产品快速入门

在数据治理活动的实践过程中，数据安全管理是核心环节之一，它涉及到数据的合规性，数据访问的安全性，数据权限管控。以下是Datablau 数据安全产品快速入门的指南，旨在帮助用户快速上手如何进行数据分类分级、数据访问管控、数据安全审计、数据脱敏管理。

产品概述

Datablau数据安全管理是数据治理基础管理工具，当前企业对数据安全的重视度逐渐提升，数据安全模块为企业数据安全赋能，用户可以通过系统进行数据的分类分级管理，并将分类分级的结果进行沉淀。

平台为帮助企业做好数据分类分级的工作，提供多人协同工作，进行数据的分类分级；系统通过识别规则进行批量推荐分类分级的结果，为保证数据分类分级的准确性，所有完成分类分级的数据，都需要提交审批，交由对应的安全结果确认的人进行确定。

Datablau Security的产品主要功能入下：

数据安全分类分级

数据安全对企业内部的分类分级管理，并将分类分级的结果进行沉淀。平台提供协同分类分级，智能分类分级两种分类分级管理工具来帮助企业对数据进行分类分级的工作；为保证数据分类分级的准确性，增加评审与发布的环节，交由对应的安全结果确认的人进行确定。 数据访问策略管理

数据安全对数据被访问时做了相关的管控机制，访问策略管理定义了人与数据之间的可访问关系，访问范围的框选，脱敏规则。

数据安全网关

企业利用安全网关，实现人访问数据的最终管控，保证数据在被访问时的安全性。

通过本章节的快速入门，用户将能够迅速掌握系统的基本操作流程，从而高效地开展数据安全管理工作，数据安全具体操作可参考第5章节产品详细说明。

数据安全分类分级

数据分类分级建立

新建数据分级

1. 进入DDS平台内“数据安全-数据分级”模块；
2. 点击安全分级树上的“安全等级”右侧的功能按钮组的“新建”；
3. 弹出新建安全等级的弹窗，填写弹窗中的属性内容，点击“确定”按钮。

新建数据分类

1. 进入DDS平台内“数据安全-安全分类”模块；
2. 点击“安全分类管理”的功能按钮组中的“新建安全分类”；
3. 弹出新建安全分类的弹窗，填写弹窗中的属性内容，点击“确定”按钮，新建安全分类成功。

协同分类分级

考虑到数据安全分类分级工作量较为繁重，各个企业对数据安全的梳理进度，梳理粒度都不一样，数据安全模块提供了两种分类分级的工具。本章讲述协同分类分级。协同分类是指多人协同工作，可以手动精细化进行对数据表，视图，数据项进行分类分级，通过评审通过和评审驳回的机制来对数据分类分级结果做最后的确认。

协同分类分级

1. 进入DDS平台内“数据安全-协同分类分级”模块；；
2. 点击“分类分级工具-协同分类分级”，进入分类分级工作台；
3. 分类分级工作台对数据进行了四种状态的区分【说明：四种状态分别是：待梳理，待确认，已发布，暂不梳理。在待梳理页面，可以将数据资产与安全分类进行挂载，产生关联关系，从待梳理状态进入待确认状态；也可以直接将数据资产进入“暂不梳理”状态；在待确认状态的数据资产可以提交评审，进入评审状态，评审人通过之后，数据资产的状态变为“已发布”状态。】；
4. 在待梳理状态页面，选中某一条数据资产或者某几条数据资产，再选中右侧的安全分类；
5. 点击“已选20条数据，是否添加到数据分类中？”的“是”，数据资产将会变为“待确认”状态；
6. 在待梳理状态页面，选中某一条数据资产或者某几条数据资产，点击“暂不梳理”，数据资产进入“暂不梳理”状态。
7. 在待确认页面，可做的操作内容：

