数据治理数据安全工具建设分享

数据治理I数据安全工具建设分享

)1

前言

本期我们就先来聊一聊数据安全治理工具建设。

阳

核心理念

灵魂三问：你为什么要做数据安全建设？你为谁做数据安全建设？你做数

据安全有什么价值？数据安全的终极目标为：保障数据流通的安全性，促

进数据的共享和流通，让数据为业务赋能！

数据安全中心核心建设思想

◎一个组织数据安全治理委员会

工具建设安全运营

敢据资产分级治理

口2

聪两个分支

I•作日息审计

数据流通体系数据安全体系

品三个体系

图1:数据安全中心核心建设思路

)3

工具框架

如图2,整合分散产品，集合权限服务、流程服务、离职转岗服务、安全

审计服务、数据流通服务几大方面能力的工具平台，提供综合化安全管控

治理服务。

DSC门户[■页入口导匚]（帮助文K客服反馈

流程服务我的申谪一我的待办j/我的已办审批流程配置

首

页

看监控

板概览

数据流通I数据市场J1铺位管理I流通英雄榜

图2：数据安全中心框架设计图

32

工具设计

如图3,数据安全工具整体会围绕身份认证、授权、访问控制、行为审计

和资产保护来进行设计。

图3：数据安全工具范围

•身份认证(Authentication)：你是谁，以及怎么证明你是你;

•授权(Authorization)：

允许/拒绝你对某个对象进行访问/操作：

•访问控制(AccessControl)：

控制措施以及是否放行的执行者；

•行为审计(Auditable)：

数据血缘可以追溯，用户行为可以审计；

•资产保护(AssetProtection)：

对数据资产进行立法保护、预防监控等。

1.身份认证

1.1账号设计

身份认证包含账号和认证两个部分，如图4,其中账号就是管控对象的身

份，比如每个人都有电话、邮箱等，可以作为在登录微信或者QQ时候的

账号，账号是保障数据安全的最基本前提。账号通常包含三类，分别是自

然人账号、应用/服务账号和组织账号。

图4：账号类型

1.2账号实践

如图5,对于特定系统，为了保障安全，是不允许用户自己去自行注册

的，只能通过BD或者管理员去创建账号，比如：商家CRM系统，创建商

家账号，用于商家货品上单和管理；经营参谋，创建分类账号，针对不同

类型的账号制定分类授权策略；测试系统，创建测试账号，用于系统测

试。

toooXX安全中心■■页

0♦号审谪赛号类T

馥■有的权网

&员工雅号；。外包员工番号⑥正式员工酷号。实习生修号。■职员工晨号

权照申谪

。加总高段号。・雪图京雅号。司机・修号

我H有的权Gman-0合作同赛号

已失效权

m用户藏号:。用户陛号0用户建号

©我■理的权网

赛号京色

主动授权

◎超级管理员。组枳■理员。普通成员

权■设・

枚VR回收

—息

联号ID：123456789

瓶号名林：11

手机号:

邮福：

密码：

申谪理由:

通如公告

三・断・菜，

图5：账号系统设计demo

1.3认证设计

身份认证包含账号和认证两个部分，其中认证就是证明“你妈确实是你妈”

的过程。认证通常交给公司内部统一的单点登录系统（SSO）去负责，用

户身份认证通常有账号密码认证、电话/邮件验证码认证、第三方认证等。

权限系统

⑧T/F

©Ticket

图6：账号认证的过程

2.权限管控

2.1权限模型

权限管控核心是声明人和权限的关系，纵观行'也发展，权限管控模型先后

经历了以ACL模型为代表的1.0时代和以RBAC模型为代表的2.0时代，

现在正式迈入以ABAC模型为核心的3.0时代：

•ACL模型：

即AccessControlList,直接维护列表中用户与资源的关系从而达到权限管

控的目的：

•RBAC模型：即Role-BasedAccessControl,基于角色的访问控制，将用户

添加到角色列表从而间接获得对应的权限；

•ABAC模型,即Attribute-BasedAuthorization,基于属性的授权,通过事

先定义好的规则属性来控制用户的权限范围；

•TRFAC权限模型，即基于“对象.资源.条件.行为”的权限控制，描述了“XX

对象（人/应用/组织/角色等）对XX资源（页面/菜单/按钮/数据等）在XX

条件/因素（城市二北京等）下拥有XX行为类型（增删改杳等）的权限”。

基础权限模型示意图

获权方

部门：原?

