• 数据分析
  • 数据治理
  • 产品解决方案
  • 行业解决方案
  • 案例
  • 数据资产入表
  • 赋能中心
  • 伙伴
  • 关于

申请试用

睿治

智能数据治理平台

睿治作为国内功能最全的数据治理产品之一,入选IDC企业数据治理实施部署指南。同时,在IDC发布的《中国数据治理市场份额,2022》报告中,蝉联数据治理解决方案市场份额第一。

在线免费试用 DEMO体验 视频介绍

睿治 智能数据治理平台

IDC蝉联数据治理解决方案市场第一

首页数字化转型数据治理第2期 | 数据安全工具建设分享

数据治理第2期 | 数据安全工具建设分享

时间:2022-09-05来源:小怪兽浏览数:143

01前言

本期开始我们来聊一聊数据治理的相关工具,包括资产治理中心、SLA治理中心、安全治理中心和质监监控中心等,本期我们就先来聊一聊数据安全治理工具建设。

02核心理念

灵魂三问:你为什么要做数据安全建设?你为谁做数据安全建设?你做数据安全有什么价值?数据安全的终极目标为:保障数据流通的安全性,促进数据的共享和流通,让数据为业务赋能!

图1:数据安全中心核心建设思路

03工具框架

如图2,整合分散产品,集合权限服务、流程服务、离职转岗服务、安全审计服务、数据流通服务几大方面能力的工具平台,提供综合化安全管控治理服务。

图2:数据安全中心框架设计图

04工具设计

如图3,数据安全工具整体会围绕身份认证、授权、访问控制、行为审计和资产保护来进行设计。

图3:数据安全工具范围

身份认证(Authentication):你是谁,以及怎么证明你是你;

授权(Authorization):

允许/拒绝你对某个对象进行访问/操作;

访问控制(Access Control):

控制措施以及是否放行的执行者;

行为审计(Auditable):

数据血缘可以追溯,用户行为可以审计;

资产保护(Asset Protection):

对数据资产进行立法保护、预防监控等。

1. 身份认证

1.1 账号设计

身份认证包含账号和认证两个部分,如图4,其中账号就是管控对象的身份,比如每个人都有电话、邮箱等,可以作为在登录微信或者QQ时候的账号,账号是保障数据安全的最基本前提。账号通常包含三类,分别是自然人账号、应用/服务账号和组织账号。

图4:账号类型

1.2 账号实践

如图5,对于特定系统,为了保障安全,是不允许用户自己去自行注册的,只能通过BD或者管理员去创建账号,比如:商家CRM系统,创建商家账号,用于商家货品上单和管理;经营参谋,创建分类账号,针对不同类型的账号制定分类授权策略;测试系统,创建测试账号,用于系统测试 。

图5:账号系统设计demo

1.3 认证设计

身份认证包含账号和认证两个部分 ,其中认证就是证明“你妈确实是你妈”的过程。认证通常交给公司内部统一的单点登录系统(SSO)去负责,用户身份认证通常有账号密码认证、电话/邮件验证码认证、第三方认证等。

图6:账号认证的过程

2. 权限管控

2.1 权限模型

权限管控核心是声明人和权限的关系,纵观行业发展,权限管控模型先后经历了以ACL模型为代表的1.0时代和以RBAC模型为代表的2.0时代,现在正式迈入以ABAC模型为核心的3.0时代:

ACL模型:

即Access Control List,直接维护列表中用户与资源的关系从而达到权限管控的目的;

RBAC模型:即Role-Based Access Control,基于角色的访问控制,将用户添加到角色列表从而间接获得对应的权限;

ABAC模型,即Attribute-Based Authorization ,基于属性的授权,通过事先定义好的规则属性来控制用户的权限范围;

TRFAC权限模型,即基于“对象-资源-条件-行为”的权限控制,描述了“XX对象(人/应用/组织/角色等)对 XX资源(页面/菜单/按钮/数据等)在 XX条件/因素(城市=北京等)下拥有 XX行为类型(增删改查等)的权限”。

