访问策略和细分

1）宗旨和原则

目的：通过严格控制"谁、什么、为什么可以访问"，尽量减少泄漏/欺诈的风险和监管后果，并证明可进行审计。
原则：Least Privilege（最低权利）、Need-to-Know、Zero Trust、Segregation of Duties （SoD）、Just-in-Time （JIT）、可追溯性和单点击访问反馈。

2）数据分类和保护级别

3）访问模型： RBAC+ABAC

RBAC（角色）：基本矩阵"角色→分辨率"。
ABAC（属性）：上下文规则（玩家/操作员管辖权、环境段、拨号灵敏度、更改/时间、设备、KYC验证级别、服务任务/目标）。

• 市场营销分析师只能在工作日的08：00-21：00 从企业网络/MDM设备中读取"events_"表，而没有PII字段（蒙版已启用）。

4）SoD-职责分工（防冻和合规性）

5) JIT, break-glass и PAM

JIT （Just-in-Time）：针对特定任务授予有限间隔（15-120分钟）的增强权限,并自动撤回。
突破玻璃：通过单独的程序（MFA+第二次确认+强制指定purpose）紧急访问，完整的会议记录和事后评论。
PAM：管理员帐户-密码存储，行为分析，密钥/秘密轮换，带记录的会话代理。

6）细分： 中间，网络和逻辑

6.1星期三："prod" ≠ "stage" ≠ "dev"。Prod数据不会复制到stage/dev；使用合成或化名集。

• Edge/WAF/CDN →应用程序区域→数据区域（DWH/DB）→ 秘密/KMS。
• 支付周边（PSP/卡）与一般产品隔离；CUS/制裁是一个单独的部分。
• 6.3逻辑分割：名称空间（K8s）, tenant-IDs, DB/数据目录方桉,单独的per tenant/region加密密钥。
• 6.4地理分段：按地点进行储存/处理（EC/UK/……）；按区域路由鳄鱼和钥匙。

7）供应商和合作伙伴访问

机制：单独的B2B特南特/帐户，最小API跳跃，mTLS，allow-list IP，时间窗口。
合同：DPA/SLA（日志，保留时间，地理，事件，子处理器）。
离岸外包：召回钥匙，确认删除，关闭行为。
监测：异常体积的变量，禁止大规模出口。

8）流程（SOP）

8.1请求/更改访问

1.向IDM/ITSM申请,并有时间限制。
2.SoD/司法管辖区/数据类的自动反驳。
3.域所有者+Security/Compliance的批准（如果受限制+）。
4.发出JIT/永久访问（最小拨号）。
5.日志：何人/何时/何人；修订日期。

8.2定期审查（审查）

季度：所有者确认团体权利；回收未使用的权利（>30/60天）。

8.3数据导出

仅通过批准的pipline/店面，白色格式列表（CSV/Parquet/JSON），默认掩码，签名/散列，上载日志。

9）设备策略和上下文

MDM/EMM：仅从托管设备访问受限制/高度受限。
上下文信号：地理，设备风险，时间，MFA状态，IP声誉-作为ABAC属性。
浏览器扩展/屏幕捕获：控制和日志,禁止敏感控制台。

10）策略示例（片段）

10.1 YAML（伪）-ABAC营销分析师

yaml policy: read_analytics_no_pii subject: role:marketing_analyst resource: dataset:events_
condition:
consent: analytics == true data_class: not in [Restricted, HighlyRestricted]
network: in [corp_vpn, office_mdm]
time: between 08:00-21:00 workdays effect: allow masking: default logging: audit_access + fields_scope

10.2个SQL掩码（想法）

sql
SELECT user_id_hash,
CASE WHEN has_priv('pii_read') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

11）监视，日志和Alerta

Audit trails: `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `BREAK_GLASS`, `PAYMENT_APPROVE`.

KRIs：没有"purpose"=0的可用性；尝试在窗外进行高度限制；SoD检查失败的比例；异常卸载。
KPI：JIT查询的百分比≥ 80％；平均出入时间≤ 4小时；100%的再认证覆盖率。
SOAR花花公子：威胁下的自动召回，调查滴答作响。

12）合规性（简短地图）

GDPR/UK GDPR：最小化，需要了解，DSAR兼容性，PII审核。
AML/KYC：访问CUS/制裁-仅用于训练有素的角色，决策日志。
PCI DSS（如果适用）：支付区域隔离、PAN/CSC存储禁令、单独密钥/托管。
ISO/ISMS：正式的访问策略，年度审核和测试。

13） PACI

14）成熟度量

ABAC规则对关键数据集的覆盖率≥ 95％。
JIT会议/所有权利提升≥ 90％。
离岸访问召回时间≤ 15分钟。
0个角色≠功能（SoD）事件。
100%的可用性日志可用并经过验证（签名/哈希）。

15）支票单

15.1在授予访问权限之前

• 确定目标、期限和数据所有者
• 通过SoD/司法管辖区的验证
• 包含最低scope/Masking
• MFA/MDM/网络条件满足
• 日志和修订日期定制

15.2季度审查

• 团队和角色与组织结构的匹配
• "挂起"权利自动收回
• 检查异常出口和断玻璃
• 培训和测验Alerta

16）示范情景和措施

A）"VIP经理"的新角色"

访问VIP配置文件（蒙版）、出口禁令、JIT一次通过tiket查看KYC。

B） BI供应商审核

只读到没有PII的店面，临时VPN+allow-list，禁止本地保存，上载日志。

C） DevOps紧急访问prod-DB

破玻璃≤ 30分钟，会议记录，DPO/Compliance，CAPA违规后的评论。

17）实施路线图

1-2周：数据/系统清单，数据类别，基本RBAC矩阵，SoD。
3-4周：引入ABAC（第一个属性：环境、地理、数据类）、IDM流、JIT/break-glass、PAM。
第2个月：支付和KYC外围细分，单个密钥/KMS，出口日志，SOAR-Alerta。
月3+：季度再认证，属性扩展（设备/风险），蒙版自动化，定期演习。

TL;DR

可靠的访问模型=数据分类→ RBAC+ABAC → SoD+JIT/PAM → →日志和异序的严格分割。这减少了泄漏和滥用的可能性，加快了审计，并使平台保持在GDPR/AML/PCI和内部标准的边界之内。