图7：基础权限模型示意图

2.2权限系统

图8是基于权限模型设计的权限产品DEMO,核心思路来源于ABAC模型

的改良，我命名为TRFAC模型，即基于“对象-资源■条件■行为”的权限控

制，描述了“XX对象（人/应用/组织/角色等）对XX资源（页面/菜单/按钮

/数据等）在XX条件/因素（城市二北京等）下拥有XX行为类型（增删改

查等）的权限”。

・极HI中心A■页

?权总申谪反权方

I"'1―/”—

©权败,皆

戒的权威

壬动授权南博列表

权总漕*♦■“■

权原设・•BUM

只用户税・镇«aaSV««・♦・・鲁■—八—/lamee-or.t*(i60・0，

KOTOHMVMMT9.。・0，

8平台搜入MMI・aI•■6roa9rBMctCZ^3Sa«

g.nCOMS

平台管理MMLS9・

MM■，tMOMrtjwvltaia./wmu*

贾源・理

■MMAMIHMIfl■于■■费・■«*，9.fWUMfte«。・

费普包・理H.rMnmK。・e«

MXKX*»eg.rumJiBM

•申谪朦因

■・安至敏定

三・折・R・

图8：权限系统demo

2.3权限系统鉴权流程

基于TRFAC权限模型，接入权限中心的应用系统的鉴权逻辑如图9o

鉴权流程示意图

需方

申请权限

0

△主动授权伸批申请••

使用

API

触发：进入页面/点击按钮嵌取数据…

传递：资源ID,userID

业务系统

API

<

结论：true/false

条件:城市=北京

动作：增/删做/查

图9：权限系统鉴权流程

3.资产保护

账号和认证保证了我知道谁来访问我的数据，权限保证了他能够访问到什

么数据，那资产保护就是在给他安装了一个监控的同时，还配置了一个门

卫，时刻盯着他以防他干坏事。

事前预防事中监控I

工具保障工具保障

敏感识别报警风险行为监控

离职转岗回收风险行为报警

安全分级治理

风险行为熔断

敏感信息脱敏

立法保障组织保障

:完善立法安全监察组

、

―一•

:普法/恐吓:安全管理员

图10：资产保护工具组成

3.1事前预防

事前预防的工具之一是离职转岗交接平台，离职转岗是所有数据安全case

中占比最高的环节，设计专门的针对角色、权限、任务、各类型资产的交

接回收平台能极大降低风险发生的可能性。

UM»XX安全中心A■页

我所■的费产1粮下■的资产我管理的窗产

g费产保护

城研费产类诲

够角色。任务。枚IBOHtVEft

风It识别

安全曾陵

安全・计费户列袤

面爆追渊

t*t]♦BTl/MBD10•JB—dBI

行为・计

制a宣词

EZS3

□MO/MG■CUB■raw

□W1xxxxxxxxxxxxxxxxxxx

□W1Hhe«xxxxxxxxxxxxxxxxxxxxxxxxxxx

□MT1n«xxxxxxxxxxxxxxxxxxxxxxxxxxx

□MklK»W*XXXXXXXXXXXXXXXX)OOOQO(XXXXX

□MHXXXXXXCTxxxxxyxxxrocxxxxxxxy

o«0n■■xxxxxxxx

□*snxxxxxxxxxxxxxxxxxxxxxxxxxxx

□MnHtvMIxxxxxxxx

□Mkl«*xxxxxxxx

□*W1MHHIxxxxxxxx

通知公告

・所

图11：离职转岗交接平台demo

事前预防的第二个工具便是敏感数据识别，如果我们能及时发现诸如电

话、身份证号等敏感数据，及时对识别出的数据做出标记和升级，就能封

堵住可能的泄露风险。

LOGOXX安全中心，首页

0费产移交

esa«KB(7«)■苫巳设■■累享用,•

g费产保F

■■■■裳电(不・J

壮雄脱❸

争..fnobM

风H识别

Q8<nanw)

安生也修««

©安箜审计

血0追iff

行为・计

图12：敏感数据识别demo

事前预防的另外一个工具便是敏感数据脱敏展示/下教，提供针对特定用户

查看/下载数据时进夕亍数据脱敏。

XX安全中心

新建脱敏任务

STEP1：选择数据源

・选择故

STEP2：选择数据衷

•选择数帚寰5-[wamara

STEP3：选译需要脱敏的字段

*透捋脱U字段|谪羽播字收

STEP4：选择脱轴方式

•o«»