文档中心

数据安全中心DSC用户指南

最近更新时间：

5 操作指南

5.1 IAM权限管理

5.1.1 IAM 权限说明

简介
身份认证与访问管理服务（Identity and Access Management，IAM）提供用户身份认证、权限分配、访问控制等功能，通过创建多个 IAM 用户并授权不同资源权限策略，可实现不同 IAM 用户之间的权限隔离。
IAM 权限基于 IAM 用户授权云资源权限，定义了允许和拒绝的访问操作。默认情况下，新创建的IAM 用户不具备任何资源权限，需授权 IAM 用户，才能基于被授权的资源权限进行操作。
IAM 权限策略是一组资源权限集，数据安全中心 DSC 支持“系统策略”和“自定义策略”。
系统策略
系统策略统一由系统创建和维护，不支持自定义修改策略权限范围。数据安全中心 DSC 支持的系统策略如下：

自定义策略
自定义策略是由系统开放资源授权项（Action），支持自主创建、更新和删除策略。目前支持“可视化”和“脚本”两种配置方式创建自定义策略：
• 可视化配置：按可视化导航栏选择策略效力、云服务、操作、资源、条件等权限策略内容，自动生成策略。
• 脚本配置：提供基本策略模板，可根据具体需求编辑策略内容，也可直接在编辑框内编写策略内容。
数据安全中心 DSC 支持的资源授权项如下：

5.1.2 配置流程

5.1.3 配置 IAM 权限

5.1.3.1 创建 IAM 用户
(1) 登录 CECSTACK 专属云控制台。
(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 在“用户管理”页面，单击“创建用户”，进入创建用户页面。
(4) 配置 IAM 用户账号信息和访问方式。
账号信息包括用户名、显示名、手机号、邮箱、备注等。
访问方式可选择控制台访问或编程访问。
一次最多可创建 10 个 IAM 用户，且同时创建的用户访问方式相同。

(5) 确认信息无误后，IAM 用户创建成功。
自定义密码：单击“确定”，提示用户创建成功，可查看新创建的用户列表。
自动生成密码：单击“确定”，弹出下载密码对话框，确认后下载用户密码至本地保存，且可查看新创建的用户列表。
5.1.3.2 创建自定义权限策略
任务简介
IAM 权限策略是一组资源权限集，数据安全中心 DSC 支持“系统策略”和“自定义策略”。
如果预置的数据安全中心 DSC 系统策略不满足使用要求，可通过创建自定义策略，添加授权项（Action），对数据安全中心 DSC 资源进行精细的权限管理。目前支持“可视化”和“脚本”两种配置方式创建自定义策略。
• 可视化配置：按可视化导航栏选择策略效力、云服务、操作、资源、条件等权限策略内容，自动生成策略。
• 脚本配置：提供基本策略模板，可根据具体需求编辑策略内容，也可直接在编辑框内编写策略内容。
本小节主要介绍如何在管理控制台创建自定义策略。
可视化配置自定义策略
(1) 登录 CECSTACK 专属云控制台。
(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 单击“权限策略管理”，进入权限策略管理页面。
(4) 单击“创建自定义权限策略”，进入创建自定义权限策略页面。
(5) 配置权限策略基本信息。
权限策略名称：自定义权限策略名称。
备注：自定义策略配置信息。
(6) 配置方式，选择“可视化配置”。
(7) 配置权限策略。
a. 配置权限策略效力，可选择“允许”或“拒绝”。
− 允许：表示该策略为允许操作效力。
− 拒绝：表示该策略为拒绝操作效力。
b. 配置云服务，选择“数据安全中心 DSC”。
c. 配置云服务操作，根据需求勾选操作权限。
d. 配置资源，可选择“全部资源”或“特定资源”。

e. （可选）配置请求条件。
此产品暂不支持添加请求条件。
(8) 确认信息无误后，单击“确定”，返回权限策略列表页面，自定义策略即创建完成。

通过脚本配置自定义策略
(1) 登录 CECSTACK 专属云控制台。
(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 单击“权限策略管理”，进入权限策略管理页面。
(4) 单击“创建自定义权限策略”，进入创建自定义权限策略页面。
(5) 配置权限策略基本信息。
权限策略名称：自定义权限策略名称。
备注：自定义策略配置信息。
(6) 配置方式，选择“脚本配置”。
(7) 配置权限策略。
您可直接编辑脚本；也可复制已有策略权限，并在基础上做修改。
(8) 确认信息无误后，单击“确定”，返回权限策略列表页面，自定义策略即创建完成。
5.1.3.3 授权单个 IAM 用户使用 DSC
(1) 登录 CECSTACK 专属云控制台。
(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 在“用户管理”页面，单击目标 IAM 用户操作列的“添加权限”，弹出添加权限窗口。
(4) 在左侧列框，勾选数据安全中心 DSC 权限策略并单击，为用户添加权限。
您也可以将已配置的权限移除。
权限策略列框包含该账号下全量系统策略和自定义策略。

