You need to enable JavaScript to run this app.
导航
权限审计
最近更新时间:2024.08.23 14:15:20首次发布时间:2021.11.23 11:49:22

为保障授权的合理性以及规避潜在的数据安全风险,权限负责人和超管均可通过权限审计功能,对申请授权和主动授权的工单进行定期审计。审计的工作主要包括标记是否存在风险,对存在风险的授权进行处置和备注。
权限审计主要遵循以下原则:

  • 权限最小化
    权限的授予应遵循最小化原则,数据权限仅授予具有正当、合法、必要的需求方,防止数据权限扩散。
  • 聚焦重要资产
    权限审计工作应优先聚焦重要的敏感数据资产。
  • 最大化规避风险
    应在权限审计工作完成后,处置审计工作中识别到的所有风险。

1 约束限制

  • 用户仅可对自己是权限负责人的资源进行负责人审计。
  • 仅租户主账号才可进行超管审计。

2 前提条件

  • 概览页面,已开通湖仓一体分布式数据自治DataOps敏捷研发服务。详细操作说明请参见 DataLeap 服务信息
  • 在申请授权审计之前,请先审批通过申请该资源权限的工单。审批工单的相关操作说明请参见审批工单
  • 在主动授权审计之前,请先对资源进行主动授权。资源授权的相关操作说明请参见授权管理

3 申请授权审计

申请授权审计的操作步骤如下:

  1. 登录 DataLeap 控制台。
  2. 选择概览 > 数据安全 > 风险审计 > 权限审计 > 申请授权审计,进入申请授权审计页面。
    图片
  3. 可执行以下操作:
    • 搜索资源
      通过设置资源名、资源类型、参数筛选项等搜索信息,查询符合条件的资源。当设置多个搜索条件时,会取各个条件的交集,进行查询。
    • 设置视图
      单击视图设置按钮,通过勾选下拉列表中的选项,可以选择在资源列表中显示或隐藏参数列工单id申请人创建时间审批时间负责人审计时间超管审计时间
    • 查看审批链
      将鼠标悬停在资源列表中某条信息审批流列的详情上,可以查看该信息权限申请的审批流。
    • 作为权限负责人进行审计
    • 作为超管进行审计

3.1 权限负责人审计

通过本功能,可以对自己是权限负责人的资源进行审计。

  1. 登录 DataLeap 控制台。
  2. 选择概览 > 数据安全 > 风险审计 > 权限审计 > 申请授权审计,进入申请授权审计页面。
  3. 角色下拉列表中选择权限负责人,列表中显示自己是权限负责人的所有资源,且列表的参数列负责人审计负责人备注变为可编辑。
  4. 可执行以下操作:
    • 审计资源信息
      1. 单击列表中某条资源信息负责人审计列的编辑图标,可在显示的下拉列表中选择对应的风险标记。
        风险标记有以下 9 个选项。
        • 无风险
        • 审批工单信息不完整
        • 授权有效期不合理
        • 非必要授权
        • 可脱敏的数据应用场景
        • 授权数据范围不符合最小化原则
        • 授权人员范围不符合最小化原则
        • 存在更优实现路径
        • 其他
      2. 单击下拉框右侧的确定图标,完成风险标记。
        • 当标记为无风险时,不可编辑风险处置且不可进行批量风险处置。
        • 当标记为有风险的权限工单时,在风险处置列会显示风险处理情况为未处置
      3. 单击未处置右侧的编辑图标,可在弹出的窗口中修改处理结果,单击确定按钮,完成修改。
    • 批量标记风险
      1. 勾选一个或多个选项后,单击批量标记风险按钮,弹出批量标记风险窗口。
      2. 负责人标记下拉列表中,选择风险标记。
      3. 单击确定按钮,完成批量标记风险。
    • 批量处置风险
      1. 勾选一个或多个选项后,单击批量风险处置按钮,弹出批量处置风险窗口。
      2. 在下拉列表中选择处理结果,并填写备注信息。
      3. 单击确定按钮,完成批量处置风险。
    • 设置备注信息
      单击列表中某条资源信息负责人备注列的编辑图标,可在弹出的窗口中填写备注信息,单击确定按钮,完成设置。

说明

  • 根据工单的信息,如工单id、申请人、审批链、资源类型/层级、资源名、权限类型、有效期、申请原因等,判断该工单申请是否存在风险。
  • 标记为有风险的权限工单需及时做处置,如回收不合理的授权、修改授权范围或有效期等。根据处理情况,将风险处置标记改为接受风险已处置
  • 如果一个或多个权限负责人多次做标记,则以最后一次标记为准。在最后审计人负责人审计时间参数列,可查看最后一次标记的人和时间。

3.2 超管审计

通过本功能,可以查看所有权限工单,并进行相应的审计操作,以辅助权限负责人审计判断。

  1. 登录 DataLeap 控制台。
  2. 选择概览 > 数据安全 > 风险审计 > 权限审计 > 申请授权审计,进入申请授权审计页面。
  3. 角色下拉列表中选择超管,列表中的参数列超管审计超管备注变为可编辑。
  4. 可执行以下操作:
    • 审计资源信息
      1. 单击某条资源信息超管审计列的编辑图标,可在显示的下拉列表中选择对应的风险标记。
      2. 单击下拉框右侧的确定图标,完成风险审计。
    • 批量标记风险
      1. 勾选一个或多个选项后,单击批量标记风险按钮,弹出批量标记风险窗口。
      2. 超管标记下拉列表中,选择风险标记。
      3. 单击确定按钮,完成批量标记风险。
    • 设置备注信息
      单击超管备注列编辑图标,可在弹出的窗口中填写备注信息,单击确定按钮,完成设置。

说明

  • 根据工单的信息,如工单id、申请人、审批链、资源类型/层级、资源名、权限类型、有效期、申请原因等,判断该工单申请是否存在风险。
  • 如果多次做标记,则以最后一次标记为准。在超管审计时间参数列,可查看最后一次标记的人和时间。

4 主动授权审计

主动授权审计的操作步骤如下:

  1. 登录 DataLeap 控制台。
  2. 选择概览 > 数据安全 > 风险审计 > 权限审计 > 主动授权审计,进入主动授权审计页面。
    图片
  3. 可执行以下操作:
    • 搜索资源
      通过设置资源名、资源类型、参数筛选项等搜索信息,查询符合条件的资源。当设置多个搜索条件时,会取各个条件的交集,进行查询。
    • 设置视图
      单击视图设置按钮,通过勾选下拉列表中的选项,可以选择在资源列表中显示或隐藏参数列工单id授权时间负责人审计时间超管审计时间
    • 作为权限负责人进行审计
    • 作为超管进行审计

说明

  • 权限负责人审计和超管审计的操作描述,可参考申请授权审计的对应部分。
  • 根据工单的信息,如授权人、获权对象、资源类型/层级、资源名、权限类型、有效期、授权原因等,判断该工单申请是否存在风险。
  • 如果多次做标记,则以最后一次标记为准。在最后审计人负责人审计时间超管审计时间参数列,可查看最后一次标记的权限负责人和审计时间。