分享嘉宾:马小阳 产品经理
编辑整理:陈妃君 深圳大学
出品平台:DataFunTalk
导读:近年来,在信息技术支撑下,数据经济驱动着全球各经济体的经济总量不断增加,“数据安全”也已上升到我国国家安全战略高度。政府部门和企业持续加大在数据治理、数据存储、数据保护、数据加密等方面的重视程度和投资力度。今天我将基于在业务场景中遇到的数据安全治理问题,帮助大家理解“数据安全”概念,并向大家分享在数据安全治理过程中所采用的工具手段和思维思路。
今天的介绍会围绕下面四点展开:
-
安全概念
-
安全目标
-
工具框架
-
安全治理
首先和大家介绍一下本文分享范围内的安全概念,了解什么是数据安全、数据全生命周期,以及安全4A/5A理论。
1. 数据安全的定义
(1) 数据安全在公司安全中的位置
其实在一个公司里面,安全的概念非常的广泛,例如公司内部会将整个公司的安全分为几个领域:政治安全、声誉安全、法规安全、公共安全、财务安全、金融安全、信息安全、业务安全、内容安全。我们看到数据安全属于信息安全的一个子模块。
(2) 数据安全的概念
针对数据安全,我们要解决的问题是,在整个数据生命周期中,从采集到销毁过程中所面临的全部数据安全挑战。换句话说,数据安全就是保障数据从采集到销毁的全生命周期中的一切操作符合国家和公司的安全法规。
2. 数据全生命周期的定义
数据全生命周期是指数据从采集到销毁的全过程,通常包括以下几个阶段:
-
数据采集:数据从客户端(APP/网页)中以日志的形式进行收集的过程;
-
数据传输:数据通过高速通道(kafka)快速集成到服务器存储介质中的过程;
-
数据存储:包括各类硬件存储介质和一系列数仓建模规范;
-
数据加工:数据提取/转化/合并/去重等操作过程;
-
数据交换:数据从各类冷/热存储引擎中搬来搬去的过程;
-
数据治理:通过产品技术手段规范数据的完整性、准确性、时效性等特性的过程;
-
数据应用:数据应用到分析、展示、算法画像等领域的过程;
-
数据销毁:数据删除销毁的过程。
3. 安全4A/5A理论的定义
行业中比较认可的分类方法为身份认证、授权及访问控制、行为审计、资产保护这4A。通过以上4A理论,可以将数据全生命周期中涉及到的安全问题拆分为这四个业务场景,如果将四个业务问题管控好,结合铺展到位的数据安全建设工具和第三方监察审计部门对数据资产进行监察,整个过程会形成一个完整的数据安全保护闭环。
1. 数据安全范畴和边界
目前绝大多数做数据安全相关工作的人,主要集中在账号管理-数据采集传输和安全审计-应用消费层面(例如数据人物画像、分析工具、数据加工生产等),其中在授权管理模块会花费70%~80%的精力。
2. 数据安全建设目标
上图中的数据安全建设目标是参考亚马逊的定义,即数据安全会经历三个阶段:不信任外网→不信任内网→0信任,其含义为:
-
不信任外网:公司的资产和数据只对内部员工开放,外部员工没有经过公司身份认证无法访问公司的数据;
-
不信任内网:对于公司内部的数据会进行分级分类,根据公司内部员工的职责、岗位和分类去细分权限;
-
0信任:数据在不经过数据所有人或产权人授权的情况下,无人能够拿到这个数据。
目前绝大部分公司能做好外网隔离,即不信任外网,已是非常不容易,也是性价比最高的建设目标。
接下来将从身份认证、权限管控、资产保护以及综合实践来介绍数据安全的工具框架。
1. 身份认证
身份认证包含账号和认证两个部分。以下通过这两部分的设计和实践,分别阐述其搭建思维和方法。
(1) 账号设计
在做身份认证之前,最基础的工作便是完成账号设计,搭建账号系统。我们可以将账号进行分类,包括自然人账号,组织账号,角色账号,部门账号,应用账号,还有一些比较小众的其他账号,以便实现安全管控的前提——准确无误的识别出访问主体。数据安全第一个条件就是要建立起清晰可信准确的账号体系。
账号通常分为三类:
-
自然人账号:包含岗位、职级、合同类型以及其他属性等基本信息的账号,可以清晰地区分出公司内不同类型的员工。
-
组织账号:通过组织身份或者业务线形态对系统进行访问,组织内部通常是多种详细分工角色的集合,需要在底层建设时就搭建好框架。
-
应用/服务账号:通过APP/服务进行数据访问,也通过该账号来进行后续的消费和应用。
当我们设计好账号,搭建好系统,便可以进入实践步骤。在安全中心中,有账号申请模块,即账号注册工具,其功能为:在信息安全部以及IT支持部门,录入信息,生成SSO,完成基础服务支持。
(2) 认证设计
身份认证的第二个部分是认证。认证方式有密码认证、微信/支付号第三方认证、电话/邮件验证码认证等方式。这些认证方式的底层结构都和上图流程图类似,分三个系统:SSO、应用系统、权限系统:
-
应用系统:用户通过一个应用系统登录,应用系统会分别与SSO和权限系统交互,获取用户信息和数据权限信息,并将有权限的数据内容返回给用户。
-
SSO:单点登录系统的加密存储用户信息数据库,主要存储用户的账号密码等用户信息。
-