(5) 单击“确定”，返回 IAM 用户列表页面。
5.1.3.4 授权 IAM 用户组使用 DSC
(1) 登录 CECSTACK 专属云控制台。
(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 单击“用户组”，进入用户组页面。
(4) 新建用户组。
a. 单击“创建用户组”，弹出创建用户组窗口。
b. 配置用户组名称，并可自定义描述信息。
c. 单击“确定”，返回用户组列表。
(5) 添加组成员。
a. 在目标用户组的操作列，单击“添加组成员”，弹出添加组成员窗口。
b. 在左侧列框，勾选一个或多个目标用户并单击，添加用户至用户组。
− 您也可以将已添加的用户从用户组移除。
− 用户列框包含该账号下已创建的全部 IAM 用户。
− 已被添加至其他用户组的用户置灰，不能被添加到新用户组。
c. 单击“确定”，返回用户组列表页面。
(6) 添加用户组权限。
a. 在目标用户组的操作列，单击“添加权限”，弹出添加权限窗口。
b. 在左侧列框，勾选数据安全中心 DSC 权限策略并单击，为用户组添加权限。
− 您也可以将已配置的权限从用户组移除。
− 权限策略列框包含该账号下全量系统策略和自定义策略。
c. 单击“确定”，返回用户组列表页面。

5.1.4 验证权限配置

(1) 使用 IAM 用户账号登录专属云控制台。
(2) 在服务列表中选择“数据安全中心 DSC”，进入数据安全中心 DSC 管理页面。
(3) 对各功能菜单执行相应操作，确认权限是否生效。

5.2 安全概览

5.2.1 概述

“安全概览”页面展示数据安全中心 DSC 当前的状态、数据风险事件统计、数据审计事件和数据风险事件趋势。

5.2.2 查看 DSC 当前状态

(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”，进入“安全概览”页面。
(2) 数据安全中心 DSC 当前状态如下：

5.2.3 查看数据风险事件统计

简介
“数据风险事件”统计当天、近 30 天的待处理风险事件情况，包括待处理的风险事件总数、（待处理的）严重事件总数、（待处理的）可疑事件总数、（待处理的）提醒事件总数。
前提条件
您必须开启 API 安全检测（即在开通数据安全中心 DSC 时，开启 API），数据风险事件方有数据产生。
操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”，进入“安全概览”页面。
(2) 单击“今天”或“近 30 天”，选择统计的时间范围，页面刷新展示。

(3) 单击数字，可跳转至“数据风险”页面，告警列表过滤展示。
单击“待处理”事件数，告警列表过滤筛选出待处理的风险事件信息。
单击“严重”事件数，告警列表过滤筛选出待处理的严重风险事件信息。
单击“可疑”事件数，告警列表过滤筛选出待处理的可疑风险事件信息。
单击“提醒”事件数，告警列表过滤筛选出待处理的提醒风险事件信息。

5.2.4 查看风险发展趋势

简介
“风险发展趋势”以曲线图的形式展示最近 7 天、最近 30 天的数据审计事件和数据风险事件。
前提条件
您必须开启 API 安全（即在开通数据安全中心 DSC 时，开启 API），风险发展趋势模块方有数据。
操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”，进入“安全概览”页面。
(2) 单击“近 7 天”或“近 30 天”，选择统计的时间范围，页面刷新展示。鼠标悬停在曲线上，可查看具体日期内的统计数。

5.3 数据风险

5.3.1 概述

“数据风险”页面展示不同时间范围内的数据风险事件统计结果、告警类型统计结果、告警详情，支持租户对数据告警事件进行处理。

5.3.2 查看数据风险事件

前提条件
在购买数据安全中心 DSC 时，需开启 API 安全，数据风险页面才有数据产生。
操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“数据风险”，进入“数据数据风险”页面。
(3) （可选）选择时间范围：近 7 天、近 14 天、近 30 天。
如果不选择，默认统计近 7 天的数据。
(4) 查看数据风险趋势、告警类型 Top10 以及告警详情。
在“告警详情”区域，支持对告警事件进行过滤筛选，筛选条件包括告警等级、告警类型和告警状态。

