配置流程 配置流程图如图1所示。 图1 DSC配置流程图 使用 数据安全中心 前，须先开通并使用OBS或RDS云产品中任意一种，确保有可供数据安全中心扫描的数据。 开通数据安全中心后，数据安全中心服务将自动检测用户的云上授权资产，并应用敏感规则对其进行风险等级的评价。您可以在数据安全中心控制台资产地图页面查看文件风险概况和文件详情。 （可选）如需保护OBS自有桶数据，则需要开通华为云 对象存储服务 （OBS）/关系型数据库（RDS）服务。 如果已开通，请跳过该步骤，直接执行2。 如果未开通，请先开通后再执行2。 开通对象存储服务请参见OBS帮助文档，开通关系型数据库服务请参见RDS帮助文档。 （可选）开通后，还需要在对象存储服务中创建一个桶并上传需要存储的文件或在关系型数据库中创建实例数据库。 如果已创建，请跳过该步骤，直接执行6。 如果未创建，请先创建后再执行6。 OBS：创建桶详细操作请参见创建桶，上传文件详细操作请参见上传对象。 RDS：创建数据库详细操作请参见创建数据库。 （可选）如需保护OBS其他桶，则需要将OBS其他桶的“桶权限”设置为“公共”。 （可选）如需保护自建数据库资产，则需要获取自建数据库的引擎、版本、主机等相关信息。 （可选）如需保护自建数据库资产，则需要获取其他自建数据源的引擎、版本、主机等相关信息。 完成资产委托授权并授权资产。 授权的具体操作请参见云资源委托授权/停止授权。 添加OBS资产的具体操作请参见添加OBS资产。 授权数据库资产的具体操作请参见授权数据库资产。 授权大数据资产的具体操作请参见授权大数据资产。 授权LTS资产的具体操作请参见添加日志流。 配置敏感数据识别规则。 配置敏感规则详细操作请参见敏感数据识别。 查看检测到的敏感数据或文件及其统计数据。 检测结果具体查看方法请参见识别结果。 针对检测出的结果，对异常事件处理或对敏感数据进行脱敏。 异常事件处理详细操作请参见处理异常事件。 敏感数据脱敏详细操作请参见数据脱敏。 针对异常事件设置告警通知。 配置告警通知的详细操作请参见告警通知。

