近年來，在信息技術(shù)支撐下，數(shù)據(jù)經(jīng)濟驅(qū)動著全球各經(jīng)濟體的經(jīng)濟總量不斷增加，“數(shù)據(jù)安全”也已上升到我國國家安全戰(zhàn)略高度。政府部門和企業(yè)持續(xù)加大在數(shù)據(jù)治理、數(shù)據(jù)存儲、數(shù)據(jù)保護、數(shù)據(jù)加密等方面的重視程度和投資力度。作者將基于在業(yè)務(wù)場景中遇到的數(shù)據(jù)安全治理問題，幫助大家理解“數(shù)據(jù)安全”概念，并向大家分享在數(shù)據(jù)安全治理過程中所采用的工具手段和思維思路。

今天的介紹會圍繞下面四點展開：

1. 安全概念
2. 安全目標(biāo)
3. 工具框架
4. 安全治理

一、安全概念

首先和大家介紹一下本文分享范圍內(nèi)的安全概念，了解什么是數(shù)據(jù)安全、數(shù)據(jù)全生命周期，以及安全4A/5A理論。

1. 數(shù)據(jù)安全的定義

(1) 數(shù)據(jù)安全在公司安全中的位置

其實在一個公司里面，安全的概念非常的廣泛，例如公司內(nèi)部會將整個公司的安全分為幾個領(lǐng)域：政治安全、聲譽安全、法規(guī)安全、公共安全、財務(wù)安全、金融安全、信息安全、業(yè)務(wù)安全、內(nèi)容安全。我們看到數(shù)據(jù)安全屬于信息安全的一個子模塊。

(2) 數(shù)據(jù)安全的概念

針對數(shù)據(jù)安全，我們要解決的問題是，在整個數(shù)據(jù)生命周期中，從采集到銷毀過程中所面臨的全部數(shù)據(jù)安全挑戰(zhàn)。換句話說，數(shù)據(jù)安全就是保障數(shù)據(jù)從采集到銷毀的全生命周期中的一切操作符合國家和公司的安全法規(guī)。

2. 數(shù)據(jù)全生命周期的定義

數(shù)據(jù)全生命周期是指數(shù)據(jù)從采集到銷毀的全過程，通常包括以下幾個階段：

1. 數(shù)據(jù)采集：數(shù)據(jù)從客戶端（APP/網(wǎng)頁）中以日志的形式進行收集的過程；
2. 數(shù)據(jù)傳輸：數(shù)據(jù)通過高速通道（kafka）快速集成到服務(wù)器存儲介質(zhì)中的過程；
3. 數(shù)據(jù)存儲：包括各類硬件存儲介質(zhì)和一系列數(shù)倉建模規(guī)范；
4. 數(shù)據(jù)加工：數(shù)據(jù)提取/轉(zhuǎn)化/合并/去重等操作過程；
5. 數(shù)據(jù)交換：數(shù)據(jù)從各類冷/熱存儲引擎中搬來搬去的過程；
6. 數(shù)據(jù)治理：通過產(chǎn)品技術(shù)手段規(guī)范數(shù)據(jù)的完整性、準(zhǔn)確性、時效性等特性的過程；
7. 數(shù)據(jù)應(yīng)用：數(shù)據(jù)應(yīng)用到分析、展示、算法畫像等領(lǐng)域的過程；
8. 數(shù)據(jù)銷毀：數(shù)據(jù)刪除銷毀的過程。

3. 安全4A/5A理論的定義

行業(yè)中比較認(rèn)可的分類方法為身份認(rèn)證、授權(quán)及訪問控制、行為審計、資產(chǎn)保護這4A。通過以上4A理論，可以將數(shù)據(jù)全生命周期中涉及到的安全問題拆分為這四個業(yè)務(wù)場景，如果將四個業(yè)務(wù)問題管控好，結(jié)合鋪展到位的數(shù)據(jù)安全建設(shè)工具和第三方監(jiān)察審計部門對數(shù)據(jù)資產(chǎn)進行監(jiān)察，整個過程會形成一個完整的數(shù)據(jù)安全保護閉環(huán)。

