“算法数量”列的数字，可在弹出的脱敏算法详情框中查看该模板包含的所有敏感数据和脱敏算法。

2.编辑

(1)在数据安全管理平台 DSP控制台页面，单击“数据脱敏 > 脱敏模板”，进入“脱敏模板”页面。

(2)选择目标模板，单击右侧的“编辑”，进入“编辑脱敏模板”页面。

(3)修改设置信息后单击“确定”，修改成功。

3.删除

(1)在数据安全管理平台 DSP控制台页面，单击“数据脱敏 > 脱敏模板”，进入“脱敏模板”页面。

(2)选择目标模板，单击右侧的“删除”，在弹出的确认删除对话框中单击“确定”，删除成功。

6.8.4.1 简介

通过创建脱敏任务，使用脱敏算法对敏感数据进行脱敏，并将脱敏后的数据保存到您选择的目标位置。

6.8.4.2 支持的数据源

目前暂支持的数据源类型有：MySQL、Greenplum、SQLserver、PostgreSQL、达梦、人大金仓、南大通用Gbase、Hbase、Hive、MongoDB、ElasticSearch 、DB2、oracle。

6.8.4.3 创建脱敏任务

1.简介

通过创建脱敏任务，对指定的数据配置脱敏规则实现敏感数据静态脱敏。

2.前提条件

已创建“数据静态脱敏”标识的数据源，具体参见新建数据源。

3.进入向导模式

(1)在数据安全管理平台 DSP控制台页面，单击“数据脱敏 > 静态脱敏 > 任务配置”，进入“任务配置”页面。

(2)单击“新建向导脱敏”，进入“新建向导模式脱敏”页面。

4.配置脱敏任务基本信息

设置参数后，单击“下一步”，脱敏任务创建成功，进入“配置脱敏算法”页面；单击“取消”，不创建脱敏任务。

注意：

如果脱敏任务已创建，在其他步骤中单击“上一步”返回到此页面，单击“取消”，DSP保持租户在其他步骤中的设置。

5.配置脱敏算法

在“脱敏表范围”处选择算法模板，在“算法配置”为各个字段配置相应的敏感数据和脱敏算法，单击“下一步”，进入“配置目标”页面。

说明：

DSP内置部分脱敏模板，您可在“数据脱敏 > 脱敏模板”中创建脱敏模板。

单击“取消”，不保存当前配置，但任务已创建，您可以在“数据脱敏 > 静态脱敏 > 任务配置”页面中，通过“编辑”继续配置脱敏任务。

6.配置目标

(1)配置目标数据源。

选择数据源类型、数据源、数据库实例等。

(2)配置快速匹配目标表。

选择数据源后，单击“快速匹配”

(3)（可选）您也可以自定义来源表和目标表的对应关系。

(4)单击“下一步”，进入“配置字段映射”页面。

7.配置字段映射

即配置源端数据表中的字段同步到目标数据表后对应的字段。默认按照顺序映射，您也可以自定义映射关系。

注意：

至少必须存在一个字段映射，否则无法进入下一步。

数据库表字段设置不为空且源表中有数据时，如果不配置字段映射，脱敏任务执行失败。

配置字段映射页面如下所示：

• 取消映射

单击“取消”，自动取消当前配置的映射关系。

• 名称映射

单击“名称映射”，源端数据表的字段自动映射到目标端数据表的相同名称的字段中。

• 顺序映射

单击“顺序映射”，系统根据顺序自动生成映射关系。

• 自定义映射关系

先取消当前映射关系，单在源表中的字段，按住鼠标左键拖拽出一条带箭头的线条至目标字段处，松开鼠标即可。

8.配置调度策略

配置以下参数，单击“完成”，脱敏任务配置成功。

6.8.4.4 执行脱敏任务

方式1

您可以在创建脱敏任务的配置调度策略步骤中选择“立即执行”，来执行脱敏任务。

方式2

在“数据脱敏 > 静态脱敏 > 任务配置”中，选择要执行的任务，单击右侧的“激活”，系统开始周期性执行任务。

6.8.4.5 查看脱敏任务信息

简介

在“任务信息”页面，您可以查看脱敏任务的基本配置信息、执行情况、脱敏任务图谱、字段表对应关系、任务调度信息等。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击“数据脱敏 > 静态脱敏 > 任务配置”，进入“任务配置”页面。