通用数据安全防护场景功能特性 数据安全中心通用数据安全防护场景提供数据分级分类、数据脱敏、数据水印、API数据保护等基础数据安全能力，通过资产地图整体呈现云上数据安全态势，并实现一站式数据安全运营能力。 同时，为满足不同用户需求，数据安全中心在通用数据安全防护场景下提供“标准版”和“专业版”两个版本供您选择。 “标准版”：数据风险检测和数据资产分类分级。 “专业版”：支持对分类分级后的数据资产进行静态脱敏（控制台）和调用API接口进行脱敏以及添加和提取数据水印。 本文介绍数据安全中心支持使用的功能及各版本的功能差异。 API数据安全防护功能需要在API数据安全防护实例界面进行单独购买，详情请参见购买API数据安全防护实例。 本文用到标识符号说明如下： √：表示当前版本支持使用该功能。 ×：表示当前版本不支持使用该功能。 表1 功能概览 功能特性 说明 参考文档 标准版 专业版 资产地图 数据资产地图可以通过可视化的手段，从资产概况、分类分级、权限配置、数据存储、敏感数据等多种维度查看资产的安全状况。可协助您快速发现风险资产并快速进行风险处理操作。 资产可视化 数据服务资产：涵盖了云上和云下所有数据资产，包含OBS、RDS、 CSS 、Hive以及Hbase等。 数据风险：数据关联分级分类结果，一览展示各个数据风险级别。 分区展示：根据云上和云下资源VPC展示各个资产所在区域，和业务区域关联。 出口可视 数据出口：识别云上和云下关键数据出口，包含EIP/NAT/APIGateway/Roma等。 出口关联资产：云上和云下出口和数据关联，结合分级分类结果，一览数据出口风险。 级联关联：数据出口包含直接出口和级联间接出口，不同展示方式。 策略可视 数据安全策略：云原生能力检测数据资产的安全策略，一览策略风险。 策略推荐：根据数据资产等级推荐不同的安全策略配置。 资产地图 √ √ 资产管理 资产中心：DSC支持管理OBS、数据库、大数据、 MRS 数据资产以及 云日志 类型资产。 资产目录：查看不同业务域或不同数据类型（结构化和非结构化数据）的统计信息。 数据探索：查看当前已添加的所有数据资产详细信息，并对数据库、数据表以及数据视图等添加描述、标签、密级和分类操作，从而实现数据资产分级分类管理。 元数据任务：用户可以创建元数据任务扫描数据资产，数据资产信息会以元数据的形式被采集、收纳到DSC中，后续用户可以对数据资产进行分级分类管理。 资产分组管理：对现有数据进行分组管理。 资产管理 √ √ 敏感数据识别 数据自动分级分类：从海量数据中自动发现并分析敏感数据使用情况，基于数据识别引擎，对其储存结构化数据（RDS、DWS等）和非结构化数据（OBS）进行扫描、分类、分级，解决数据“盲点”，以此做进一步安全防护。 文件类型：支持近200种非结构化文件，详情请参见DSC支持识别的非结构化文件类型。 数据类型：支持数十种个人隐私数据类型，包含中英文，支持的个人隐私数据类型详情请参见查看内置规则。 图片类型：支持识别（png、jpeg、x-portable-pixmap、tiff、bmp、gif、jpx、jp2总共8种类型）图片中的敏感文字，包含中英文。 自动识别敏感数据 自动识别敏感数据及个人隐私数据。 支持自定义规则，场景适配不同行业。 提供可视化识别结果，同时，可供用户下载到本地查看。 DSC服务敏感数据的识别时长将由您所扫描数据源的数据量、扫描规则数、扫描模式决定，具体请参见DSC扫描时长。 新建敏感数据识别任务 √ √ 数据脱敏 DSC的数据脱敏支持静态脱敏和调用API接口进行脱敏。 DSC的数据脱敏特点： 不影响用户数据：从原始数据库读取数据，通过精确的脱敏引擎，对用户的敏感数据实施静态脱敏，脱敏结果另行存放，不会影响原始的用户数据。 支持云上各类场景：支持RDS，E CS 自建数据库，大数据合规。 满足多种脱敏需求：用户可以通过20+种预置脱敏规则，或自定义脱敏规则来对指定数据库表进行脱敏，DSC支持的脱敏算法详见脱敏算法。 实现一键合规：基于扫描结果自动提供脱敏合规建议，一键配置脱敏规则。 同时，DSC提供API接口供您使用，具体请参考数据动态脱敏。 DSC通过内置和自定义脱敏算法，实现对RDS、Elasticsearch、MRS、Hive、HBase、 DLI 以及OBS数据进行脱敏，具体的脱敏时长请参见DSC脱敏时长。 配置脱敏规则 × √ 数据水印 针对数据库、文档以及图片提供了注入和提取水印的功能。 版权证明：嵌入数据拥有者的信息，保证资产唯一归属，实现版权保护。 追踪溯源：嵌入数据使用者的信息，在发生数据泄露事件时，追踪其泄露源头。 同时，DSC提供了数据动态添加水印和提取数据水印的API接口供您使用，具体请参考API接口参考。 水印注入 × √ 策略中心 策略基线：策略基线是数据安全管理规定、数据分类分级要求、数据出境管理规定、重要数据和核心数据要求等数据安全策略结构化，DSC依据华为云数据安全治理经验预置策略模板，支持策略的增删改查、策略的结构化展示和过滤查询等。 流转日志采集：DSC对各个应用中的日志数据进行采集，如DBSS服务和API数据安全防护，可动态的采集用户访问行为的路径，可以快速全面支撑溯源或定位，直观了解数据的流转情况，及时发现异常和风险。 策略管理：管理员在策略中心的策略管理页面制定数据库审计、数据库加密、数据库水印、数据库静态脱敏、数据库动态脱敏策略，下发给相应的服务或者实例。 策略中心 √ √ API数据安全防护 API数据安全防护是一款为企业提供综合的API安全防护系统。 对应用API接口进行自动梳理，实现应用接口细粒度访问控制、API异常风险发现、API敏感数据检测、脱敏和水印等能力。 API数据安全防护 单独购买实例 单独购买实例 态势大屏 数据安全中心默认提供一个综合态势感知大屏，对云上风险资产、识别任务、脱敏任务、水印任务、事件、告警等信息进行综合展示和分析，实现一屏全面感知，帮助用户快速识别资产综合态势，对风险资产和紧急告警快速做出响应。 态势大屏 √ √ 告警管理 当DBSS有系统或者业务方面的风险告警事件时，会将告警事件推送到DSC，用户可以在DSC控制台确认相关的告警事件。 告警管理 √ √ 事件管理 数据安全中心对接数据库审计、 云堡垒机 等安全组件，对各组件事件进行统一管理，会将事件实时推送到DSC，用户可以对事件进行确认和处理。也可以将告警页面的告警转事件。 事件管理 √ √ OBS使用审计 数据安全中心服务根据敏感数据规则对OBS桶进行识别，根据识别的敏感数据进行监控，监控到敏感数据的异常事件相关操作后，会将监控结果展示在异常事件处理页面中，用户可根据需要对异常事件进行处理。 OBS使用审计 √ √ 数据流转详情 调用链数据采集，对各个应用中的日志数据进行采集。 调用链数据存储及查询，对采集到的数据进行存储，由于日志数据量一般都很大，不仅要能对其存储，还需要能提供快速查询。 调用链数据生成，DSC负责对采集上报的日志进行数据链路流转分析，并绘制流转图 指标运算、存储及查询，对采集到的日志数据进行各种指标运算，将运算结果保存起来。 数据流转详情 √ √ 设备管理 设备管理的作用是纳管第三方设备，包含应用数据审计设备、应用数据安全网关设备、数据库防火墙设备、数据库加密设备，进行状态监控和告警展示，将风险和告警呈现给客户。 管理员在数据安全设备管理的策略管理页面制定数据库加密、数据库动脱策略、数据库静态脱敏，下发给数据库加密（动脱）、数据库静态脱敏设备生效。 设备管理 √ √ 多账号管理 开启多账号管理功能后，安全管理员在安全运营账号中对所有成员账号进行统一的数据安全防护，而无需逐个登录到成员账号。 多账号管理 √ √ 告警通知 通过设置告警通知，当敏感数据检测完成后或异常事件处理监测到异常事件时，DSC会将其检测结果通过用户设置的接收通知方式发送给用户。 告警通知 √ √