二、安全目標(biāo)

1. 數(shù)據(jù)安全范疇和邊界

目前絕大多數(shù)做數(shù)據(jù)安全相關(guān)工作的人，主要集中在賬號管理-數(shù)據(jù)采集傳輸和安全審計-應(yīng)用消費層面（例如數(shù)據(jù)人物畫像、分析工具、數(shù)據(jù)加工生產(chǎn)等），其中在授權(quán)管理模塊會花費70%~80%的精力。

2. 數(shù)據(jù)安全建設(shè)目標(biāo)

上圖中的數(shù)據(jù)安全建設(shè)目標(biāo)是參考亞馬遜的定義，即數(shù)據(jù)安全會經(jīng)歷三個階段：不信任外網(wǎng)→不信任內(nèi)網(wǎng)→0信任，其含義為：

• 不信任外網(wǎng)：公司的資產(chǎn)和數(shù)據(jù)只對內(nèi)部員工開放，外部員工沒有經(jīng)過公司身份認(rèn)證無法訪問公司的數(shù)據(jù)；
• 不信任內(nèi)網(wǎng)：對于公司內(nèi)部的數(shù)據(jù)會進行分級分類，根據(jù)公司內(nèi)部員工的職責(zé)、崗位和分類去細(xì)分權(quán)限；
• 0信任：數(shù)據(jù)在不經(jīng)過數(shù)據(jù)所有人或產(chǎn)權(quán)人授權(quán)的情況下，無人能夠拿到這個數(shù)據(jù)。

目前絕大部分公司能做好外網(wǎng)隔離，即不信任外網(wǎng)，已是非常不容易，也是性價比最高的建設(shè)目標(biāo)。

三、工具框架

接下來將從身份認(rèn)證、權(quán)限管控、資產(chǎn)保護以及綜合實踐來介紹數(shù)據(jù)安全的工具框架。

1. 身份認(rèn)證

身份認(rèn)證包含賬號和認(rèn)證兩個部分。以下通過這兩部分的設(shè)計和實踐，分別闡述其搭建思維和方法。

（1）賬號設(shè)計

在做身份認(rèn)證之前，最基礎(chǔ)的工作便是完成賬號設(shè)計，搭建賬號系統(tǒng)。我們可以將賬號進行分類，包括自然人賬號，組織賬號，角色賬號，部門賬號，應(yīng)用賬號，還有一些比較小眾的其他賬號，以便實現(xiàn)安全管控的前提——準(zhǔn)確無誤的識別出訪問主體。數(shù)據(jù)安全第一個條件就是要建立起清晰可信準(zhǔn)確的賬號體系。

賬號通常分為三類：

1. 自然人賬號：包含崗位、職級、合同類型以及其他屬性等基本信息的賬號，可以清晰地區(qū)分出公司內(nèi)不同類型的員工。
2. 組織賬號：通過組織身份或者業(yè)務(wù)線形態(tài)對系統(tǒng)進行訪問，組織內(nèi)部通常是多種詳細(xì)分工角色的集合，需要在底層建設(shè)時就搭建好框架。
3. 應(yīng)用/服務(wù)賬號：通過APP/服務(wù)進行數(shù)據(jù)訪問，也通過該賬號來進行后續(xù)的消費和應(yīng)用。

當(dāng)我們設(shè)計好賬號，搭建好系統(tǒng)，便可以進入實踐步驟。在安全中心中，有賬號申請模塊，即賬號注冊工具，其功能為：在信息安全部以及IT支持部門，錄入信息，生成SSO，完成基礎(chǔ)服務(wù)支持。

