平臺(tái)安全診斷根據(jù)相關(guān)安全問(wèn)題的最佳實(shí)踐，為您展示系統(tǒng)診斷出的當(dāng)前工作空間與數(shù)據(jù)源，在進(jìn)行業(yè)務(wù)交互時(shí)存在的風(fēng)險(xiǎn)隱患。您可以根據(jù)診斷結(jié)果，識(shí)別風(fēng)險(xiǎn)類別、風(fēng)險(xiǎn)等級(jí)，查看風(fēng)險(xiǎn)詳情，及時(shí)處理待優(yōu)化項(xiàng)，保障業(yè)務(wù)執(zhí)行過(guò)程的安全可靠。平臺(tái)安全診斷目前支持的安全域說(shuō)明如下：

• 數(shù)據(jù)計(jì)算與存儲(chǔ)安全性診斷

  用于對(duì)數(shù)據(jù)權(quán)限的控制、數(shù)據(jù)存儲(chǔ)加密、數(shù)據(jù)存儲(chǔ)備份等功能進(jìn)行安全性診斷，及時(shí)識(shí)別潛在的安全隱患，提升在數(shù)據(jù)存儲(chǔ)與訪問(wèn)過(guò)程中的安全性。

• 數(shù)據(jù)傳輸安全性診斷

  用于對(duì)數(shù)據(jù)源訪問(wèn)控制、生產(chǎn)與開發(fā)數(shù)據(jù)源隔離等功能進(jìn)行安全性診斷，識(shí)別數(shù)據(jù)傳輸時(shí)存在的安全隱患，方便您及時(shí)發(fā)現(xiàn)并優(yōu)化，保障數(shù)據(jù)傳輸環(huán)境的安全可靠。

• 數(shù)據(jù)生產(chǎn)規(guī)范化診斷

  用于對(duì)當(dāng)前工作空間安排的角色、管理員數(shù)量、發(fā)布人員的合理性等涉及生產(chǎn)環(huán)節(jié)的安全性進(jìn)行診斷，及時(shí)發(fā)現(xiàn)并清理安全隱患，提升數(shù)據(jù)產(chǎn)出體系的穩(wěn)定性與安全性。

• 平臺(tái)安全配置診斷

  用于對(duì)DataWorks操作行為審計(jì)等功能進(jìn)行安全診斷，提升在數(shù)據(jù)安全通用領(lǐng)域的安全性。

上述安全域各維度檢測(cè)出的待優(yōu)化項(xiàng)，通過(guò)低、中、高定義待優(yōu)化項(xiàng)的風(fēng)險(xiǎn)等級(jí)。同時(shí)在每一項(xiàng)風(fēng)險(xiǎn)問(wèn)題項(xiàng)中提供相應(yīng)的診斷結(jié)果與改進(jìn)建議，保障業(yè)務(wù)執(zhí)行過(guò)程的安全可靠。您可以通過(guò)附錄：診斷詳情列表查看所有安全檢測(cè)域的各維度診斷規(guī)則。

在平臺(tái)安全診斷界面，對(duì)每個(gè)安全域下存在的安全隱患、待優(yōu)化的中、高等級(jí)風(fēng)險(xiǎn)問(wèn)題進(jìn)行統(tǒng)計(jì)，您可以單擊對(duì)應(yīng)的目標(biāo)安全隱患，查看風(fēng)險(xiǎn)詳情，并根據(jù)診斷建議進(jìn)行優(yōu)化。下圖以數(shù)據(jù)傳輸安全性診斷為例查看該安全域下具體待治理項(xiàng)。

查看診斷結(jié)果與診斷建議：

• 安全隱患

  數(shù)據(jù)源未配置相關(guān)權(quán)限，可能導(dǎo)致安全等級(jí)較低的人員訪問(wèn)安全等級(jí)較高的數(shù)據(jù)，造成數(shù)據(jù)源訪問(wèn)不安全。