大模型数据安全防护场景功能特性 大模型数据安全防护场景提供训练数据分级分类、文本数据脱敏、训练数据水印等基础数据安全能力。 大模型数据安全防护场景下提供“标准版”大模型敏感信息检测能力。 本文介绍数据安全中心大模型数据安全防护场景支持的功能特性。 表1 功能概览 功能特性 说明 参考文档 训练数据资产中心 DSC支持管理OBS资产，可将您的训练数据存储至OBS桶，DSC支持对OBS中的训练数据进行敏感数据识别、脱敏等操作。支持添加自有桶和其他桶。 添加OBS资产 训练数据资产目录 支持查看OBS数据类型（非结构化数据）的统计信息，包括文件总数、敏感文件数、分类分级统计结果等。 训练数据资产目录 文本敏感数据识别 从海量数据中自动发现并分析敏感数据使用情况，基于数据识别引擎，对OBS中的非结构化数据进行扫描，自动识别敏感和个人隐私数据并进行分类分级。 文件类型：支持近200种非结构化文件，详情请参见DSC支持识别的非结构化文件类型。 数据类型：支持数十种个人隐私数据类型，包含中英文，支持的个人隐私数据类型详情请参见查看内置规则。 支持自定义规则，场景适配不同行业。 提供可视化识别结果，同时，可供用户下载到本地查看。 新建敏感数据识别任务 文本敏感数据脱敏 支持对OBS非结构化文件中的敏感数据进行自动检测和脱敏，防止敏感数据被用于AI训练。 支持的文件类型：支持.txt，.log，.xml，.ini，.sql，.inf，.java，.json等类型的文件。 支持的脱敏规则：用户可以通过20+种预置脱敏规则，或自定义脱敏规则来对指定敏感数据进行脱敏，DSC支持的脱敏算法详见脱敏算法。 不影响用户原始数据：从原始文件读取数据，通过精确的脱敏引擎，对用户的敏感数据实施静态脱敏，脱敏结果另行存放，不会影响原始的用户数据。 实现一键合规：基于扫描结果自动提供脱敏合规建议，一键配置脱敏规则。 配置脱敏规则 OBS使用日志审计 根据敏感数据规则对OBS桶进行识别，根据识别的敏感数据进行监控，监控到敏感数据的异常事件相关操作后，会将监控结果展示在异常事件处理页面中，用户可根据需要对异常事件进行处理。 OBS使用日志审计 训练数据水印 针对OBS文档、图片提供了注入和提取水印的功能，支持明水印和暗水印。 可根据使用场景选择嵌入不同的水印信息： 版权证明：嵌入数据拥有者的信息，保证资产唯一归属，实现版权保护。 追踪溯源：嵌入数据使用者的信息，在发生数据泄露事件时，追踪其泄露源头。 文档水印注入

