一种基于旁路技术的数据中台安全机制的创建方法与流程

本发明涉及数据安全，具体为一种基于旁路技术的数据中台安全机制的创建方法。

背景技术：

1、企业经过多年的信息化建设，现有多项主要业务系统。这些系统中的数据未实现全面融合，为企业带来了一些重复开发、成本浪费的问题。从烟囱式的多个平台向数据中台转变，建立统一的数据采集、处理、计算及服务平台，降低数据使用成本，是企业亟待突破的重点问题。另一方面，开展有效的数据治理，搭建功能强大的数据中台来管理庞大的数据资产，深度挖掘数据潜在价值，也是企业未来数字化转型工作的核心内容。

2、但是这些业务系统已运行多年，涉及企业众多关键业务，而且用户范围大，因此对于这些系统的改造不能生硬地“一刀切”。需要保证现有系统的稳定运行，而且用户对于系统的日常使用不能因为数据中台的建设而发生重大改变，增加工作量或造成不便，用户对于这些改造应该是“无感”或“微感”的。

技术实现思路

1、本发明的目的在于提供一种基于旁路技术的数据中台安全机制的创建方法，以解决上述背景技术中提出的问题。

2、为实现上述目的，本发明提供如下技术方案：

3、一种基于旁路技术的数据中台安全机制的创建方法，包括以下步骤：

4、s1：建设业务旁路库：将业务数据库实时同步到旁路库中，由数据中台采集平台直接对旁路库进行数据采集；

5、s2：建立统一认证旁路库：用于应用系统的账户、密码的集中存储和管理，即通过目录服务将各个应用中用户账号信息统一到一个账号库中进行集中管理；

6、s3：建立统一权限管理：将各应用系统内设置的用户、角色、权限的配置进行集中验证和管理，将特定的访问业务系统对象的权限分配给用户。

7、更进一步地，s1中建立的旁路库作为只读库，对于非业务强相关的情况，只允许读取只读库，用于确保主库的性能。

8、更进一步地，s1中采用分级分类的方法增强旁路库数据安全：支持配置数据分级分类来描述旁路库中数据的多维特征和内容敏感程度，为数据资源的开放和共享策略提供支撑，其包括：

9、数据分级：根据数据内容的敏感程度对数据资源进行分级，按照数据级别控制数据资源的使用范围；

10、数据分类：支持通过数据资源字段的维度对数据资源进行分类，按照数据类别控制数据资源的使用范围。

11、更进一步地，s2旁路库中的用户根据s3中记录的数据资源的分级分类权限，访问s1旁路库中相应等级的数据。

12、更进一步地，s1中采用数据脱敏的方法增强旁路库数据安全：通过脱敏规则对敏感数据进行处理，用于敏感数据的安全保护，具体的：数据脱敏用于保持数据原始特征、保持数据业务规则、保持数据业务关联性，通过脱敏算法面对不规则或复混合字段依赖类型的数据源，自动梳理数据进行脱敏处理。

13、更进一步地，s1中采用审计安全的方法增强旁路库数据安全，其包括：

14、操作日志：支持记录及查询操作日志，包括人工操作日志、后台操作日志、数据内容日志及汇总、数据传输日志、系统运行日志的信息；

15、任务日志：用于展示数据处理任务的整体执行情况，分单个任务和组合任务的日志；其中，组合任务日志提供任务流转图信息展示，便于用户查看组合任务实例的状态；单个任务日志页面用于查看任务运行的详细信息，支持查看并下载前后台详细日志；

16、告警管理：支持针对系统指标配置告警规则，支持基于指标的原始值、最大值、最小值、平均值进行统计，并支持设置告警级别、告警产生后的通知方式以及告警描述的信息，同时告警描述支持传参，支持平台内消息告警、短信告警、邮件告警。