• 處理建議

  您可以根據(jù)所給的建議進(jìn)行數(shù)據(jù)源權(quán)限配置，提升數(shù)據(jù)源訪問(wèn)的安全性。

平臺(tái)安全診斷功能目前支持的安全檢測(cè)域詳情如下。

• 數(shù)據(jù)計(jì)算與存儲(chǔ)安全性診斷

  提升在數(shù)據(jù)存儲(chǔ)與訪問(wèn)過(guò)程中的安全性。

  安全檢測(cè)維度	安全檢測(cè)項(xiàng)	檢測(cè)對(duì)象	檢測(cè)方式
  MaxCompute精細(xì)化數(shù)據(jù)權(quán)限控制	MaxCompute列級(jí)別權(quán)限控制 說(shuō)明 MaxCompute 2.0安全模型具有更細(xì)粒度的數(shù)據(jù)權(quán)限管理能力、更科學(xué)的項(xiàng)目分權(quán)管控機(jī)制、更強(qiáng)大的端識(shí)別能力，支持用戶實(shí)現(xiàn)更加貼合實(shí)際場(chǎng)景的安全配置。	MaxCompute項(xiàng)目	列級(jí)權(quán)限控制依托于MaxCompute2.0權(quán)限模型。此安全檢測(cè)項(xiàng)為您掃描哪些MaxCompute工作空間未開啟MaxCompute2.0權(quán)限模型。
  	數(shù)據(jù)下載控制 說(shuō)明 建議嚴(yán)格控制無(wú)關(guān)人員直接下載數(shù)據(jù)（MaxCompute Tunnel方式）到本地，避免非預(yù)期的數(shù)據(jù)泄露事故。	MaxCompute項(xiàng)目	下載權(quán)限控制依托于MaxCompute 2.0權(quán)限模型與Download權(quán)限。此安全檢測(cè)項(xiàng)為您掃描哪些MaxCompute工作空間未開啟MaxCompute2.0權(quán)限模型。已經(jīng)開啟2.0工作空間中，哪些工作空間未開啟下載管控。您可以通過(guò)Download權(quán)限控制決定是否需要開啟權(quán)限控制。
  	數(shù)據(jù)保護(hù)模式 說(shuō)明 數(shù)據(jù)保護(hù)機(jī)制允許用戶控制數(shù)據(jù)流出方法。	MaxCompute項(xiàng)目	此安全檢測(cè)項(xiàng)為您掃描是否已為部分或所有MaxCompute項(xiàng)目設(shè)置項(xiàng)目保護(hù)模式。關(guān)于MaxCompute項(xiàng)目保護(hù)詳情請(qǐng)參見(jiàn)：數(shù)據(jù)保護(hù)機(jī)制。
  MaxCompute存儲(chǔ)安全加強(qiáng)	數(shù)據(jù)存儲(chǔ)加密 說(shuō)明 MaxCompute支持通過(guò)密鑰管理服務(wù)KMS（Key Management Service）對(duì)數(shù)據(jù)進(jìn)行加密存儲(chǔ)，提供數(shù)據(jù)靜態(tài)保護(hù)能力，滿足企業(yè)監(jiān)管和安全合規(guī)需求。詳情請(qǐng)參見(jiàn)：《MaxCompute數(shù)據(jù)存儲(chǔ)加密》	MaxCompute項(xiàng)目	此安全檢測(cè)項(xiàng)為您掃描未開啟數(shù)據(jù)存儲(chǔ)加密的工作空間并列出列表。如有需求可通過(guò)提交工單對(duì)已有工作空間開啟存儲(chǔ)加密。
  	數(shù)據(jù)存儲(chǔ)備份 說(shuō)明 系統(tǒng)會(huì)自動(dòng)備份MaxCompute數(shù)據(jù)的歷史版本并保留一定時(shí)間，您可以對(duì)保留周期內(nèi)的數(shù)據(jù)進(jìn)行快速恢復(fù)，避免因誤操作丟失數(shù)據(jù)。詳情請(qǐng)參見(jiàn)：《MaxCompute備份與恢復(fù)》	MaxCompute項(xiàng)目	MaxCompute工作空間默認(rèn)擁有該功能，您可以通過(guò)《MaxCompute備份與恢復(fù)》文檔結(jié)合實(shí)際情況來(lái)調(diào)整備份天數(shù)或恢復(fù)數(shù)據(jù)。
  EMR精細(xì)化數(shù)據(jù)權(quán)限控制	EMR安全訪問(wèn)模式 說(shuō)明 EMR“安全模式”支持不同阿里云主、子賬號(hào)之間實(shí)現(xiàn)數(shù)據(jù)權(quán)限隔離。安全模式詳情請(qǐng)參見(jiàn)：安全模式	DataWorks工作空間	此安全檢測(cè)項(xiàng)為您掃描哪些工作空間下的EMR數(shù)據(jù)源仍未使用安全模式。