准备工作 在购买数据安全中心之前，请先 注册华为账号 并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证，请忽略此步骤。 仅在购买或使用中国大陆云服务区的资源时，需要实名认证。 购买包周期资源时，请保证账户有足够的资金，防止购买数据安全中心失败。具体操作请参见账户充值。 请确保已为账号赋予相关DSC权限。具体操作请参见创建用户组并授权使用DSC。 表1 DSC系统权限 角色名称 描述 类别 依赖关系 DSC DashboardReadOnlyAccess 数据安全中心服务大屏服务只读权限。 系统策略 无 DSC FullAccess 数据安全中心服务所有权限。 系统策略 购买RDS包周期实例需要配置授权项： bss:order:update bss:order:pay DSC ReadOnlyAccess 数据安全中心服务只读权限。 系统策略 无

操作流程 操作步骤 说明 步骤一：购买DSC并完成云资产委托授权 购买DSC，选择版本规格（本文以标准版为例）扩展包等信息并完成云资产委托授权打通各服务与DSC的访问策略权限。 步骤二：授权数据库允许DSC访问数据库进行数据识别 数据库和大数据类型资产需要完成授权之后才能进行敏感数据识别、数据脱敏和数据库水印注入/提取，完成数据库授权，允许DSC访问数据库获取数据进行敏感数据识别和脱敏。 步骤三：新建敏感数据识别任务 创建识别任务，对资产进行敏感数据识别，根据所选识别模板对数据进行分类分级。 步骤四：查看分类分级结果 查看分类分级结果，对数据资产进行进一步安全防护。

计费模式概述 数据安全中心大模型数据安全防护场景提供包年/包月的计费模式： 包年/包月：一种预付费模式，即先付费再使用，按照订单的购买周期进行结算。购买周期越长，享受的折扣越大。一般适用于设备需求量长期稳定的成熟业务。 表1 计费模式 计费模式 包年/包月 付费方式 预付费 按照订单的购买周期结算。 计费周期 按订单的购买周期计费。 适用计费项 版本规格、数据扩展包。 变更规格 不支持变更版本规格。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 父主题： 计费模式