（2）認(rèn)證設(shè)計

身份認(rèn)證的第二個部分是認(rèn)證。認(rèn)證方式有密碼認(rèn)證、微信/支付號第三方認(rèn)證、電話/郵件驗證碼認(rèn)證等方式。這些認(rèn)證方式的底層結(jié)構(gòu)都和上圖流程圖類似，分三個系統(tǒng)：SSO、應(yīng)用系統(tǒng)、權(quán)限系統(tǒng)：

• 應(yīng)用系統(tǒng)：用戶通過一個應(yīng)用系統(tǒng)登錄，應(yīng)用系統(tǒng)會分別與SSO和權(quán)限系統(tǒng)交互，獲取用戶信息和數(shù)據(jù)權(quán)限信息，并將有權(quán)限的數(shù)據(jù)內(nèi)容返回給用戶。
• SSO：單點登錄系統(tǒng)的加密存儲用戶信息數(shù)據(jù)庫，主要存儲用戶的賬號密碼等用戶信息。
• 權(quán)限系統(tǒng)：用于查看申請數(shù)據(jù)內(nèi)容的用戶是否有請求該數(shù)據(jù)內(nèi)容的權(quán)限，會給應(yīng)用系統(tǒng)返回鑒定結(jié)果。

在實踐中，可以通過合理設(shè)置SSO實現(xiàn)“0信任”的方式，來解決例如第三方BD需登錄商家后臺去幫助商家處理問題存在的潛在安全問題。

具體的可以設(shè)置多方SSO：內(nèi)部員工SSO、第三方合作商BSSO、外部用戶CSSO。然后第三方BD通過BSSO認(rèn)證系統(tǒng)登錄并申請外部用戶的短信認(rèn)證，以此取代傳統(tǒng)使用商家的賬號密碼去登錄的方式，做到“0信任”，降低安全風(fēng)險。

2. 權(quán)限管控

當(dāng)我們要對一個業(yè)務(wù)系統(tǒng)進行訪問和操作時，要經(jīng)過權(quán)限管控環(huán)節(jié)，在該環(huán)節(jié)聲明用戶與權(quán)限的關(guān)系。將介紹它的幾個迭代模型和實踐示例。

權(quán)限管控模型先后經(jīng)歷了三個時期：ACL模型、RBAC模型、ABAC模型：

• ACL模型：即Access Control List，直接維護列表中用戶與資源的關(guān)系從而達(dá)到權(quán)限管控的目的。缺點是隨著業(yè)務(wù)體量的增加，職級崗位復(fù)雜度提高，數(shù)據(jù)量增加，該模型的效率低下。
• RBAC模型：即Role-Based Access Control，基于角色的訪問控制，將用戶添加到角色列表從而間接獲得對應(yīng)的權(quán)限。將角色和權(quán)限建立權(quán)限關(guān)系，用戶和權(quán)限形成間接的關(guān)系，在ACL模型的基礎(chǔ)上，提高了效率。
• ABAC模型：即Attribute-Based Access Control，基于屬性的授權(quán)，通過事先定義好的規(guī)則屬性來控制用戶的權(quán)限范圍。與RBAC模型相比，其定義空間更大，可以抽象出更具體和差異化的控制條件，建立屬性與權(quán)限的權(quán)限關(guān)系。

上圖是一個基于ABAC權(quán)限模型改良的TRFAC模型設(shè)計的權(quán)限產(chǎn)品DEMO，包含獲權(quán)方和資源列表。獲權(quán)方可以是用戶、用戶組、角色、部門、應(yīng)用和其他，還可以增加一些附屬條件。該模型基于“對象-資源-條件-行為”的權(quán)限控制，描述了“xx對象（人/應(yīng)用/組織/角色等）對xx資源（頁面/菜單/按鈕/數(shù)據(jù)等）在xx條件/因素（城市=北京等）下?lián)碛衳x行為類型（增刪改查等）的權(quán)限”。

上圖即為TRFAC模型權(quán)限系統(tǒng)健全的流程，需方和供方分別使用業(yè)務(wù)系統(tǒng)和權(quán)限中心以API為橋梁接口進行交互，互相傳輸請求和返回結(jié)果。