• 在待确认状态页面，选中某一条数据资产或者某几条数据资产，可以点击“提交评审”按钮，进入评审阶段；
• 在待确认状态页面，选中某一条数据资产或者某几条数据资产，可以点击“编辑安全分类”，进行数据资产安全分类编辑；
• 在待确认状态页面，选中某一条数据资产或者某几条数据资产，可以点击“编辑安全等级”，将已经挂载到分类下的数据资产进行分级的编辑【说明：系统允许在一个安全分类下数据资产拥有不同的安全等级】；
• 在待确认状态页面，选中某一条数据资产或者某几条数据资产，可以点击“重新梳理”，重新回到“待梳理”状态。

8. 在已发布状态页面，可做的操作内容：

在已发布状态页面，选中某一条数据资产或者某几条数据资产，可以点击“重新梳理”，重新回到“待梳理”状态，进行重新数据分类分级的梳理工作。

9. 暂不梳理状态页面，可做的操作：

选中某一条数据资产或者某几条数据资产，可以点击“重新梳理”，重新回到“待梳理”状态，将之前认定不参与梳理工作的数据资产修改为参与数据分类分级的梳理工作。

智能分类分级

新建一般识别规则

1. 进入数据安全模块；
2. 点击“分类分级工具-智能分类分级”，进入智能分类分级工作台；
3. 切换tab页面至“识别规则”页面；
4. 点击页面顶部的“新建”按钮，点击菜单的“一般规则”，跳转至新建一般规则页面；【注：新建一般识别规则，可以依赖信息项，也可以不依赖于信息项，不依赖信息项是直接识别数据，如果要选择不依赖信息项，那就选择“安全分类”的选项】

5. 在页面中填写一般规则的属性内容【说明：识别规则可以多个子条件的“与”，“或”组合之后形成当前识别规则条件】
6. 识别规则定义完成之后，可以进行条件测试，点击条件测试，会弹窗当前DDS平台的元数据的数据内容，用户自定义选择要进行条件测试的数据【注：测试数据尽可能数据量较小，否则测试会经过很长的时间等待】；
7. 条件测试完成，点击“确定”，新建一般规则完成。

新建识别规则——血缘级联规则

1. 进入数据安全模块；
2. 点击“分类分级工具-智能分类分级”，进入智能分类分级工作台；
3. 切换tab页面至“识别规则”页面；
4. 点击页面顶部的“新建”按钮，点击菜单的“血缘级联规则”，跳转至新建血缘级联规则页面；
5. 在页面中填写血缘级联规则的属性内容【说明：血缘级联规则当前只支持下游】
6. 点击“确定”，新建血缘级联规则完成。

新建识别规则——机器学习规则

操作步骤：

1. 进入数据安全模块；
2. 点击“分类分级工具-智能分类分级”，进入智能分类分级工作台；
3. 切换tab页面至“识别规则”页面；
4. 点击页面顶部的“新建”按钮，点击菜单的“机器学习规则”，跳转至新建机器学习规则页面；
5. 选择算法学习的目标；【注：算法学习的目标有： 对表进行分类，对字段进行分类（依赖已分类的表），对字段进行分类（不依赖已分类的表），信息项】
6. 选择算法学习的目标之后，需要选择对应的安全分类或者对应的信息项；
7. 填写规则所在的规则目录，规则描述信息，规则优先级；
8. 填写评分阈值（对分类结果的分数），推荐结果（最终识别结果中推荐的数据分类条数）；
9. 点击“确定”，新建机器学习规则完成。

【注】：

算法学习目标	需要级联选择的内容
对表进行分类	选择对应将表要分到的目标安全分类
对字段进行分类（依赖已分类的表）
对字段进行分类（不依赖已分类的表	选择对应将字段分到的目标安全分类
信息项	选择字段要依赖的分类信息项

新建识别任务

1. 进入数据安全模块；
2. 点击“分类分级工具-智能分类分级”，进入智能分类分级工作台；
3. 切换tab页面至“识别任务”页面；
4. 点击顶部的“新建识别任务”，进入新建识别任务页面；
5. 在新建识别任务页面，填写识别任务的“基本信息”，添加识别规则；
6. 点击底部的“确认”按钮，新建识别任务完成。