与 云审计 服务的关系 云审计服务（Cloud Trace Service， CTS ）记录了数据安全中心相关的操作事件，方便用户日后的查询、审计和回溯。 表1 云审计服务支持的DSC操作列表 操作名称 资源类型 事件名称 授权或者取消对DSC的授权 dscGrant grantOrRevokeTodsc 添加OBS桶资产 dscObsAsset addBuckets 删除OBS桶资产 dscObsAsset deleteBucket 添加数据库资产 dscDatabaseAsset addDatabase 修改数据库资产 dscDatabaseAsset updateDatabase 删除数据库资产 dscDatabaseAsset deleteDatabase 添加大数据资产 dscBigdataAsset addBigdata 修改大数据资产 dscBigdataAsset updateBigdata 删除大数据资产 dscBigdataAsset deleteBigdata 更新对象名称 dscAsset updateAssetName 下载批量添加模板 dscBatchImportTemplate downloadBatchImportTemplate 批量添加数据库 dscAsset batchAddDatabase 批量添加资产 dscAsset batchAddAssets 展示异常事件 dscExceptionEvent listExceptionEventInfo 获取异常事件详细信息 dscExceptionEvent getExceptionEventDetail 添加告警配置 dscAlarmConfig addAlarmConfig 修改告警配置 dscAlarmConfig updateAlarmConfig 下载报表 dscReport downloadReport 删除报表 dscReport deleteReport 添加扫描规则 dscRule addRule 修改扫描规则 dscRule editRule 删除扫描规则 dscRule deleteRule 添加扫描规则组 dscRuleGroup addRuleGroup 修改扫描规则组 dscRuleGroup editRuleGroup 删除扫描规则组 dscRuleGroup deleteRuleGroup 添加扫描任务 dscScanTask addScanJob 修改扫描任务 dscScanTask updateScanJob 删除扫描子任务 dscScanTask deleteScanTask 删除扫描任务 dscScanTask deleteScanJob 启动扫描任务 dscScanTask startJob 停止扫描任务 dscScanTask stopJob 启动扫描子任务 dscScanTask startTask 停止扫描子任务 dscScanTask stopTask 启用/停用ES脱敏 dscBigDataMaskSwitch switchBigDataMaskStatus 获取ElasticSearch field信息 dscBigDataMetaData getESField 添加ES脱敏模板 dscBigDataMaskTemplate addBigDataTemplate 编辑ES脱敏模板 dscBigDataMaskTemplate editBigDataTemplate 删除ES脱敏模板 dscBigDataMaskTemplate deleteBigDataTemplate 查询ES脱敏模板列表 dscBigDataMaskTemplate showBigDataTemplates 启动/停止ES脱敏模板 dscBigDataMaskTemplate operateBigDataTemplate 切换ES脱敏模板状态 dscBigDataMaskTemplate switchBigDataTemplate 启用/停用数据库脱敏 dscDBMaskSwitch switchDBMaskStatus 获取数据库字段信息 dscDBMetaData getColumn 添加数据库脱敏模板 dscDBMaskTemplate addDBTemplate 修改数据库脱敏模板 dscDBMaskTemplate editDBTemplate 删除数据库脱敏模板 dscDBMaskTemplate deleteDBTemplate 查询数据库脱敏模板列表 dscDBMaskTemplate showDBTemplates 启动/停止数据库脱敏模板 dscDBMaskTemplate operateDBTemplate 切换数据库脱敏模板状态 dscDBMaskTemplate switchDBTemplate 添加脱敏算法 dscMaskAlgorithm addMaskAlgorithm 编辑脱敏算法 dscMaskAlgorithm editMaskAlgorithm 删除脱敏算法 dscMaskAlgorithm deleteMaskAlgorithm 测试脱敏算法 dscMaskAlgorithm testMaskAlgorithm 获取字段与脱敏算法的映射关系 dscMaskAlgorithm getFieldAlgorithms 添加加密算法配置 dscEncryptMaskConfig addEncryptConfig 修改加密算法配置 dscEncryptMaskConfig editEncryptConfig 删除加密算法配置 dscEncryptMaskConfig deleteEncryptConfig

身份认证和访问控制 身份认证 用户访问DSC的方式有多种，包括DSC控制台、API、SDK，无论访问方式封装成何种形式，其本质都是通过DSC提供的REST风格的API接口进行请求。 DSC的接口需要经过认证请求后才可以访问成功。DSC支持两种认证方式： Token认证：通过Token认证调用请求，访问DSC控制台默认使用Token认证机制。 AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。推荐使用AK/SK认证，其安全性比Token认证要高。 关于认证鉴权的详细介绍及获取方式，请参见认证鉴权。 访问控制 DSC支持通过权限控制（ IAM 权限）进行访问控制。 表1 DSC访问控制 访问控制方式 简要说明 详细介绍 权限控制 IAM权限 IAM权限是作用于云资源的，IAM权限定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。管理员创建IAM用户后，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限。 IAM产品介绍 DSC权限管理 DSC权限管理（细粒度） 父主题： 安全