3. 資產(chǎn)保護

為防止有權(quán)限的用戶將數(shù)據(jù)不合規(guī)的泄露和傳播，需要建立資產(chǎn)保護體系，以下介紹資產(chǎn)保護模塊的設(shè)計思路和實踐示例。

在整個資產(chǎn)保護模塊中，主要分為事前預(yù)防-事中監(jiān)控-事后審計三部分。

(1) 事前預(yù)防

工具主要包含：

• 離職轉(zhuǎn)崗交接平臺：80%的數(shù)據(jù)安全case都發(fā)生在離職轉(zhuǎn)崗環(huán)節(jié)，設(shè)計專門的針對角色、權(quán)限、任務(wù)、各類型資產(chǎn)的交接回收平臺能極大降低風(fēng)險發(fā)生的可能性。
• 敏感數(shù)據(jù)識別：有利于我們及時發(fā)現(xiàn)諸如電話、身份證號等敏感數(shù)據(jù)，及時對識別出的數(shù)據(jù)做出標(biāo)記和升級，就能堵住可能的泄露風(fēng)險。其實現(xiàn)方法主要是底層算法邏輯結(jié)合前端界面，然后根據(jù)目標(biāo)數(shù)據(jù)庫進行敏感數(shù)據(jù)識別。
• 敏感數(shù)據(jù)脫敏展示/下載：針對特定用戶查看/下載數(shù)據(jù)時進行數(shù)據(jù)脫敏。

(2) 事中監(jiān)控

在事中監(jiān)控環(huán)節(jié)，是在事前預(yù)防的敏感數(shù)據(jù)識別和敏感數(shù)據(jù)脫敏展示/下載配置好的基礎(chǔ)上，進行監(jiān)控。針對高風(fēng)險人群（比如待離職人員、外包賬號、實習(xí)生等）和高風(fēng)險行為（敏感數(shù)據(jù)下載和查詢）配置監(jiān)控規(guī)則，設(shè)置閾值，感知風(fēng)險并阻止風(fēng)險。

（3）事后審計

事中監(jiān)控一旦檢測到風(fēng)險或者安全風(fēng)險已經(jīng)發(fā)生，通過設(shè)計審計日志查詢工具對風(fēng)險進行追責(zé)以及及時堵住安全漏洞。

4. 綜合實踐

上面介紹了身份認(rèn)證、權(quán)限管控和資產(chǎn)保護，在現(xiàn)實業(yè)務(wù)中往往是復(fù)雜的綜合性業(yè)務(wù)問題，因此以下將介紹從數(shù)據(jù)的采集、存儲、生產(chǎn)、加工、治理，到數(shù)據(jù)的應(yīng)用、分析、服務(wù)，即加工層到應(yīng)用層的框架模型。

在實際業(yè)務(wù)場景中，往往不是單一的賬號、認(rèn)證、權(quán)限等管控需求，而是綜合了賬號、認(rèn)證、權(quán)限、隔離等交叉需求的綜合場景，比如加工層的“賬號-工作空間-項目空間”的三級劃分結(jié)構(gòu)。又比如應(yīng)用層SaaS系統(tǒng)中超級餐飲連鎖企業(yè)使用的CRM系統(tǒng)。

加工層，也叫作工作空間-項目組體系：

• 工作空間：面向不同崗位角色（分析師、產(chǎn)品、RD等），集成各類分場景工具，提供相應(yīng)的分析、加工和應(yīng)用服務(wù)能力的虛擬綜合工作場所，用戶可以按照自己的崗位屬性選擇相應(yīng)場景的工具和數(shù)據(jù)開展工作；
• 項目組：工作空間的組成單元，劃分了數(shù)據(jù)存儲、計算資源，整合了權(quán)限、數(shù)據(jù)資產(chǎn)，將相同發(fā)任務(wù)的人員集合一個組，共同進行數(shù)據(jù)生產(chǎn)、加工和治理；項目組內(nèi)根據(jù)需求還可以進一步細(xì)分出角色和權(quán)限分配。