5.3.3 告警处理

任务简介
开通 API 安全检测后，系统对接入的各数据源数据进行检测，命中规则后产生相应的告警，标记为数据风险事件进行统计；您可对产生的数据风险事件进行处理。
前提条件
在购买数据安全中心 DSC 时，需开启 API 安全，系统对接入的各数据源数据进行检测，命中规则后产生相应的告警。
操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“数据风险”，进入“数据数据风险”页面。
(3) （可选）选择时间范围：近 7 天、近 14 天、近 30 天。
如果不选择，默认统计近 7 天的数据。
(4) （可选）在“告警详情”区域，对告警事件进行过滤筛选，筛选条件包括告警等级、告警类型和告警状态。
(5) 单击目标告警右侧的“告警处理”，弹出“告警处理”对话框。

(6) 选择告警处理方式。
忽略
忽略本次告警，再次发生相同告警时，数据安全中心将再次告警。忽略后，告警状态显示为“已处理（忽略）”。

线下处理
安全运营人员在线下处理完成，后续数据安全中心会继续对该事件进行告警。处理后，告警状态将变为“已处理（线下处理）”。

5.4 数据源管理

5.4.1 概述

您可在“数据源管理”页面添加、删除、编辑相应的数据信息。

5.4.2 新建数据源

任务简介
通过添加数据源并开启安全防护，DSC 对数据源产生的日志进行检测，并与审计策略匹配，命中后产生相应的审计告警事件。
限制与指导
在数据源管理中，创建的数据源数不受限制，但开启安全防护的数据源个数最多等于开通 DSC 时
购买的数据库实例个数，即：如果您在开通数据安全中心 DSC 时购买的数据库实例个数为 3 个，
那您在数据源管理中，最多可开启 3 个数据源的安全防护。
您必须先添加专属网络，参见添加专有网络。
操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“数据源管理”，进入“数据源管理”页面。
(3) 单击“新建数据源”，弹出添加数据源对话框。

(4) 根据下表中的参数说明配置参数信息。

(5) 单击“保存”，数据源添加成功。
后续步骤
数据源添加成功并开启安全防护后，您可以在“数据源管理”页面执行以下操作：
• 单击数据源操作列的“编辑”可修改此数据源信息。
• 单击数据源操作列的“删除”可删除此数据源信息。
• 勾选多项数据源，单击左下方的“删除”，可批量删除数据源信息。
• 单击“连通性测试”，测试 DSC 能否正常访问选择的数据库；如不能访问，请检查数据库地址、端口、账号/密码是否正确。

5.5 敏感数据管理

5.5.1 概述

DSC 支持对敏感数据进行分类、分级管理，支持用户自定义敏感数据，支持敏感数据识别规则管理。
DCS 可通过内置和用户自定义的敏感数据级别、分类以及识别规则，构建精准的敏感数据识别能力。

5.5.2 分类分级策略

5.5.2.1 数据分级
简介
DSC 可基于内置和自定义两种方式，对敏感数据进行分级管理；DSC 在出厂时预置 4 个级别的分级策略，对应关系：
• 级别 1：机密
• 级别 2：敏感
• 级别 3：内部
• 级别 4：常规
创建敏感数据分级
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“敏感数据管理 > 分级分类策略 > 数据分级”，进入“数据分级”页面。
(3) 单击右侧“新建自定义分级”，弹出“新建数据分级”对话框。

(4) 设置级别名称，单击“确定”，创建成功；创建成功的敏感数据级别显示在“数据分级”列表中。

自定义的敏感级别根据创建的先后顺序由系统排序，不支持自定义；自定义敏感分级从 5 开始，最多可创建 10 级。

查询敏感数据分级
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“敏感数据管理 > 分级分类策略 > 数据分级”，进入“数据分级”页面。
(3) 在搜索框中输入分级名称即可。

支持分级名称模糊搜索

修改敏感数据分级
您可根据需要修改自定义的敏感数据分级名称。
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“敏感数据管理 > 分级分类策略 > 数据分级”，进入“数据分级”页面。
(3) 选择自定义敏感数据分级，单击右侧的“编辑”，即可修改自定义敏感数据分级的名称

。
系统预置的敏感分级不允许编辑。

删除敏感数据分级
您可删除不需要的敏感数据分级。
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“敏感数据管理 > 分级分类策略 > 数据分级”，进入“数据分级”页面。
(3) 选择自定义敏感数据分级，单击右侧的“删除”即可。

系统预置的敏感分级不允许删除。

5.5.2.2 数据分类
简介
DSC 基于 AI 算法和丰富的知识库，可对接入数据安全中心的敏感数据进行分类管理。系统内置敏感数据分类，支持自定义敏感数据分类，覆盖覆盖结构化（RDS）和非结构化（OBS）两种数据类型，可精准识别敏感数据和文件。
内置的敏感数据分类
DSC 内置部分敏感数据类别，首次登录 DSC 时，您可以在“敏感数据管理 > 分级分类策略 > 数据分类”页面查看预置的敏感数据类别。
内置的敏感数据分类有：

