sso|数据安全工具建设实践( 二 ) 注意力|一步之遥|酒店|app|转化

所有的安全管控的第一个前提你得知道是哪一个主体访问或者操作数据？这个主体该不该访问？该不该操作？做到这样的一个暗管控的一个前提的第一个条件就是准确无误的来识别这个主题。
基本上黑客入侵公司数据库70%到80%的突破手段就是账号主体。找到了漏洞伪装了内部员员工进行了数据的攻防。后面的步骤做的再好打100分，如果账号被伪装了，什么都没有用的。所以账号这个事情在整个安全管控里面是底层，但是非常非常非常重要的。
2. 账号设计

文章插图
安全中心里面有我们会有一个账号申请的模块，除了基础的sso，随着员工工作的复杂度我们需要对不同职级，不同体系，不同业务部门的员工的账号进行登记，注册，认证，分门别类进行管控。这就涉及到了员工账号注册的工具。
3. 账号实践对于特定系统，为了保障安全，是不允许用户自己去自行注册的，只能通过BD或者管理员去创建账号，比如：商家CRM系统，创建商家账号，用于商家货品上单和管理。经营参谋，创建分类账号针对不同类型的账号制定分类授权策略。测试系统，创建测试账号，用于系统测试。
4. 认证设计那么有了账号，怎么证明你（张三）是你（张三）？这就涉及到了身份认证的这个部分。认证通常交给公司内部统一的单点登录系统，sso去负责用户身份认证，通常有帐号密码认证，电话/邮件验证码认证，第三方认证等具体的一个认证过程，很底层，但是非常的重要。
用户在访问我们的应用系统的时候。

用户需要先输入帐号和密码，把他的账号和密码反馈给sso，证明他这个人是一个合法用户。（账号和密码一般情况下会被安全合规的公司存储在单点登录系统s so中的用户信息数据库中进行加密存储）。
sso会给用户一个ticket。
用户拿到这个ticket后把它反馈给应用系统。这个时候，应用系统就有了这个人的信息。
应用系统再把这个ticket反馈给sso。
sso会告诉应用系统“是”或“否”。如果“是”，那就证明这个用户是认证过的合规的用户。这时应用系统就会访问目标数据库，把这个数据读取出来。
应用系统ticket +data权限系统（权限系统去鉴别该用户对要访问的内容是否有相应的权限）。
权限系统会访问sso。
sso反馈给权限系统“是”或“否”。
权限系统再反馈给应用系统“是”或“否”。
如果应用系统接到权限系统反馈的“是”，应用系统就会把这个数据内容反馈给用户。

这个认证过程虽然很底层，但是非常非常的重要。
五、安全治理1. 核心理念灵魂三问：你为什么要做数据安全建设？你为谁做数据安全建设？你做数据安全有什么价值？
数据安全的终极目标为：保障数据流通的安全性，促进数据的共享和流通，让数据为业务赋能！
数据安全的建设需要两个分支（工具建设、安全运营）以及三个体系（数据流通体系、数据安全体系、标准流程体系）之间的相互协调与配合，单一一个部分是无法保障数据安全的。
2. 实施策略-标准立法联合公司信息安全部发布覆盖全公司范围的《数据安全标准》文件，作为安全指导总则，帮助数据安全治理工作落地实施。

文章插图
3. 实施策略-工具支持整合分散产品，集合权限服务、流程服务、离职转岗服务、安全审计服务、数据流通服务几大方面能力的工具平台，提供综合化安全管控治理服务。
4. 实施策略-运营数据安全中心运营目标整体分为三个：一是培养和建立用户心智，完成组织保障；二是推动各业务团队将所属数据纳入数据市场，统一取数流程；三是制定标准和定责追溯的SOP，提升安全治理能力。
本文由 @马小阳原创发布于人人都是产品经理。未经许可，禁止转载。
【 sso|数据安全工具建设实践】题图来自Unsplash，基于CC0协议。