权限系统:用于查看申请数据内容的用户是否有请求该数据内容的权限,会给应用系统返回鉴定结果。
在实践中,可以通过合理设置SSO实现“0信任”的方式,来解决例如第三方BD需登录商家后台去帮助商家处理问题存在的潜在安全问题。
具体的可以设置多方SSO:内部员工SSO、第三方合作商BSSO、外部用户CSSO。然后第三方BD通过BSSO认证系统登录并申请外部用户的短信认证,以此取代传统使用商家的账号密码去登录的方式,做到“0信任”,降低安全风险。
2. 权限管控
当我们要对一个业务系统进行访问和操作时,要经过权限管控环节,在该环节声明用户与权限的关系。将介绍它的几个迭代模型和实践示例。
权限管控模型先后经历了三个时期:ACL模型、RBAC模型、ABAC模型:
-
ACL模型:即Access Control List,直接维护列表中用户与资源的关系从而达到权限管控的目的。缺点是随着业务体量的增加,职级岗位复杂度提高,数据量增加,该模型的效率低下。
-
RBAC模型:即Role-Based Access Control,基于角色的访问控制,将用户添加到角色列表从而间接获得对应的权限。将角色和权限建立权限关系,用户和权限形成间接的关系,在ACL模型的基础上,提高了效率。
-
ABAC模型:即Attribute-Based Access Control,基于属性的授权,通过事先定义好的规则属性来控制用户的权限范围。与RBAC模型相比,其定义空间更大,可以抽象出更具体和差异化的控制条件,建立属性与权限的权限关系。
上图是一个基于ABAC权限模型改良的TRFAC模型设计的权限产品DEMO,包含获权方和资源列表。获权方可以是用户、用户组、角色、部门、应用和其他,还可以增加一些附属条件。该模型基于“对象-资源-条件-行为”的权限控制,描述了“xx对象(人/应用/组织/角色等)对xx资源(页面/菜单/按钮/数据等)在xx条件/因素(城市=北京等)下拥有xx行为类型(增删改查等)的权限”。
上图即为TRFAC模型权限系统健全的流程,需方和供方分别使用业务系统和权限中心以API为桥梁接口进行交互,互相传输请求和返回结果。
3. 资产保护
为防止有权限的用户将数据不合规的泄露和传播,需要建立资产保护体系,以下介绍资产保护模块的设计思路和实践示例。
在整个资产保护模块中,主要分为事前预防-事中监控-事后审计三部分。
(1) 事前预防
工具主要包含:
-
离职转岗交接平台:80%的数据安全case都发生在离职转岗环节,设计专门的针对角色、权限、任务、各类型资产的交接回收平台能极大降低风险发生的可能性。
-
敏感数据识别:有利于我们及时发现诸如电话、身份证号等敏感数据,及时对识别出的数据做出标记和升级,就能堵住可能的泄露风险。其实现方法主要是底层算法逻辑结合前端界面,然后根据目标数据库进行敏感数据识别。
-
敏感数据脱敏展示/下载:针对特定用户查看/下载数据时进行数据脱敏。
(2) 事中监控
在事中监控环节,是在事前预防的敏感数据识别和敏感数据脱敏展示/下载配置好的基础上,进行监控。针对高风险人群(比如待离职人员、外包账号、实习生等)和高风险行为(敏感数据下载和查询)配置监控规则,设置阈值,感知风险并阻止风险。
(3) 事后审计
事中监控一旦检测到风险或者安全风险已经发生,通过设计审计日志查询工具对风险进行追责以及及时堵住安全漏洞。
4. 综合实践
上面介绍了身份认证、权限管控和资产保护,在现实业务中往往是复杂的综合性业务问题,因此以下将介绍从数据的采集、存储、生产、加工、治理,到数据的应用、分析、服务,即加工层到应用层的框架模型。
在实际业务场景中,往往不是单一的账号、认证、权限等管控需求,而是综合了账号、认证、权限、隔离等交叉需求的综合场景,比如加工层的“账号-工作空间-项目空间”的三级划分结构。又比如应用层SaaS系统中超级餐饮连锁企业使用的CRM系统。
加工层,也叫作工作空间-项目组体系:
-
工作空间:面向不同岗位角色(分析师、产品、RD等),集成各类分场景工具,提供相应的分析、加工和应用服务能力的虚拟综合工作场所,用户可以按照自己的岗位属性选择相应场景的工具和数据开展工作;
-
项目组:工作空间的组成单元,划分了数据存储、计算资源,整合了权限、数据资产,将相同发任务的人员集合一个组,共同进行数据生产、加工和治理;项目组内根据需求还可以进一步细分出角色和权限分配。
当遇到不同业务线,具有不同的组织架构划分,有时候细化出不同的角色时,我们就需要采用应用层,是工作空间制下,由业务线组织决策分类管控的体系。
应用层的一个典型特点就是组织层级复杂,角色多样,比如类似于麦当劳这种国际超级餐饮企业,从“全球总部-大区总部-区域总代-门店”划分出多级组织体系,同时又有直营和加盟等不同组织性质,所以数据中台为了满足这类业务团队关于组织账号和权限的需求时,就需要考虑组织-角色的多级体系。同时,一个角色在不同组织所拥有的权限也是不一样的。
1. 核心理念
灵魂三问:你为什么要做数据安全建设?你为谁做数据安全建设?你做数据安全有什么价值?