• 數(shù)據(jù)傳輸安全性診斷

  提升數(shù)據(jù)傳輸?shù)氖虑鞍踩浴?/p>

  安全檢測(cè)維度	安全檢測(cè)項(xiàng)	檢測(cè)對(duì)象	檢測(cè)方式
  數(shù)據(jù)源保護(hù)	數(shù)據(jù)源訪問(wèn)控制 說(shuō)明 DataWorks支持對(duì)已配置的數(shù)據(jù)源設(shè)置訪問(wèn)權(quán)限，避免安全等級(jí)較低的人員訪問(wèn)安全等級(jí)較高的數(shù)據(jù)。	DataWorks工作空間數(shù)據(jù)源	此安全檢測(cè)項(xiàng)為你掃描哪些工作空間未對(duì)數(shù)據(jù)源進(jìn)行權(quán)限配置。您可以參考管理數(shù)據(jù)源權(quán)限進(jìn)行配置。
  	生產(chǎn)與開發(fā)數(shù)據(jù)源隔離 說(shuō)明 標(biāo)準(zhǔn)模式工作空間下支持同一個(gè)數(shù)據(jù)源區(qū)分生產(chǎn)、開發(fā)環(huán)境，避免生產(chǎn)數(shù)據(jù)源中的數(shù)據(jù)從開發(fā)環(huán)境泄露。您可以根據(jù)數(shù)據(jù)源開發(fā)和生產(chǎn)環(huán)境隔離進(jìn)行評(píng)估與修改數(shù)據(jù)源。	DataWorks工作空間數(shù)據(jù)源	此安全檢測(cè)項(xiàng)為你掃描哪些標(biāo)準(zhǔn)模式空間下的數(shù)據(jù)源生產(chǎn)、開發(fā)環(huán)境配置相同。
  	數(shù)據(jù)源訪問(wèn)模式 說(shuō)明 DataWorks支持通過(guò)角色模式訪問(wèn)OSS數(shù)據(jù)源，該模式較傳統(tǒng)Access Key模式更具安全性，可有效避免Access Key泄露的情況。	DataWorks工作空間數(shù)據(jù)源	此安全檢測(cè)項(xiàng)為您掃描哪些工作空間下的OSS數(shù)據(jù)源仍在使用Access Key模式，您可以根據(jù)通過(guò)RAM角色授權(quán)模式配置數(shù)據(jù)源對(duì)數(shù)據(jù)源進(jìn)行改造。