(2)单击任务名称，进入任务信息页面，您可在此处查看脱敏任务详情。

6.8.4.6 查看脱敏任务运维情况

简介

“任务运维”页面展示静态脱敏任务每次运行的记录，包括任务实例ID、执行类型、源数据表/目标数据表、任务执行状态、运行时长、读取/写入/失败的数据条数等基本信息，还展示每次任务执行的运行日志、运行代码、结果预览等；您还可以根据执行结果选择是否重跑任务。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击“数据脱敏 > 静态脱敏 > 任务配置”，进入“任务配置”页面。

(2)单击任务名称，进入“任务信息”页面。

(3)单击“任务运维”页签，进入“任务运维”页面。

单击任务实例ID，弹出本条执行记录的任务图谱，您可以查看本次运行的任务属性、运行日志、运行代码以及运行结果。

单击任务实例ID前的 ，展开任务实例，单击操作列的“查看”，可查看本次运行的任务属性、运行日志、运行代码以及运行结果。

单击操作列的“重跑”，可重跑本次记录的脱敏任务。

单击“导出”，可导出本脱敏任务的所有运行记录。

6.8.5.1 概述

用户在通过业务系统访问数据的时候，动态脱敏要求根据用户的身份或者数据权限的级别，决定用户看到的数据是否要执行脱敏。

6.8.5.2 使用限制

当前动态脱敏功能是基于数据分类分级结果来进行脱敏的，如果物理表发生字段变更操作（如，修改字段名、删除字段、新增字段等），请在“字段”分类分级结果中删除变更的字段结果（参见基于字段管理分类分级结果），再对该表执行分类分级和字段核实。

6.8.5.3 新建动态脱敏策略

简介

动态脱敏主要实现方案有两种：

• 基于SDK的实现，业务引入SDK，调用SDK提供的方法，实现动态脱敏。

• 基于驱动的实现，业务替换驱动，调用SDK的方法传入用户信息，实现动态脱敏。

前提条件

• 已同步用户权限。

• 已扫描核实对象表。

限制与指导

所有的账户下面动态脱敏策略只允许启用一个。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据脱敏 > 动态脱敏”，进入“动态脱敏”页面。

(2)单击“新建动态脱敏策略”，进入“新建动态脱敏策略”页面。

(3)根据参数说明配置参数。

(4)确认配置信息无误后，单击“确定”，新建成功。

6.8.5.4 设置动态脱敏

简介

主要是用来设置SDK接口同步数据的频次。

前提条件

已同步用户权限。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据脱敏 > 动态脱敏”，进入“动态脱敏”页面。

(2)单击“设置”，弹出“设置”对话框。

(3)根据参数说明配置参数。

(4)单击“确定”，SDK接口同步数据的频次设置成功。

6.8.5.5 编辑动态脱敏

前提条件

已同步用户权限。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据脱敏 > 动态脱敏”，进入“动态脱敏”页面。

(2)单击目标操作列的“编辑”，进入“编辑动态脱敏策略”页面。

(3)修改该策略的策略名称、状态、判断条件等信息，单击“确定”，修改成功。

修改完成后，系统自动更新该动态脱敏策略。

6.8.5.6 删除动态脱敏

前提条件

已同步用户权限。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据脱敏 > 动态脱敏”，进入“动态脱敏”页面。

(2)单击目标操作列的“删除”，弹出“删除”确认框。

(3)单击“确定”，即可删除成功。

如果对分发的数据添加水印，在信息泄露时，您可以第一时间从泄露的数据中提取水印标识。通过读取水印标识，您可以追溯数据的具体泄露情况，实现数据溯源追责、定损。对分发的数据添加水印，不会影响分发数据的正常使用。