查看敏感数据分类列表
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“敏感数据管理 > 分级分类策略 > 数据分类”，进入“数据分类”页面。
(3) 在左侧选择数据类别，右侧列表展示该类别的敏感数据详细信息。
(4) 单击“敏感数据”列的“更多”，跳转至“敏感数据管理 > 敏感数据定义”页面查看该类数
据包含的所有敏感数据信息。
创建敏感数据分类
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“敏感数据管理 > 分级分类策略 > 数据分类”，进入“数据分类”页面。
(3) 单击，弹出“新建数据分类”对话框。
(4) 设置参数，单击“确定”，创建成功。

修改敏感数据分类
您可根据需要修改自定义的数据分级和描述信息。
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“敏感数据管理 > 分级分类策略 > 数据分类”，进入“数据分类”页面。
(3) 在左侧选择目标分类，单击右侧列表中的“编辑”，在弹出的对话框中修改数据分级和描述信息。

内置的敏感数据分类不允许编辑。

删除敏感数据分类
您可删除不需要的敏感数据分类。
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“敏感数据管理 > 分级分类策略 > 数据分类”，进入“数据分类”页面。
(3) 在左侧选择目标分类，单击右侧列表中的“删除”即可。

• 内置的敏感数据分类不允许删除。
• 如果敏感数据分类已被敏感数据引用，不允许删除；如果您想删除此分类，请至“敏感数据管理 > 敏感数据定义”页面，通过“编辑”将该分类内的敏感数据移出此分类，再在此页面删除。

5.5.3 敏感数据定义

5.5.3.1 简介
DSC 内置部分敏感数据，内置的敏感数据类型参见内置的敏感数据分类；支持用户根据应用场景自定义敏感数据。
5.5.3.2 新建敏感数据
任务简介
您可根据应用场景自定义敏感数据。新建的敏感数据可应用于敏感数据识别规则中。
操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“敏感数据管理 > 敏感数据定义”，进入“敏感数据定义”页面。
(3) 单击右侧“新建敏感数据”，弹出“新建敏感数据”对话框。

(4) 设置以下参数，单击“确定”，创建成功；创建成功的敏感数据显示在“敏感数据定义”列表中。

5.5.3.3 查询敏感数据
任务简介
您可通过敏感数据关键字、数据分级、数据分类快速查询敏感数据。
操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“敏感数据管理 > 敏感数据定义”，进入“敏感数据定义”页面。
(3) 在搜索栏查找关键信息或通过过滤漏斗，可过滤查找敏感数据。

5.5.3.4 修改敏感数据
任务简介
您可修改敏感数据的分级、分类和描述信息。

系统内置的敏感数据不支持修改。

操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“敏感数据管理 > 敏感数据定义”，进入“敏感数据定义”页面。
(3) 选择自定义敏感数据，单击右侧的“编辑”，在弹出的对话框中修改即可。

5.5.3.5 删除敏感数据
任务简介
您可删除不需要的敏感数据。

• 系统内置的敏感数据不支持删除。
• 如果敏感数据已被识别策略或脱敏模板引用，不允许删除；如果您想删除此分类，请至“敏感数据管理 > 识别策略管理”页面或“数据脱敏 > 脱敏模板”页面，通过“删除”或“编辑”将引用的敏感数据移除。

操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“敏感数据管理 > 敏感数据定义”，进入“敏感数据定义”页面。
(3) 选择自定义敏感数据，单击右侧的“删除”即可。

5.5.4 识别策略管理

5.5.4.1 简介
“识别策略管理”中定义了识别敏感数据的具体规则，DSC 提供内置的识别规则，同时支持自定义识别规则，您可以通过内置和自定义的识别规则构建专属的敏感数据识别能力。
5.5.4.2 新建敏感数据识别策略
任务简介
如果内置的识别策略无法满足您的需求，或者您希望根据自身需求定制敏感数据的识别策略，可通过“新建识别策略”实现。
操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“敏感数据管理 > 识别策略管理”，进入“识别策略管理”页面。
(3) 单击右上角的“新建识别策略”，弹出“新建识别策略”对话框。
(4) 设置参数，单击“确定”，创建成功。

5.5.4.3 查询敏感数据识别策略
任务简介
您可以在“敏感数据管理 > 识别策略管理”页面通过策略名称模糊搜索、敏感数据名称模糊搜索、识别方式过滤、规则类型过滤等方式快速查询敏感数据识别规则。
系统在出厂时，内置了一部分敏感数据识别策略，见下表：

