本文介绍敏感数据保护功能为数据剖析文件分配的数据风险等级和敏感程度。如需了解数据风险等级,请务必先了解敏感程度。
敏感程度
敏感度级别表示项目、表或文件存储区中数据的敏感程度。如果数据包含检测到的元素(例如个人身份信息 [PII]、财务数据和凭据),则属于敏感数据。
您还可以设置要扫描的每个内置或自定义 infoType 的敏感度。每个检测到的 infoType 的敏感度都会影响所分析资源的最终敏感度评分。如需了解如何替换内置 infoType 的灵敏度或设置自定义 infoType 的灵敏度,请参阅管理 infoType。
数据剖析文件可以具有以下任何敏感度级别:
- 高
- 可能存在高度敏感的信息,包括信用卡号和某些身份证信息。
- 中
- 可能存在未归类为高度敏感的敏感信息。示例包括电子邮件地址和电话号码,这些信息可被视为个人身份信息。此类数据还可能包含自由格式文本或非结构化数据,例如评论。
- 低
- 未检测到敏感信息,并且数据不包含自由格式文本或非结构化数据。
- 未知
- 无法成功扫描数据。不确定是否存在敏感数据。
敏感度信号
敏感数据保护会在计算敏感度时考虑以下方面:
数据风险等级
数据风险级别是与当前数据关联的风险。它考虑资源中数据的敏感度级别以及是否存在用于保护该数据的访问权限控制。
- 高
- 高敏感度数据可能存在,并且没有访问权限控制来限制数据公开。或者,中或高敏感度数据可供广泛访问。
- 中
- 中敏感度数据可能存在,并且没有访问权限控制来限制数据公开。
- 低
数据的敏感度级别较低。或者,举例来说,通过访问权限控制进一步限制了对数据的访问权限。
如果您启用了自动标记,并选择自动将已分析数据资产的数据风险级别设为
Low,则已分析数据资产也可能会获得Low数据风险级别。- 未知
无法成功扫描数据。不确定是否存在敏感数据。
数据风险信号
Sensitive Data Protection 会在计算数据风险时考虑以下方面:
- 数据的计算得出的敏感度级别。
- 实施了限制数据访问权限的访问权限控制。
- 在启用自动标记的情况下,是否配置了发现功能以将数据风险级别设置为
Low。如需了解详情,请参阅在发现配置中启用自动标记。此选项会自动替换任何特定于存储空间的公式。
BigQuery 数据风险计算
下表显示了数据风险信号如何影响敏感数据保护为已分析的 BigQuery 资源分配的最终数据风险级别。数据风险列会显示得出的数据风险级别。
| 数据敏感度 | 是公开的 | 应用了列政策标记 | 数据风险 |
|---|---|---|---|
| 低、中或高 | 否 | 是 | 低 |
| 低、中或高 | 是 | 是 | 低 |
| 低 | 否 | 否 | 低 |
| 中 | 否 | 否 | 中 |
| 高 | 否 | 否 | 高 |
Cloud SQL 数据风险计算
下表显示了数据风险信号如何影响 Sensitive Data Protection 为已分析的 Cloud SQL 资源分配的数据风险等级。数据风险列会显示得出的数据风险级别。
| 数据敏感度 | 要求使用 SSL | 公共 IP | 数据风险 |
|---|---|---|---|
| 低 | 是 | 是 | 低 |
| 低 | 是 | 否 | 低 |
| 低 | 否 | 是 | 低 |
| 低 | 否 | 否 | 低 |
| 中 | 是 | 是 | 中 |
| 中 | 是 | 否 | 低 |
| 中 | 否 | 是 | 高 |
| 中 | 否 | 否 | 中 |
| 高 | 是 | 是 | 高 |
| 高 | 是 | 否 | 中 |
| 高 | 否 | 是 | 高 |
| 高 | 否 | 否 | 高 |
文件存储区数据风险计算
下表显示了数据风险信号如何影响敏感数据保护为经过分析的文件存储资源分配的最终数据风险级别。数据风险列会显示得出的数据风险级别。
| 数据敏感度 | 可能包含公开文件 | 数据风险 |
|---|---|---|
| 低 | 否 | 低 |
| 低 | 无法判定 resourceVisibility | 低 |
| 低 | 是 | 低 |
| 中 | 否 | 低 |
| 中 | 无法判定 resourceVisibility | 中 |
| 中 | 是 | 高 |
| 高 | 否 | 中 |
| 高 | 无法判定 resourceVisibility | 高 |
| 高 | 是 | 高 |
| 未知 | 否 | 未知 |
| 未知 | 无法判定 resourceVisibility | 未知 |
| 未知 | 是 | 未知 |
后续步骤
- 了解您可以采取哪些补救措施来降低数据风险和敏感性。