6.9.2.1 新建水印标识

简介

将标识信息嵌入到数据或文件中，使其具备一定的标识度。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据水印 > 水印标识”，进入“水印标识”页面。

(2)单击“新建水印标识”，弹出“新建水印标识”对话框。

(3)根据参数说明配置参数。

(4)单击“确定”，水印标识创建成功。

6.9.2.2 查看水印标识

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据水印 > 水印标识”，进入“水印标识”页面。

(2)在水印标识页面，可以查看水印标识的创建时间、状态、附加次数、描述等信息。

单击目标标识的“附加次数”，可查看该水印标识的具体附加时间、分发源、分发目标等信息。

6.9.2.3 删除水印标识

简介

当您不再使用水印标识时，可直接删除水印标识，删除操作无法恢复，请谨慎操作。

限制与指导

已被使用的水印标识，不可删除。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据水印 > 水印标识”，进入“水印标识”页面。

(2)单击目标操作列的“删除”，弹出“删除”确认框。

单击“确定”，即可删除成功。

6.9.3.1 新建水印任务

前提条件

• 已新建数据源并且绑定了水印功能。

• 已新建水印标识。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据水印 > 水印任务”，进入“水印任务”页面。

(2)在水印任务页面，单击“新建水印任务”，进入新建水印任务页面。

在“基本信息”页面下，参考下表中说明配置相关参数，确认信息无误后，单击“下一步”，进入“水印策略”页面。

(4)在“水印策略”页面，参考下表中说明配置相关参数，确认信息无误后，单击“下一步”，进入“配置目标”页面。

(7)在“配置目标”页面，参考下表中说明配置相关参数，确认信息无误后，单击“下一步”，进入“调度策略”页面。

(8)在调度策略页面，参考下表中说明配置相关参数，确认信息无误后，单击“完成”，完成新建水印任务操作。

1.伪行水印配置

简介

对配置的字段列按配置方式产生对应的仿真数据，以达到数据类似真实数据但不影响原数据。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据水印 > 水印任务”，进入“水印任务”页面。

(2)在水印任务页面，单击“新建水印任务”，进入新建水印任务页面。

(3)在“水印策略”页面，选择“伪行水印”。

(4)单击目标操作列的“配置”，进入水印算法配置页面。

(5)配置参数。

(6)单击“确定”，创建成功。

2.伪列水印配置

简介

对相应表按配置的方式在目的地数据处产生相应列并在插入数据时插入相应仿真数据，不影响原数据，不影响统计结果。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据水印 > 水印任务”，进入“水印任务”页面。

(2)在水印任务页面，单击“新建水印任务”，进入新建水印任务页面。

(3)在“水印策略”页面，选择“伪列水印”。

(4)单击目标操作列的“配置”，进入水印算法配置页面。

(5)配置参数。

(6)单击“确定”，创建成功。

3.脱敏水印配置

简介

对原数据做一定程度的随机修改，并记录修改后的数据以溯源使用，对数据真实情况无要求情况可选。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据水印 > 水印任务”，进入“水印任务”页面。

(2)在水印任务页面，单击“新建水印任务”，进入新建水印任务页面。

(3)在“水印策略”页面，选择“脱敏水印”。

(4)单击目标操作列的“配置”，进入水印算法配置页面。

(5)配置参数。

(6)单击“确定”，创建成功。

4.内容修改水印配置

简介

在原数据之后增加不可见字符，在不影响原数据业务含义的情况下，对数据增加水印以便追溯。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据水印 > 水印任务”，进入“水印任务”页面。

(2)在水印任务页面，单击“新建水印任务”，进入新建水印任务页面。

(3)在“水印策略”页面，选择“内容修改水印”。

(4)单击目标操作列的“配置”，进入水印算法配置页面。

(5)配置参数。

(6)单击“确定”，创建成功。

6.9.3.2 查看水印任务详情

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据水印 > 水印任务”，进入“水印任务”页面。

(2)单击任务ID，进入该任务详情页面，您可以查看与该任务相关的基本信息、执行信息等。

6.9.3.3 编辑水印任务

限制与指导

已激活的水印任务不允许编辑操作。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据水印 > 水印任务”，进入“水印任务”页面。