操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“敏感数据管理 > 识别策略管理”，进入“识别策略管理”页面。
(3) 在搜索栏查找关键信息或通过过滤漏斗，可过滤查找敏感数据识别策略。

5.5.4.4 修改敏感数据识别策略
任务简介
自定义的识别策略支持修改动作，您可以修改识别策略的启用状态，也可以修改规则内容和引用的
敏感数据；系统内置的识别策略不允许修改。
操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“敏感数据管理 > 识别策略管理”，进入“识别策略管理”页面。
(3) 选择自定义识别策略，单击状态的开启/关闭图标，可设置是否启用该策略；单击右侧的“编辑”可修改该策略。

5.5.4.5 删除敏感数据识别策略
任务简介
自定义的识别策略支持后期删除动作；系统内置的识别策略不允许删除。
操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“敏感数据管理 > 识别策略管理”，进入“识别策略管理”页面。
(3) 选择自定义识别策略，单击右侧的“删除”可删除该策略；您也可以勾选要删除的规则，单击左下方的“删除”实现批量删除。

5.6 数据脱敏

5.6.1 概述

DSC 提供数据脱敏功能，支持静态脱敏，覆盖多种场景。DSC 支持哈希脱敏、字符掩盖、关键字替换、数据加密脱敏、数据解密脱敏、取整脱敏、字符移位脱敏、脚本自定义脱敏等多种预置脱敏算法，您可以通过预置脱敏规则，或自定义脱敏规则来对指定数据库表进行脱敏。

5.6.2 脱敏算法

5.6.2.1 支持的脱敏算法

5.6.2.2 配置脱敏算法
说明
DSC 支持字符遮盖、关键字替换、取整脱敏、字符移位脱敏、数据加密、数据解密、哈希脱敏和脚本自定义等多种脱敏算法，脱敏算法说明见支持的脱敏算法。
本节主要介绍如何配置脱敏算法。
字符遮盖
使用指定的特殊字符*、#或随机字符遮盖部分内容。
(1) 进入“字符遮盖”页面。
a. 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
b. 单击“数据脱敏 > 脱敏算法 > 字符遮盖”，进入“字符遮盖”页面。
(2) 配置字符遮盖算法。
a. 单击右上角的“新建字符遮盖”，弹出“新建字符遮盖算法”对话框。
b. 设置参数。

c. 单击“确定”，脱敏规则配置成功，展示在脱敏算法页面中。
(3) 测试脱敏效果。
您可以在新建脱敏规则的时候，在“新建关键字替换算法”对话框中，输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
您也可以单击“操作”列的编辑图标，弹出“编辑关键字替换算法”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
关键字替换
利用自定义的字符串替换数据中匹配到的关键字，达到脱敏的效果。例如：原始数据为张三李四抬水喝，“关键字”配置为张三，“替换字符串”配置为张先生，则“脱敏结果”显示为张先生李四抬水喝。
(1) 进入“关键字替换”页面。
a. 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
b. 单击“数据脱敏 > 脱敏算法 > 关键字替换”，进入“关键字替换”页面。
(2) 配置关键字替换脱敏算法。
a. 单击右上角的“新建关键字替换”，弹出“新建关键字替换算法”对话框。

b. 设置参数。

c. 单击“确定”，脱敏规则配置成功，展示在脱敏算法页面中。
(3) 测试脱敏效果。
您可以在新建脱敏规则的时候，在“新建关键字替换算法”对话框中，输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
您也可以单击“操作”列的编辑图标，弹出“编辑关键字替换算法”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
取整脱敏
对数字或日期等进行取整操作，此为不可逆算法。
(1) 进入“取整脱敏”页面。
a. 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
b. 单击“数据脱敏 > 脱敏算法 > 取整脱敏”，进入“取整脱敏”页面。
(2) 配置取整脱敏算法。
a. 单击右上角的“新建取整脱敏”，弹出“新建取整算法”对话框。

b. 设置参数。

c. 单击“确定”，脱敏规则配置成功，展示在脱敏算法页面中。
(3) 测试脱敏效果。
您可以在新建脱敏规则的时候，在“新建取整算法”对话框中，输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
您也可以单击“操作”列的编辑图标，弹出“编辑取整算法”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
字符移位脱敏
通过指定的位移方向和位移个数，变换字符串中字符的位置。
(1) 进入“字符移位脱敏”页面。
a. 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
b. 单击“数据脱敏 > 脱敏算法 > 字符移位脱敏”，进入“字符移位脱敏”页面。
(2) 配置字符移位脱敏算法。
a. 单击右上角的“新建字符移位脱敏”，弹出“新建字符移位脱敏”对话框。