规格版本差异 本章节介绍数据安全中心服务和API数据安全防护实例的版本规格差异。 数据安全中心服务提供“通用数据安全防护场景”和“大模型数据安全防护场景”。 “通用数据安全防护场景”包含“标准版”和“专业版”两个版本供您选择，其差异如表1所示。 当前版本的数据库数量和OBS体量不能满足业务需求时，可以通过升级版本和规格增加数据库扩展包和OBS扩展包的数量。 OBS体量即OBS桶的“存储用量”，进入OBS服务控制台，左侧菜单选择“桶列表”查看桶“存储用量”，请根据OBS桶的“存储用量”选择大于或者相等的OBS体量。 表1 服务版本差异 规格版本 支持添加的数据库数量 支持添加的OBS体量 API调用额度 支持的功能 标准版 2个 100GB 不支持 资产地图 敏感数据识别 数据风险检测 专业版 2个 100GB 100W次 资产地图 敏感数据识别 数据风险检测 数据静态脱敏 数据水印注入/提取 API接口的调用 “大模型数据安全防护场景”：大模型使用的非结构化数据敏感数据识别、脱敏以及水印。 版本规格包含“标准版”，进行大模型敏感信息检测，包含的功能表2如所示。 表2 规格 规格版本 支持添加的数据体量 支持的功能 标准版 1T 训练数据资产目录 文本敏感数据识别 文本敏感数据脱敏 OBS使用日志审计 训练数据水印注入/提取 API数据安全防护实例提供了“基础版”和“专业版”供您选择，其差异如表3所示。 表3 实例版本差异 业务规格 基础版 专业版 - 满足基础防护需求 适用于中量级防护需求 支持应用数量 10个（最大） 20个（最大） 支持HTTP流量 1,000 Mbps 2,000 Mbps 支持HTTPS流量 500 Mbps 1,000 Mbps

特性说明 表1 功能概览 特性 描述 相关文档 首页概览 资产概览：对应用、接口、账号、敏感数据等资产进行数量统计。 访问热度：从不同维度显示近7天或近30天的访问情况。 首页概览 日志中心 支持记录告警日志和流量日志，并支持多条件进行日志查询。 告警日志：查看命中黑名单，风险防护，阻断类访问控制规则的详细信息。 检索日志：查看具体某个业务的访问流量信息。 日志中心 资产中心 应用资产：通过配置 域名 或IP+端口的方式实现网关的代理部署，提供多种代理类型（如HTTP、HTTPS等）供选择，以满足不同安全和应用需求。 接口资产：代理后通过访问情况自动扫描应用资产中的API接口，确保无遗漏。 账号资产：能够根据账号解析规则，识别到账号和对应会话，便于进行针对性的管理。支持根据识别出的账号配置各种防护规则。 敏感数据内置敏感数据识别算法识别多种类型的敏感数据，如密码、身份证号码、银行卡号等。 资产中心 安全策略 白名单：支持通过客户端IP、账号、敏感标签等条件配置不同生效范围的白名单 访问控制：支持通过不同条件组合对应用配置安全防护规则 风险防护：支持内置攻击识别规则，能根据动作执行阻断或日志审计防护。且支持自定义攻击阻断策略，并基于策略进行自动处置。 黑名单：支持通过客户端IP、账号、敏感标签等条件任意组合，配置黑名单并进行阻断。 脱敏管理：内置常见敏感数据标签和对应脱敏算法，支持添加脱敏模板，批量配置敏感数据标签和对应算法。支持根据不同条件对接口中返回的敏感数据进行脱敏，防止敏感数据泄露。 水印管理：支持对不同类型的应用服务添加水印，包含网页水印、点阵水印、文档水印，无痕水印等多种水印类型。在发生数据泄露事件时，支持根据水印内容追踪其泄露源头。 安全策略管理 业务配置 敏感数据标签：管理敏感数据标签，支持key指定，value关键字和正则自定义敏感数据标签。支持手动例外和添加敏感数据。 客户端IP解析：支持配置客户端IP解析规则，将对应识别位置的识别内容，解析成客户端IP。 证书管理：管理系统中的SSL证书。 分类分级：系统内置敏感数据分类分级，并支持自定义调整。 业务配置 系统管理 网络管理：支持页面配置网卡、路由与DNS信息，或是一键启用bypss状态，便于排查系统问题。 备份恢复：支持备份审计日志与配置文件，在遇到问题或误操作时，可以恢复审计日志或配置信息。 数据清理：支持定时或手动清理业务日志和系统日志。 系统管理 用户管理 内置系统管理员，审计管理员和安全管理员。 系统管理员：负责系统的日常运行维护。 安全管理员：主要负责系统的日常安全保密管理工作，包括系统用户权限的授予与撤销等配置。 审计管理员主要负责对系统管理员和安全管理员的操作行为进行审计跟踪、分析和监督检查。 用户管理 系统运维 系统监控：实时显示设备状态，系统的资源使用情况，方便排查问题。 系统过载：当API数据安全防护系统压力较高时，可配置系统过载，对部分流量进行bypass（不处理直接放行），降低系统压力。 系统运维