• 數(shù)據(jù)生產(chǎn)規(guī)范化診斷

  提升數(shù)據(jù)產(chǎn)出體系的穩(wěn)定性與安全性。

  安全檢測(cè)維度	安全檢測(cè)項(xiàng)	檢測(cè)對(duì)象	檢測(cè)方式
  合理規(guī)劃工作空間	使用“標(biāo)準(zhǔn)模式”工作空間來(lái)進(jìn)行數(shù)據(jù)生產(chǎn) 說(shuō)明 “標(biāo)準(zhǔn)模式”空間比“簡(jiǎn)單模式”空間具備更強(qiáng)的安全性，詳情請(qǐng)參見(jiàn)：必讀：簡(jiǎn)單模式和標(biāo)準(zhǔn)模式的區(qū)別。	DataWorks工作空間模式	此安全檢測(cè)項(xiàng)為您掃描當(dāng)前地域下哪些工作空間仍為簡(jiǎn)單模式工作空間。您可以根據(jù)實(shí)際情況將簡(jiǎn)單模式空間升級(jí)為標(biāo)準(zhǔn)模式空間，升級(jí)前請(qǐng)仔細(xì)閱讀：場(chǎng)景：工作空間模式升級(jí)（簡(jiǎn)單模式升級(jí)標(biāo)準(zhǔn)模式）。
  	計(jì)算引擎生產(chǎn)開發(fā)環(huán)境隔離 說(shuō)明 標(biāo)準(zhǔn)模式工作空間下支持將計(jì)算引擎生產(chǎn)、開發(fā)環(huán)境進(jìn)行區(qū)分隔離，避免生產(chǎn)環(huán)境中的數(shù)據(jù)從開發(fā)環(huán)境泄露。	DataWorks工作空間數(shù)據(jù)源	此安全檢測(cè)項(xiàng)為您掃描當(dāng)前地域下哪些工作空間創(chuàng)建的數(shù)據(jù)源實(shí)例存在開發(fā)、生產(chǎn)環(huán)境配置相同的情況。
  	合理指定工作空間管理員數(shù)量 說(shuō)明 在單個(gè)工作空間內(nèi)，過(guò)多的管理員可能導(dǎo)致管理混亂，建議每個(gè)空間設(shè)置不超過(guò)3個(gè)空間管理員。	DataWorks工作空間成員管理	此安全檢測(cè)項(xiàng)為您掃描當(dāng)前地域下哪些工作空間設(shè)置的空間管理員個(gè)數(shù)超過(guò)3。
  	合理分配工作空間成員角色 說(shuō)明 在單個(gè)工作空間內(nèi)，建議一人僅扮演一種角色（專人專職），避免出現(xiàn)一人分飾多種角色而導(dǎo)致的越權(quán)情況。	DataWorks工作空間成員管理	此安全檢測(cè)項(xiàng)為您掃描當(dāng)前地域哪些工作空間下一人被授予多個(gè)角色。建議您參考附錄：預(yù)設(shè)角色權(quán)限列表（空間級(jí)）、DataWorks數(shù)據(jù)開發(fā)介紹及實(shí)踐深入了解各角色用途后進(jìn)行適當(dāng)配置。
  	避免作為調(diào)度訪問(wèn)身份的子賬號(hào)頻繁登錄 說(shuō)明 建議禁止登錄作為引擎調(diào)度訪問(wèn)身份的子賬號(hào)，以免發(fā)生無(wú)關(guān)成員查看引擎關(guān)鍵數(shù)據(jù)的情況。	DataWorks工作空間管理	此安全檢測(cè)項(xiàng)為您掃描當(dāng)前地域哪些工作空間下，作為調(diào)度訪問(wèn)身份的RAM子賬號(hào)近三個(gè)月內(nèi)登錄過(guò)阿里云DataWorks。
  規(guī)范化數(shù)據(jù)生產(chǎn)	進(jìn)行代碼評(píng)審 說(shuō)明 DataWorks提供代碼評(píng)審，標(biāo)準(zhǔn)模式空間開啟強(qiáng)制代碼評(píng)審開關(guān)后，開發(fā)人員提交的節(jié)點(diǎn)必須通過(guò)評(píng)審人審核后才可以發(fā)布。	DataWorks工作空間管理	此安全檢測(cè)項(xiàng)為您掃描當(dāng)前地域哪些工作空間未開啟或配置代碼評(píng)審功能與評(píng)審范圍。您可以參考代碼評(píng)審對(duì)空間進(jìn)行配置。
  	合理安排發(fā)布人員 說(shuō)明 在標(biāo)準(zhǔn)模式空間下，實(shí)際執(zhí)行任務(wù)發(fā)布的人員應(yīng)與任務(wù)開發(fā)者進(jìn)行區(qū)分。	DataWorks工作空間管理	此安全檢測(cè)項(xiàng)為您掃描近30日內(nèi)是否出現(xiàn)任務(wù)僅由同一人開發(fā)并發(fā)布的情況。

• 平臺(tái)安全配置診斷

  提升在數(shù)據(jù)安全通用領(lǐng)域的安全性。

  安全檢測(cè)維度	安全檢測(cè)項(xiàng)	檢測(cè)對(duì)象	檢測(cè)方式
  DataWorks操作行為審計(jì)	DataWorks操作行為審計(jì) 說(shuō)明 DataWorks已支持操作行為審計(jì)，您可以通過(guò)阿里云Action Trail對(duì)用戶在DataWorks上的操作行為進(jìn)行審計(jì)，延時(shí)約為5~10分鐘，詳情請(qǐng)參見(jiàn)：通過(guò)操作審計(jì)查詢行為事件日志。	DataWorks工作空間管理	DataWorks工作空間默認(rèn)擁有該能力。開通操作行為審計(jì)產(chǎn)品后即可記錄DataWorks操作日志。