sso|数据安全工具建设实践( 二 ) 注意力|一步之遥|酒店|app|转化

文章插图
TIPS：纵观国内情况，绝大部分公司做好严格的外网隔离其实都已经不易，因此，实事求是的讲，现阶段，能做到“防君子不防小人”或许是一个性价比较高的目标，而至于黑客攻防、内奸防范，不要过度纠结。
四、工具框架1. 身份认证身份认证包含账号和认证两个部分，其中最重要的一部分就是账号的设计。
其中，账号就是管控对象的身份，比如每个人都有电话，邮箱等，可以作为在登陆微信或者QQ时候的账号，账号是保障数据安全的最基本的前提。其实这些都是证明个人的一个标识。账号通常包含三类，分别是自然人账号，应用服务/账号和组织账号。
所有的安全管控的第一个前提你得知道是哪一个主体访问或者操作数据？这个主体该不该访问？该不该操作？做到这样的一个暗管控的一个前提的第一个条件就是准确无误的来识别这个主题。
基本上黑客入侵公司数据库70%到80%的突破手段就是账号主体。找到了漏洞伪装了内部员员工进行了数据的攻防。后面的步骤做的再好打100分，如果账号被伪装了，什么都没有用的。所以账号这个事情在整个安全管控里面是底层，但是非常非常非常重要的。
2. 账号设计
文章插图
安全中心里面有我们会有一个账号申请的模块，除了基础的sso，随着员工工作的复杂度我们需要对不同职级，不同体系，不同业务部门的员工的账号进行登记，注册，认证，分门别类进行管控。这就涉及到了员工账号注册的工具。
3. 账号实践对于特定系统，为了保障安全，是不允许用户自己去自行注册的，只能通过BD或者管理员去创建账号，比如：商家CRM系统，创建商家账号，用于商家货品上单和管理。经营参谋，创建分类账号针对不同类型的账号制定分类授权策略。测试系统，创建测试账号，用于系统测试。
4. 认证设计那么有了账号，怎么证明你（张三）是你（张三）？这就涉及到了身份认证的这个部分。认证通常交给公司内部统一的单点登录系统，sso去负责用户身份认证，通常有帐号密码认证，电话/邮件验证码认证，第三方认证等具体的一个认证过程，很底层，但是非常的重要。
用户在访问我们的应用系统的时候。

用户需要先输入帐号和密码，把他的账号和密码反馈给sso，证明他这个人是一个合法用户。（账号和密码一般情况下会被安全合规的公司存储在单点登录系统s so中的用户信息数据库中进行加密存储）。
sso会给用户一个ticket。
用户拿到这个ticket后把它反馈给应用系统。这个时候，应用系统就有了这个人的信息。
应用系统再把这个ticket反馈给sso。
sso会告诉应用系统“是”或“否”。如果“是”，那就证明这个用户是认证过的合规的用户。这时应用系统就会访问目标数据库，把这个数据读取出来。
应用系统ticket +data权限系统（权限系统去鉴别该用户对要访问的内容是否有相应的权限）。
权限系统会访问sso。
sso反馈给权限系统“是”或“否”。
权限系统再反馈给应用系统“是”或“否”。
如果应用系统接到权限系统反馈的“是”，应用系统就会把这个数据内容反馈给用户。

这个认证过程虽然很底层，但是非常非常的重要。
五、安全治理1. 核心理念灵魂三问：你为什么要做数据安全建设？你为谁做数据安全建设？你做数据安全有什么价值？
数据安全的终极目标为：保障数据流通的安全性，促进数据的共享和流通，让数据为业务赋能！