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

数据库加密支持的数据库类型及版本 数据源类型 版本 MySQL 5.6、5.7、5.8、8.0 SQL Server 2019_SE、2019_EE、2019_WEB 2017_SE、2017_EE、2017_WEB 2016_SE、2016_EE、2016_WEB 2014_SE、2014_EE 2012_SE、2012_EE、2012_WEB 2008_R2_EE、2008_R2_WEB Oracle 11、12 PostgreSQL 13、12、11、10、9.6、9.5、9.4 KingBase(人大金仓) V8 DMDBMS(达梦) 7、8 TDSQL 10.3.X DWS 8.1.X

数据脱敏功能支持的数据源类型 表3 数据脱敏功能支持的数据源 脱敏类型 支持的数据源类型 数据库脱敏 SQLServer、MySQL、TDSQL、PostgreSQL、KingBase(人大金仓)、DMDBMS(达梦)、 GaussDB 、Oracle、DWS Elasticsearch脱敏 Elasticsearch Hive脱敏 Hive HBase脱敏 HBase DLI脱敏 DLI MRS脱敏 MRS_HIVE OBS脱敏 OBS桶文件（文本、图片（人脸和车牌））

DSC支持的数据源类型及版本 表1 DSC支持的数据源类型及版本 数据类型 数据源类型 版本 数据库 MySQL 5.6、5.7、5.8、8.0 SQL Server 2017_SE、2017_EE、2017_WEB 2016_SE、2016_EE、2016_WEB 2014_SE、2014_EE 2012_SE、2012_EE、2012_WEB 2008_R2_EE、2008_R2_WEB PostgreSQL 15、14、13、12、11、10、9.6、9.5、9.4、9.1、1.0 TDSQL 10.3.X Oracle 11、12 DDS 4.2、4.0、3.4 KingBase V8 GaussDB 1.3、1.4、2.7 DMDBMS 7、8 DWS 8.1.X 大数据 ElasticSearch 5.x、6.x、7.x DLI 1.0 Hive 1.0 MRS-Hive 3.x Hbase 1.0 OBS OBS V3

DSC支持的华为云数据源 关系型数据库（Relational Database Service，RDS） 对象存储服务（Object Storage Service，OBS） OBS只支持桶列表，不支持并行文件系统。 数据仓库 服务（Data Warehouse Service，DWS） 文档数据库服务（Document Database Service，DDS） MapReduce服务 （MapReduce Service，MRS） 云搜索服务 （Cloud Search Service，CSS） 数据湖探索 服务（Data Lake Insight，DLI） 云数据库服务（GaussDB） 弹性云服务器（Elastic Cloud Server ，ECS）的自建数据库，支持的自建数据库版本如表1所示。 裸金属服务器（Bare Metal Server，BMS）的自建数据库 云日志服务（Log Tank Service，LTS）