回答:数据安全不仅是在保护数据不泄露,其终极目标是在保障数据流通的安全性,促进数据的共享和流通,让数据为业务赋能!
2. 实施策略
安全治理的重要性不言而喻,其实施策略主要分为下列几步:标准立法、工具支持、运营第三方数据安全治理。
(1) 标准立法
安全治理的第一步为标准立法,需要借助国家的安全法规和企业建立的相应的安全规范,满足数据全生命周期各个环节的标准和数据应用环节的标准。
(2) 工具支持
其次安全中心会提供一整套包括权限服务、资产交接、流程服务、安全监察、数据流通等工具。整合分散产品,集合权限服务、流程服务、离职转岗服务、安全审计服务、数据流通服务几大方面能力的工具平台,提供综合化安全管控治理服务。
关于数据流通目前有两种方案,各有利弊:
-
A方案:只提供工具和平台,各个业务可以注册使用不同部分,将其数据上传对外,但是平台不会管理其交易。 -
B方案:作为平台方,将各个业务线的数据统一收口到平台,由平台方进行综合规范和治理,业务方如有数据需求,再将数据授权。
(3) 运营第三方数据安全治理
最后一个模块为运营第三方数据安全治理,主要分为四大块:组织保障、落地路径、运营策略和基础保障。
我们可以将数据安全中心运营目标整体分为三个:
-
培养和建立用户心智,完成组织保障;
-
推动各业务团队将所属数据纳入数据市场,统一取数流程;
-
制定标准和定责追溯的SOP,提升安全治理能力。
Q:安全分级,到底是在业务侧达标还是在平台上达标?
A:问题的本质就在于,数据从业务进行采集、产生、传导到平台的过程当中,到底由谁来判定达没达标?其实如果我们不做好血缘的串联,各种数据来源,从字段再到表级的串联的话,意味着你只要产生一个具体的实体数据,你的安全达标就会失效。你在业务侧达标,当你右侧的数据被引用到下游某个业务表,其实业务表比方打的是C4,在下游业务表它有权限打成C1。
Q:数据资产保护和数据资产管理是怎么定义边界的?
A:保护指的是安全,管理指的是治理。很多公司将安全和治理放在不同的团队,也有的公司没有治理团队,只有加工层和应用层团队。个人认为,数据治理适合加工和应用团队同等重要的第三个组,数据治理的范畴包括口径治理、规范性治理、安全治理和资源资产治理。安全是属于治理的一部分,数据安全是数据治理的一个分支。
Q:BI展示脱敏是实时处理的吗?
A:在BI系统里,我们从数据库获取数据到展示分析的过程,大多数是通过离线调取实现的,管理员会选定其脱敏范围,比如BI系统下某个数据源某个库的某张表,然后配置脱敏方式,就会在数据通过调度系统时,进行脱敏。例如采用SQL语句进行查询,在提交计算之后,后台系统就进行扫描其代码是否含有敏感数据,如果有,则会触发审计和监控。主要两种实现方式:①定制化的硬编码,应用于比较高明的数据;②配置系统,允许业务去配一些轻量级系统去触发审计和监控。
今天的分享就到这里,谢谢大家。
在文末分享、点赞、在看,给个3连击呗~
分享嘉宾:
本文转载自马小阳 DataFunTalk,原文链接:https://mp.weixin.qq.com/s/yLG3Ni0dXyTYSX86XypgsA。
