数据安全是实现隐私保护的最重要手段之一。数据安全并不是一个独立的要素，而是需要连同网络安全、系统安全、业务安全等多种因素，只有全部都做好了，才能最终达到数据安全的效果。

随着AI、DT时代的来临，传统企业越来越重视数据，并逐步的开始对内部数据的进行互联，其核心是通过数据的集成、同步，来连接各个业务系统的流程以及通过对数据的二次加工，创造更大的价值。

本质上，数据作为一种生产资料，加入到企业的生产过程中，并成为重要的能源。但数据本身，在生产过程中可能因人为管理的不善、生产过程的控制不善带来各类风险，并可能会在输出的产品和服务中输出风险。如内部人员导致的大规模的数据泄露、数据质量引起的业务系统故障风险、产品和服务暴露个人隐私。

因此我们迫切的需要建立针对数据流动和使用的风险控制体系，需要一整套的规范、数据分类管理体系、场景控制流程、可追溯体系、数据风险识别和度量体系、检测体系。用来防范内部各种涉及数据的生产系统以及人员的不规范行为，导致的各类数据风险。

我们接下来讲下构建数据安全体系的话，需要解决的一些痛点问题：

01 数据访问风险

1、缺乏统一账号管理：大数据组件较多，各自一套，缺乏统一用户账号体系。

2、缺失身份认证管理：大数据组件鉴别访问身份薄弱，对大数据访问入口缺乏有效的身份认证手段。

3、数据授权能力弱：数据使用缺乏细粒度授权方式和精细化的权限控制保护机制。

02 数据流动风险

1、缺乏审计溯源能力：大数据组件审计能力薄弱，缺乏对数据流动的全面双向审计溯源能力。

2、数据保护能力弱：缺乏对数据使用和导出的风险控制能力和脱敏保护机制。

03 数据运维风险

1、数据管理成本大：各类数据汇聚，数据量大种类繁杂，数据资产梳理难，缺乏敏感数据的分类分级手段。

2、运维行为缺乏监督：系统管理员和运维管理员权限巨大，其操作行为缺乏有效的监督和控制以及追责能力。

3、高危操作缺乏管控：一些特定的高危操作没有做到拦截，容易造成误删库的后果。

针对以上的痛点， DataSimba（奇点云自研的一站式大数据智能服务平台）提供了一整套大数据风险管理方案。

01 首先规范大数据访问人员，统一规范访问控制

1、建立大数据统一用户管理系统，打通原有企业账号体系。

2、建立大数据统一认证管理体系，多因子控制访问入口，防止数据裸奔。

02 建立大数据的资源管理能力和规范数据授权流程和手段

1、建立数据资产统一管理查询平台，需要开展数据分级分类管理。

2、数据访问需要统一授权的工作流审批，快速完成数据业务化过程。

03 对敏感数据访问进行控制保护

1、需要设置细粒度权限，控制敏感库表、字段、文件被低权限用户获取。

2、提供精细化运营管控手段，基于数据等级、数据标签、数据分类进行保护。

3、提供透明化的动态脱敏能力。

4、控制用户访问数据频率和数据体量。

5、控制用户的高危操作。

04 控制数据导出风险

1、基于敏感数据级别和权限，对导出场景进行审批。

2、限制开发导出数据落地，审批后通过统一的平台进行数据导出。

05 对内部人员内审、异常行为分析和事件溯源

1、对大数据管理员的操作行为进行审计、UBA分析和溯源。

2、对大数据开发、分析的操作行为进行审计、UBA分析和溯源。

3、对数据导出的操作行为进行审计、UBA分析和溯源。

DataSimba可以帮助企业建立统一的4A管理系统(账号、认证、授权、审计)，帮助企业解决数据的“有什么、在哪里、怎么管、如何控”的问题，进而帮助企业进行大数据敏感数据的分等分级管理、细粒度授权管理、数据脱敏保护管理等。

通过安全审计有效监督运维、开发、BI等各类人员的数据操作行为，借助追踪溯源提高平台的威慑力，让不法人员不敢进行数据泄露等非法操作，凭借风控管理深度学习分析大数据访问行为构建行为访问基线，联动智能拦截规则让不法人员不能进行数据非法访问和操作。

最后帮助企业实现全面把控全局的数据流动和安全态势，帮助企业管理数据流动中的风险点，完成对大数据安全使用全流程的可视可监可控可管能力建设。

作者介绍：

北玄，奇点云平台架构专家，多年专注大数据平台领域技术开发经验，尤其在分布式作业调度、数据治理、数据安全等方面有非常资深的经验。

如何建设数据安全体系?