识别结果处理

1. 进入数据安全模块；
2. 点击“分类分级工具-智能分类分级”，进入智能分类分级工作台；
3. 切换tab页面至“识别结果”页面；
4. 选中识别结果列表中的某一识别结果（或者选中多条识别结果），点击“提交评审”的按钮，弹出文案提示“提交成功”。
5. 选中识别结果列表中的某一识别结果（或者选中多条识别结果），点击“重新梳理”的按钮，弹出文案提示“提交成功”，将这里的识别结果标记为“待梳理”状态。【注：待梳理状态的数据资产在识别范围内，下次发起任务，也依然参与识别】。
6. 选中识别结果列表中的某一识别结果（或者选中多条识别结果），点击“修改安全等级”的按钮，选择对应的“安全等级”，点击“确定”，弹出文案提示“编辑成功”， 识别结果编辑安全等级成功。
7. 选中识别结果列表中的某一识别结果（或者选中多条识别结果），点击“修改安全分类”的按钮，弹出文案提示“提交成功”。
8. 选中识别结果列表中的某一识别结果（或者选中多条识别结果），点击“暂不梳理”的按钮，弹出文案提示“提交成功”，将这里的识别结果标记为“暂不梳理”状态。

评审与发布

1. 进入数据安全模块；
2. 点击“分类分级工具-评审与发布”，进入评审与发布页面；
3. 待评审的数据资产列表的顶部有搜索框，在搜索框中，输入关键词，可以模糊搜索到相关数据资产。【说明：这里的搜索是模糊搜索，参与的搜索字段：数据资产名称】，同时也支持数据资产的“业务系统”，“数据源”，“采集名称”，“盘点模式”，“梳理时间”的搜索。
4. 选中待评审数据资产列表中的某一数据资产，（或者选中多条数据资产），点击底部的“评审通过”按钮，文案弹窗提示：“通过”，此时数据资产就是已发布的，数据资产分类分级工作完成。【说明： 如果数据资产由于元数据的更新而不存在，系统提示，评审通过成功的条数，评审通过失败的数据资产】
5. 选中待评审数据资产列表中的某一数据资产，（或者选中多条数据资产），点击底部的“评审驳回”按钮，文案弹窗提示：“评审驳回”，此时数据资产再次回到待梳理状态，数据资产分类分级工作失败，重新梳理。【说明： 如果数据资产由于元数据的更新而不存在，系统提示，评审驳回成功的条数，评审驳回失败的数据资产】

数据访问策略管理

访问策略

新建访问策略

访问策略的定义内容有三个部分内容：基本信息（策略名称，策略描述，策略目录），访问数据配置（数据执行动作，数据访问动作，数据范围），访问者配置。

1. 进入DDS平台的“数据安全-访问策略”模块；
2. 点击“新建-访问策略”，进入新建访问策略页面；
3. 新建访问策略分为三步：基本信息，访问数据配置，访问者配置；
4. 填写“策略名称，策略描述，策略目录”的属性内容，点击“下一步”，进入访问数据配置页面；
5. 在访问数据配置页面，选择数据执行动作（SELECT、CREATE、DELETTE和UPDATE默认选中select,可以编辑，勾选其中一种或几种），数据访问动作，数据范围（采集名称，数据源，表/视图，字段），点击下一步，进入访问者配置页面【注：添加数据范围时，有包含，不包含，全部的选择项；包含是指：包含选中的采集名称，数据表，字段是在访问范围内的，不包含是指：除去选中的采集名称，数据表，字段在访问范围内的；全部，该数据源-采集名称下的是数据访问范围】；
6. 在访问者配置页面，我们支持用户，用户组，组织机构三种方式的配置，访问者可以进行黑名单的配置。【注：黑名单是指，可以从白名单中剔除部分生效用户】；
7. 在访问者配置页面，点击“确定”按钮，访问策略新建完成。