b. 设置参数。

c. 单击“确定”，脱敏规则配置成功，展示在脱敏算法页面中。
(3) 测试脱敏效果。
您可以在新建脱敏规则的时候，在“新建字符移位脱敏”对话框中，输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
您也可以单击“操作”列的编辑图标，弹出“编辑字符移位脱敏”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
数据加密
通过加密算法和密钥生成加密规则，达到数据脱敏的效果；适用于对需要回源的字段进行加密的场景。
DSC 内置数据加密脱敏规则，您可以直接测试脱敏效果，也可以根据需要自行配置脱敏规则。
(1) 进入“数据加密”页面。
a. 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
b. 单击“数据脱敏 > 脱敏算法 > 数据加密”，进入“数据加密”页面。
(2) 配置数据加密算法。
a. 单击右上角的“新建数据加密”，弹出“新建数据加密”对话框。

b. 设置参数。

c. 单击“确定”，脱敏规则配置成功，展示在脱敏算法页面中。
(3) 测试脱敏效果。
内置的脱敏算法
单击“操作”列的测试图标，弹出“编辑数据加密”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
自定义的脱敏算法
您可以在新建脱敏规则的时候，在“新建数据加密”对话框中，输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
您也可以单击“操作”列的编辑图标，弹出“编辑数据加密”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
数据解密
通过解密算法和密钥生成解密规则，达到数据脱敏的效果；适用于对需要回源的字段进行解密的场
景。
(1) 进入“数据解密”页面。
a. 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
b. 单击“数据脱敏 > 脱敏算法 > 数据解密”，进入“数据解密”页面。
(2) 配置数据解密算法。
a. 单击右上角的“新建数据解密”，弹出“新建数据解密”对话框。

b. 设置参数。

c. 单击“确定”，脱敏规则配置成功，展示在脱敏算法页面中。
(3) 测试脱敏效果。
内置的脱敏算法
单击“操作”列的测试图标，弹出“编辑数据解密”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
自定义的脱敏算法
您可以在新建脱敏规则的时候，在“新建数据解密”对话框中，输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
您也可以单击“操作”列的编辑图标，弹出“编辑数据加密”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
哈希脱敏（Hash 脱敏）
使用哈希值替换字符串类型字段。
DSC 内置 Hash 脱敏规则，您可以直接测试脱敏效果，也可以根据需要自行配置脱敏规则。
(1) 进入“哈希脱敏”页面。
a. 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
b. 单击“数据脱敏 > 脱敏算法 > 哈希脱敏”，进入“哈希脱敏”页面。
(2) 配置哈希脱敏算法。
a. 单击右上角的“新建哈希脱敏”，弹出“新建哈希脱敏”对话框。

b. 设置参数。

c. 单击“确定”，脱敏规则配置成功，展示在脱敏算法页面中。
(3) 测试脱敏效果。
内置的脱敏算法
单击“操作”列的测试图标，弹出“编辑哈希算法”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
自定义的脱敏算法
您可以在新建脱敏规则的时候，在“新建哈希脱敏”对话框中，输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
您也可以单击“操作”列的编辑图标，弹出“编辑哈希算法”对话框；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。
脚本自定义
DSC 内置部分脚本自定义脱敏算法，暂不支持用户自定义。您可以测试脱敏效果。
单击“操作”列的测试图标，进入“编辑脚本自定义算法”页面；在测试区域输入要测试的内容，单击“测试”，“脱敏结果”区域展示根据此规则脱敏后的结果。

5.6.3 脱敏模板

5.6.4 静态脱敏

5.6.4.1 简介
通过创建脱敏任务，使用脱敏算法对敏感数据进行脱敏，并将脱敏后的数据保存到您选择的目标位置。
5.6.4.2 静态脱敏操作流程
5.6.4.3 创建字段类型映射
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“数据脱敏 > 静态脱敏 > 字段类型映射”，进入“字段类型映射”页面。

(3) 单击“新建字段类型映射”，弹出“新增”对话框。
(4) 设置参数后，单击“确定”，设置成功。

5.6.4.4 管理字段映射表
查询
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“数据脱敏 > 静态脱敏 > 字段类型映射”，进入“字段类型映射”页面。
(3) 设置查询条件，如源数据库类型、源字段类型、目标数据库类型、目标字段类型等，单击“查询”，列表区域刷新展示。
(4) 单击“重置”，可重置查询条件。

修改
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“数据脱敏 > 静态脱敏 > 字段类型映射”，进入“字段类型映射”页面。
(3) 选择要修改的条目，单击“编辑”，在弹出的对话框中修改信息即可。
删除
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“数据脱敏 > 静态脱敏 > 字段类型映射”，进入“字段类型映射”页面。
(3) 选择要删除的条目，单击右侧的“删除”；或勾选多个条目，单击左下方的“删除”在弹出的对话框中确认即可。
5.6.4.5 创建脱敏任务
1. 进入向导模式
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“数据脱敏 > 静态脱敏 > 任务配置”，进入“任务配置”页面。
(3) 单击“向导脱敏”，进入“新建向导模式脱敏”页面。
2. 配置脱敏任务基本信息