17、更进一步地，s2中建立的统一认证用于实现单点登录和登录验证规范：在统一认证旁路库建成后，将用户的访问信息独立于应用程序进行集中管理，并作为各个应用中用户账号信息的唯一数据源，所有用户信息的变化只能通过统一认证旁路库对接的系统中进行维护，然后通过接口下发到各个应用系统中，用于用户资料同步管理。

18、与现有技术相比，本发明的有益效果是：

19、本发明的基于旁路技术的数据中台安全机制的创建方法，包括业务旁路库建设、统一认证旁路库建设以及相应的统一权限管理，通过旁路技术的应用，并不取代原有的“主路”技术，即原有的业务系统中用户信息数据库仍然保留，对于平时工作中只使用一两个系统的用户来说，不必强制绕道中心系统使用单点登录再去进入各个相应的业务系统，用户可以沿用以前的使用习惯，通过业务系统的登录认证界面进入该系统，其对于旁路技术的应用是无感或微感的，可以确保合法的用户拥有合适的操作权限，并确保应用系统资源得到有效的访问权限控制。

技术特征：

1.一种基于旁路技术的数据中台安全机制的创建方法，其特征在于，包括以下步骤：

2.如权利要求1所述的一种基于旁路技术的数据中台安全机制的创建方法，其特征在于：s1中建立的旁路库作为只读库，对于非业务强相关的情况，只允许读取只读库，用于确保主库的性能。

3.如权利要求1所述的一种基于旁路技术的数据中台安全机制的创建方法，其特征在于：s1中采用分级分类的方法增强旁路库数据安全：支持配置数据分级分类来描述旁路库中数据的多维特征和内容敏感程度，为数据资源的开放和共享策略提供支撑，其包括：

4.如权利要求3所述的一种基于旁路技术的数据中台安全机制的创建方法，其特征在于：s2旁路库中的用户根据s3中记录的数据资源的分级分类权限，访问s1旁路库中相应等级的数据。

5.如权利要求1所述的一种基于旁路技术的数据中台安全机制的创建方法，其特征在于：s1中采用数据脱敏的方法增强旁路库数据安全：通过脱敏规则对敏感数据进行处理，用于敏感数据的安全保护，具体的：数据脱敏用于保持数据原始特征、保持数据业务规则、保持数据业务关联性，通过脱敏算法面对不规则或复混合字段依赖类型的数据源，自动梳理数据进行脱敏处理。

6.如权利要求1所述的一种基于旁路技术的数据中台安全机制的创建方法，其特征在于：s1中采用审计安全的方法增强旁路库数据安全，其包括：

7.如权利要求1所述的一种基于旁路技术的数据中台安全机制的创建方法，其特征在于：s2中建立的统一认证用于实现单点登录和登录验证规范：在统一认证旁路库建成后，将用户的访问信息独立于应用程序进行集中管理，并作为各个应用中用户账号信息的唯一数据源，所有用户信息的变化只能通过统一认证旁路库对接的系统中进行维护，然后通过接口下发到各个应用系统中，用于用户资料同步管理。

技术总结
本发明公开了一种基于旁路技术的数据中台安全机制的创建方法，包括建设业务旁路库：将业务数据库实时同步到旁路库中，由数据中台采集平台直接对旁路库进行数据采集；建立统一认证旁路库：用于应用系统的账户、密码的集中存储和管理；建立统一权限管理：将各应用系统内设置的用户、角色、权限的配置进行集中验证和管理，将特定的访问业务系统对象的权限分配给用户。本发明通过旁路技术的应用，并不取代原有的主路技术，用户可以沿用以前的使用习惯，其对于旁路技术的应用是无感或微感的，通过权限管理服务来实现用户权限的管理和控制，可以确保合法的用户拥有合适的操作权限，并确保应用系统资源得到有效的访问权限控制。

技术研发人员：刘子利,韦雪文,王勇,蒲春雷,方田
受保护的技术使用者：中冶华天工程技术有限公司
技术研发日：
技术公布日：2024/1/22