行级访问策略

行级访问策略的定义内容有两个部分内容：基本信息（策略名称，策略描述，策略目录），行级访问规则配置（数据表，访问者，行级规则）。

1. 进入DDS平台的“数据安全-访问策略”模块；
2. 点击“新建-行级访问策略”，进入行级访问策略页面；
3. 新建访问策略分为两步：基本信息，行级访问规则配置；
4. 填写“策略名称，策略描述，策略目录”的属性内容，点击“下一步”，进入行级访问规则配置页面；
5. 在行级访问规则配置，添加表/视图；
6. 添加表/视图完成，页面会刷新访问者配置；
7. 添加用户，用户组，组织机构之后，列表中会展示出对应的用户，用户组，组织机构；
8. 在对应的用户，用户组，组织机构的行级数据中，点击“添加”，弹出行级数据配置的弹窗；
9. 在行级数据配置的弹窗中，填写对应的条件组；【注：系统会自动拼接出SQL语句】；
10. 点击“添加”按钮，弹窗消失，访问者列表中展示对应的行级数据的SQL语句；
11. 点击“确定”按钮，行级访问策略新建完成。

表脱敏策略

表脱敏策略的定义内容有三个部分内容：基本信息（策略名称，策略描述，策略目录），脱敏规则配置，访问者配置。

1. 进入DDS平台的“数据安全-访问策略”模块；
2. 点击“新建-表脱敏策略”，进入表脱敏策略页面；
3. 新建访问策略分为三步：基本信息，脱敏规则配置，访问者配置；
4. 填写“策略名称，策略描述，策略目录”的属性内容，点击“下一步”，进入脱敏规则配置页面；
5. 在脱敏规则配置配置，添加表/视图；
6. 添加表/视图完成，页面会刷新这张表/视图的字段列表；
7. 选择对应要脱敏的字段，对字段添加“脱敏规则”，点击脱敏规则的“添加”按钮，弹出脱敏规则的列表，选择某一脱敏规则，点击“确定”按钮，字段添加脱敏规则完成；
8. 点击页面中的“下一步”按钮，进入访问者配置页面；
9. 在访问者配置页面，我们支持用户，用户组，组织机构三种方式的配置，配置的脱敏规则对选中的访问者生效；
10. 在访问者配置页面，点击“确定”按钮，新建表脱敏策略完成。

字段脱敏策略

字段脱敏策略的定义内容有两个部分内容：基本信息（策略名称，策略描述，策略目录），脱敏规则配置。

操作步骤：

1. 进入DDS平台的“数据安全-访问策略”模块；
2. 点击“新建-字段脱敏策略”，进入字段脱敏策略页面；
3. 新建访问策略分为两步：基本信息，脱敏规则配置；
4. 填写“策略名称，策略描述，策略目录”的属性内容，点击“下一步”，进入脱敏规则配置页面；
5. 在脱敏规则配置页面，添加字段；
6. 添加字段完成，页面会刷新访问者配置；
7. 添加用户，用户组，组织机构之后，列表中会展示出对应的用户，用户组，组织机构；
8. 在对应的用户，用户组，组织机构的脱敏规则中，点击“添加”，弹出脱敏规则的弹窗；
9. 在脱敏规则配置的弹窗中，选择对应的脱敏规则 ；
10. 点击“添加”按钮，弹窗消失，访问者列表中展示对应的脱敏规则；
11. 点击“确定”按钮，字段脱敏策略新建完成。

安全网关

新建安全网关

1. 进入DDS平台的“安全网关”模块；
2. 点击“新建安全网关”按钮，弹出新建安全网关的弹窗；
3. 在安全网关的弹窗里，填写对应的属性信息；【注：网关组的属性有：网关名称，数据源，服务网关端口，用户登录方式，用户名，密码，启用状态，网关组】
4. 点击“确定”按钮，新建安全网关成功。