设置参数后，单击“下一步”，脱敏任务创建成功，进入“配置脱敏算法”页面；单击“取消”，不创建脱敏任务。

如果脱敏任务已创建，在其他步骤中单击“上一步”返回到此页面，单击“取消”，DSC 保持租户在其他步骤中的设置。

3. 配置脱敏算法
选择脱敏模板和算法，单击“下一步”，进入“配置目标”页面。

• DSC 内置部分脱敏模板，您可在“数据脱敏 > 脱敏模板”中创建脱敏模板。
• 单击“取消”，不保存当前配置，但任务已创建，您可以在“数据脱敏 > 静态脱敏 > 任务配
置”页面中，通过“编辑”继续配置脱敏任务。

4. 配置目标

(1) 配置目标数据源。
选择数据源类型、数据源、数据库实例等。
(2) 配置快速匹配目标表。
选择数据源后，单击“快速匹配”
(3) （可选）数据过滤。
单击，弹出“数据过滤”对话框，您可以查看内置参数；输入过滤条件后，单击“语法校验”，可以校验书写是否正确。
(4) （可选）新建数据表。
在目标表中单击可添加新的数据表。
(5) 单击“下一步”，进入“配置字段映射”页面。
5. 配置字段映射
6. 配置调度策略
配置以下参数，单击“完成”，脱敏任务配置成功。

5.6.4.6 执行脱敏任务
方式 1
您可以在创建脱敏任务的配置调度策略步骤中选择“立即执行”，来执行脱敏任务。
方式 2
在“数据脱敏 > 静态脱敏 > 任务配置”中，选择要执行的任务，单击右侧的“手动执行”，系统开始执行任务。
方式 3
在“数据脱敏 > 静态脱敏 > 任务配置”中，选择要执行的任务，单击右侧的“激活”，系统开始周期性执行任务。
5.6.4.7 查看脱敏任务详情
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“数据脱敏 > 静态脱敏 > 任务配置”，进入“任务配置”页面。
(3) 单击任务名称，进入任务信息页面，您可在此处查看脱敏任务详情。
5.6.4.8 查看脱敏任务运维情况
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“数据脱敏 > 静态脱敏 > 任务配置”，进入“任务配置”页面。
(3) 单击任务名称，进入任务信息页面，您可在此处查看脱敏任务详情。

5.7 数据审计

5.7.1 概述

数据安全中心 DSC 可对接入的几种数据类型日志（ElasticSearch、OSS、Hive、HBase、GreenPlum、ClickHouse）进行数据审计规则匹配，命中规则后产生数据审计事件，帮助租户及时发现数据库运行中可能存在的潜在风险和隐患，为数据库安全运行保驾护航，满足等保合规要求。
“数据审计”页面提供数据审计结果概览、原始日志查询、审计策略管理。您可在此页面执行与数据审计相关的操作。

5.7.2 审计日志存储说明

• 每个租户的日志存储容量最大为 100GB，当达到容量阈值时，系统进行删除，删除比例为25%。
您可以在“数据审计”页面的右上方查看当前存储情况。

• 每个租户的日志存储时间最长为 180 天，系统自动清理超过 180 天的数据。

5.7.3 审计概览

5.7.3.1 简介
“审计概览”展示指定时间范围内的原始日志发展趋势、审计事件发展趋势、审计类型日志量、审计类型日志量备份，帮助您更好地从审计层面了解资产的风险状态。您可在此处下载数据统计结果。
默认展示近 30 天的统计数据。
“审计概览”页面包含 4 个模块：

5.7.3.2 前提条件
您必须开通相应数据类型的服务，在数据源管理中新建数据源，审计概览页面才有数据。
5.7.3.3 进入审计概览页面
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击左侧导航栏的“数据审计 > 审计概览”，进入“审计概览”页面。
5.7.3.4 指定统计的时间范围
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击左侧导航栏的“数据审计 > 审计概览”，进入“审计概览”页面。
(3) 单击左上角的“今天”、“近 7 天”、“近 14 天”、“近 30 天”和自定义时间图标，可选择“审计概览”页面统计数据的时间范围；选择后页面自动刷新展示。