(2)单击目标操作列“编辑”，进入“编辑水印任务”页面，即可对水印任务配置信息进行修改。

6.9.3.4 执行水印任务

限制与指导

存在重复的伪列名称时，任务不可执行。

任务状态为“执行失败”时，则可以重复执行任务，任务状态为“执行成功”和“执行中”时，则不能重复执行。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据水印 > 水印任务”，进入“水印任务”页面。

(2)单击目标操作列“执行”，弹出“执行”确认框。

(3)单击“确定”，即可执行水印任务。

6.9.3.5 下线水印任务

限制与指导

已激活的水印任务才具有下线功能。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据水印 > 水印任务”，进入“水印任务”页面。

(2)单击目标操作列“下线”，弹出“下线”确认框。

(3)单击“确定”，即可下线该水印任务。

6.9.3.6 删除水印任务

限制与指导

已激活的水印任务不允许删除操作。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据水印 > 水印任务”，进入“水印任务”页面。

(2)单击目标操作列“删除”，弹出“删除”确认框，单击“确定”，删除成功。

6.9.4.1 水印溯源

简介

数据泄露事件发生时，根据泄露的数据样板，对数据遗失方进行溯源审计。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据水印 > 水印溯源”，进入“水印溯源”页面。

(2)单击“水印溯源”页签，进入“水印溯源”页面。

(3)单击“上传”，选择溯源文件，成功上传文件。

6.9.4.2 溯源历史

限制与指导

溯源历史记录只能保留近6个月的信息。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“数据水印 > 水印溯源”，进入“水印溯源”页面。

(2)单击“溯源历史”页签，进入“溯源历史”页面。

(3)在此页面可以查看历史溯源水印列表信息，包括样本数据、溯源结果、水印标识、溯源时间等。

DSP支持纳管第三方设备，类型包含数据安全网关、API安全审计。

您可以在 DSP “组件列表”的“操作”列，单击“登录”，跳转到第三方设备管理页面。

简介

您可以根据业务需要添加数据安全网关、API安全审计组件，在添加完成后可在组件列表中管理组件、登录第三方设备。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“组件列表”，进入“组件列表”页面。

(2)单击“新建组件”，进入“新建组件”页面。

根据参数说明配置参数。

(4)确认配置信息无误后，单击“确定”，组件创建成功。

系统自动返回至“组件列表”页面，新建的实例显示为“新建中”，等待片刻后，实例状态显示为“运行中”表示创建成功。

后续操作

您可以访问该组件，以使用该组件功能。

6.10.3 访问组件

简介

您可以通过访问组件，跳转到第三方组件的控制台页面进行相应操作。

前提条件

已完成新建组件。

限制与指导

状态为“新建中”、“新建失败”的组件不可访问。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“组件列表”，进入“组件列表”页面。

(2)（可选）您可以基于组件名称、组件ID、类型、状态等信息快速查找目标组件。

(3)单击目标组件操作列的“访问”，跳转到第三方组件的控制台页面，您可以在控制台页面执行相应的操作。

6.10.4 查看组件列表

简介

新建组件后，您可以在组件列表查看组件状态、组件基本信息，并可管理组件。

前提条件

已完成新建组件。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“组件列表”，进入“组件列表”页面。

(2)您可以基于组件名称、组件ID、类型、状态等信息快速查找组件。

6.10.5 删除组件

简介

您可以将不再使用的组件删除。

前提条件

已完成新建组件。

操作步骤

(1)在数据安全管理平台 DSP控制台页面，单击左侧导航栏的“组件列表”，进入“组件列表”页面。

(2)（可选）您可以基于组件名称、组件ID、类型、状态等信息快速查找目标组件。