图7:基础权限模型示意图

2.2 权限系统

图8是基于权限模型设计的权限产品DEMO,核心思路来源于ABAC模型的改良,我命名为TRFAC模型,即基于“对象-资源-条件-行为”的权限控制,描述了“XX对象(人/应用/组织/角色等)对 XX资源(页面/菜单/按钮/数据等)在 XX条件/因素(城市=北京等)下拥有 XX行为类型(增删改查等)的权限”。

图8:权限系统demo

2.3 权限系统鉴权流程

基于TRFAC权限模型,接入权限中心的应用系统的鉴权逻辑如图9。

图9:权限系统鉴权流程

3. 资产保护

账号和认证保证了我知道谁来访问我的数据,权限保证了他能够访问到什么数据,那资产保护就是在给他安装了一个监控的同时,还配置了一个门卫,时刻盯着他以防他干坏事。

图10:资产保护工具组成

3.1 事前预防

事前预防的工具之一是离职转岗交接平台,离职转岗是所有数据安全case中占比最高的环节,设计专门的针对角色、权限、任务、各类型资产的交接回收平台能极大降低风险发生的可能性。

图11:离职转岗交接平台demo

事前预防的第二个工具便是敏感数据识别,如果我们能及时发现诸如电话、身份证号等敏感数据,及时对识别出的数据做出标记和升级,就能封堵住可能的泄露风险。

图12:敏感数据识别demo

事前预防的另外一个工具便是敏感数据脱敏展示/下载,提供针对特定用户查看/下载数据时进行数据脱敏。

图13:数据脱敏工具demo

3.2 事中监控

事中监控主要是针对高风险人群(比如待离职人员、外包账号、实习生等)和高风险行为(比如敏感数据下载、敏感数据查询等)配置监控规则,从而达到及时感知风险进而阻止风险的目的。

图14:报警监控系统

3.3 事后审计

安全风险一旦发生,第一时间找到风险源,追查风险责任人便成了堵住安全漏洞的必要措施,因此设计审计日志查询工具可以解决这个问题。

图15:安全审计工具demo

(部分内容来源网络,如有侵权请联系删除)
立即申请数据分析/数据治理产品免费试用 我要试用

上一篇:云原生时代的软件工程...

下一篇:国家网信办就《网信部门行政执法程序规定》公开征求意见...

  • 相关主题
  • 相关大数据问答
  • 相关大数据知识
公司指标数据清洗转换规则主数据与数据仓库数据仓库环境中有哪些元数据后台系统是数据分析吗数据仓库主数据与中台餐饮商圈分析国内 BI 厂商备件销售 大数据分析主数据服务大数据管理平台有什么好处国家数据质量有没有可视化工具数据目录管理规范

1 企业的哪些数据需要建标准

2 BI解决方案

3 bi决策分析

4 大中型企业在数据资源入表上应该观望还是提前入局?

5 决策表管理信息系统包括

1 如何搭建大数据分析平台?

2 BI报表平台的发展趋势和未来展望

3 商业智能分析的数据来源和处理方式有哪些?

4 为什么要做数据分析?关于数据分析一些应用场景介绍

5 关于主数据管理的概念与实现

数字化转型
推荐文章
基于数字底座的数字化管理平台建设实践与思考
基于数字底座的数字化管理平台建设实践与思考

2023-07-19
新阶段工业互联网演进及数字化转型新路径探索
新阶段工业互联网演进及数字化转型新路径探索

2023-07-14
2023年数字化转型指数报告
2023年数字化转型指数报告

2023-07-12
数据资产目录构建方法与步骤
数据资产目录构建方法与步骤

2023-07-12
数据资产管理在管理理念、组织形态、管理方式、技术架构、管理手段等7方面的发展趋势
数据资产管理在管理理念、组织形态、管理方式、技术架构、管理手段等7方面的发展趋势

2023-07-06
最近文章

场景驱动:面向新质生产力的数据要素市场化配置新机制

我国数据要素市场治理的模式、现状与对策

国家数据局再发声,加快数据产权、交易等制度建设

数据中台在军工制造企业数字化转型过程中的作用和思考

一图看懂数据仓库、数据平台、数据中台、数据湖的内涵和区别!

customer

在线咨询