5.7.3.5 下载审计图表
进入审计概览页面，在各模块的统计图表右上角，单击下载图标，可将统计图下载到本地。

5.7.4 审计查询

5.7.4.1 查看原始日志
任务简介
原始日志页面包含两个模块：日志发展趋势和日志详情。
“日志发展趋势”以柱状图统计指定时间范围内的日志数量；在“快速分析”区域可查看字段占比等信息；在“日志详情”区域可查看具体日期内的原始日志详情。
前提条件
您必须开通相应数据类型的服务，在数据源管理中新建数据源，审计查询页面才有数据。
操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击左侧导航栏的“数据审计 > 审计查询”，进入“审计查询”页面。
(3) （可选）选择要查询的数据类型、字段类型、时间范围，单击“检索”，页面刷新展示。
如果不设置过滤筛选条件，默认展示近 7 天的全部类型的原始日志。

在“支持统计聚合查询、关联统计聚合查询”输入框处需输入 SQL 语句，您可以单击右侧的，根据提示示例填写过滤条件；您也可以单击右上方的“字段说明”，将“数据审计字段
说明”文件下载到本地，根据字段说明填写过滤条件；也可以参考“快速分析”区域的字段编写 SQL 语句。

(4) 查看日志发展趋势。
在“日志发展趋势”区域，鼠标悬停在柱状图上可查看每天统计的日志条数总量。
(5) 查看日志详情。
“日志详情”区域可查看具体日期内的原始日志详情。
在“快速分析”区域单击可查看字段占比等信息。

单击“可选字段”的，可将字段添加到已选字段中，展开日志详情，可查看到“已选字段”中的字段信息。

(6) （可选）单击“日志详情”区域的可将日志下载到本地。
5.7.4.2 查看统计报表
任务简介
云产品中心支持丰富的报表展现形式，如：表格、柱状图、饼图、折线图等，可直观的展示数据审计统计信息。
可在“支持统计聚合查询，关联统计聚合查询”设置框中输入 SQL 语句查询统计报表，根据 SQL
语句查询会自动跳转到统计报表页面。
前提条件
您必须开通相应数据类型的服务，在数据源管理中新建数据源，审计查询页面才有数据。
操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“数据审计 > 审计查询 > 统计报表”，进入“统计报表”页面。
(3) （可选）选择要查询的数据类型、字段类型、时间范围，单击“检索”，页面刷新展示。
如果不设置过滤筛选条件，默认统计近 7 天的全部类型的原始日志。

在“支持统计聚合查询、关联统计聚合查询” 输入框处需输入 SQL 语句，您可以单击右侧的，根据提示示例填写过滤条件；您也可以单击右上方的“字段说明”，将“数据审计字段说明”文件下载到本地，根据字段说明填写过滤条件；也可以参考“快速分析”区域的字
段编写 SQL 语句。

(4) 选择报表形式后，配置报表属性，即可展示统计报表。

(5) 单击报表处的可将报表下载到本地。

5.7.5 审计策略

5.7.5.1 简介
数据安全中心 DSC 根据审计策略对采集的数据进行匹配，若命中规则产生相应级别的审计告警事件。数据安全中心 DSC 在出厂时预置审计规则（即系统规则），也支持用户自定义审计规则。
5.7.5.2 创建审计策略
任务简介
您可以在数据安全中心 DSC 中基于自身需求自定义审计规则。
限制与指导
目前每个租户只支持创建 100 条自定义审计规则。
操作步骤
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“数据审计 > 审计策略”，进入“审计策略”页面。
(3) 单击“新建”，弹出新建审计规则对话框。

(4) 根据下表中的参数说明配置参数信息。

(5) 单击“确定”，审计规则策略创建成功。
后续步骤
自定义审计规则创建成功并开启后，等待约 3 分钟后，您可以在“数据审计 > 审计概览”和“数据审计 > 审计查询”中查看相关告警数据。
5.7.5.3 审计策略管理
(1) 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
(2) 单击“数据审计 > 审计策略”，进入“审计策略”页面。
(3) 对目标策略执行编辑/删除/开启/关闭等操作：
单击策略操作列的“编辑”可修改此策略。
单击策略操作列的“删除”可删除此策略。
单击策略操作列的可开启或关闭此策略。

系统预置规则不允许编辑、删除、修改策略状态。

5.8 系统设置

5.8.1 设置告警通知

任务简介
通过设置告警通知，当敏感数据检测完成后产生告警时，数据安全中心将敏感数据检测结果和告警
通过用户设置的接收通知方式发送给用户。
操作步骤
(1) 进入告警通知设置页面。
a. 登录 CECSTACK 专属云控制台，鼠标悬浮在页面左上角上，选择“产品与服务 > 数据安全中心 DSC”。
b. 单击“系统设置 > 告警设置”，进入“告警设置”页面。
(2) （可选）设置告警通知的接收人。