當(dāng)遇到不同業(yè)務(wù)線，具有不同的組織架構(gòu)劃分，有時候細(xì)化出不同的角色時，我們就需要采用應(yīng)用層，是工作空間制下，由業(yè)務(wù)線組織決策分類管控的體系。

應(yīng)用層的一個典型特點就是組織層級復(fù)雜，角色多樣，比如類似于麥當(dāng)勞這種國際超級餐飲企業(yè)，從“全球總部-大區(qū)總部-區(qū)域總代-門店”劃分出多級組織體系，同時又有直營和加盟等不同組織性質(zhì)，所以數(shù)據(jù)中臺為了滿足這類業(yè)務(wù)團隊關(guān)于組織賬號和權(quán)限的需求時，就需要考慮組織-角色的多級體系。同時，一個角色在不同組織所擁有的權(quán)限也是不一樣的。

四、安全治理

1. 核心理念

靈魂三問：你為什么要做數(shù)據(jù)安全建設(shè)？你為誰做數(shù)據(jù)安全建設(shè)？你做數(shù)據(jù)安全有什么價值？

回答：數(shù)據(jù)安全不僅是在保護數(shù)據(jù)不泄露，其終極目標(biāo)是在保障數(shù)據(jù)流通的安全性，促進數(shù)據(jù)的共享和流通，讓數(shù)據(jù)為業(yè)務(wù)賦能！

2. 實施策略

安全治理的重要性不言而喻，其實施策略主要分為下列幾步：標(biāo)準(zhǔn)立法、工具支持、運營第三方數(shù)據(jù)安全治理。

（1）標(biāo)準(zhǔn)立法

安全治理的第一步為標(biāo)準(zhǔn)立法，需要借助國家的安全法規(guī)和企業(yè)建立的相應(yīng)的安全規(guī)范，滿足數(shù)據(jù)全生命周期各個環(huán)節(jié)的標(biāo)準(zhǔn)和數(shù)據(jù)應(yīng)用環(huán)節(jié)的標(biāo)準(zhǔn)。

（2）工具支持

其次安全中心會提供一整套包括權(quán)限服務(wù)、資產(chǎn)交接、流程服務(wù)、安全監(jiān)察、數(shù)據(jù)流通等工具。整合分散產(chǎn)品，集合權(quán)限服務(wù)、流程服務(wù)、離職轉(zhuǎn)崗服務(wù)、安全審計服務(wù)、數(shù)據(jù)流通服務(wù)幾大方面能力的工具平臺，提供綜合化安全管控治理服務(wù)。

關(guān)于數(shù)據(jù)流通目前有兩種方案，各有利弊：

• A方案：只提供工具和平臺，各個業(yè)務(wù)可以注冊使用不同部分，將其數(shù)據(jù)上傳對外，但是平臺不會管理其交易。
• B方案：作為平臺方，將各個業(yè)務(wù)線的數(shù)據(jù)統(tǒng)一收口到平臺，由平臺方進行綜合規(guī)范和治理，業(yè)務(wù)方如有數(shù)據(jù)需求，再將數(shù)據(jù)授權(quán)。

(3) 運營第三方數(shù)據(jù)安全治理

最后一個模塊為運營第三方數(shù)據(jù)安全治理，主要分為四大塊：組織保障、落地路徑、運營策略和基礎(chǔ)保障。

我們可以將數(shù)據(jù)安全中心運營目標(biāo)整體分為三個：

1. 培養(yǎng)和建立用戶心智，完成組織保障；
2. 推動各業(yè)務(wù)團隊將所屬數(shù)據(jù)納入數(shù)據(jù)市場，統(tǒng)一取數(shù)流程；
3. 制定標(biāo)準(zhǔn)和定責(zé)追溯的SOP，提升安全治理能力。