訪問策略和細分

1）宗旨和原則

目的：通過嚴格控制「誰、什麼、為什麼可以訪問」，盡量減少泄漏/欺詐的風險和監管後果，並證明可進行審計。
原則：Least Privilege（最低權利）、Need-to-Know、Zero Trust、Segregation of Duties （SoD）、Just-in-Time （JIT）、可追溯性和單點擊訪問反饋。

2）數據分類和保護級別

3）訪問模型： RBAC+ABAC

RBAC（角色）：基本矩陣「角色→分辨率」。
ABAC（屬性）：上下文規則（玩家/操作員管轄權、環境段、撥號靈敏度、更改/時間、設備、KYC驗證級別、服務任務/目標）。

• 市場營銷分析師只能在工作日的08：00-21：00 從企業網絡/MDM設備中讀取「events_」表，而沒有PII字段（蒙版已啟用）。

4）SoD-職責分工（防凍和合規性）

5) JIT, break-glass и PAM

JIT （Just-in-Time）：針對特定任務授予有限間隔（15-120分鐘）的增強權限,並自動撤回。
突破玻璃：通過單獨的程序（MFA+第二次確認+強制指定purpose）緊急訪問，完整的會議記錄和事後評論。
PAM：管理員帳戶-密碼存儲，行為分析，密鑰/秘密輪換，帶記錄的會話代理。

6）細分： 中間，網絡和邏輯

6.1星期三：「prod」 ≠ 「stage」 ≠ 「dev」。Prod數據不會復制到stage/dev；使用合成或化名集。

• Edge/WAF/CDN →應用程序區域→數據區域（DWH/DB）→ 秘密/KMS。
• 支付周邊（PSP/卡）與一般產品隔離；CUS/制裁是一個單獨的部分。
• 6.3邏輯分割：名稱空間（K8s）, tenant-IDs, DB/數據目錄方案,單獨的per tenant/region加密密鑰。
• 6.4地理分段：按地點進行儲存/處理（EC/UK/……）；按區域路由鱷魚和鑰匙。

7）供應商和合作夥伴訪問

機制：單獨的B2B特南特/帳戶，最小API跳躍，mTLS，allow-list IP，時間窗口。
合同：DPA/SLA（日誌，保留時間，地理，事件，子處理器）。
離岸外包：召回鑰匙，確認刪除，關閉行為。
監測：異常體積的變量，禁止大規模出口。

8）流程（SOP）

8.1請求/更改訪問

1.向IDM/ITSM申請,並有時間限制。
2.SoD/司法管轄區/數據類的自動反駁。
3.域所有者+Security/Compliance的批準（如果受限制+）。
4.發出JIT/永久訪問（最小撥號）。
5.日誌：何人/何時/何人；修訂日期。

8.2定期審查（審查）

季度：所有者確認團體權利；回收未使用的權利（>30/60天）。

8.3數據導出

僅通過批準的pipline/店面，白色格式列表（CSV/Parquet/JSON），默認掩碼，簽名/散列，上載日誌。

9）設備策略和上下文

MDM/EMM：僅從托管設備訪問受限制/高度受限。
上下文信號：地理，設備風險，時間，MFA狀態，IP聲譽-作為ABAC屬性。
瀏覽器擴展/屏幕捕獲：控制和日誌,禁止敏感控制臺。

10）策略示例（片段）

10.1 YAML（偽）-ABAC營銷分析師

yaml policy: read_analytics_no_pii subject: role:marketing_analyst resource: dataset:events_
condition:
consent: analytics == true data_class: not in [Restricted, HighlyRestricted]
network: in [corp_vpn, office_mdm]
time: between 08:00-21:00 workdays effect: allow masking: default logging: audit_access + fields_scope

10.2個SQL掩碼（想法）

sql
SELECT user_id_hash,
CASE WHEN has_priv('pii_read') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

11）監視，日誌和Alerta

Audit trails: `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `BREAK_GLASS`, `PAYMENT_APPROVE`.

KRIs：沒有「purpose」=0的可用性；嘗試在窗外進行高度限制；SoD檢查失敗的比例；異常卸載。
KPI：JIT查詢的百分比≥ 80％；平均出入時間≤ 4小時；100%的再認證覆蓋率。
SOAR花花公子：威脅下的自動召回，調查滴答作響。

12）合規性（簡短地圖）

GDPR/UK GDPR：最小化，需要了解，DSAR兼容性，PII審核。
AML/KYC：訪問CUS/制裁-僅用於訓練有素的角色，決策日誌。
PCI DSS（如果適用）：支付區域隔離、PAN/CSC存儲禁令、單獨密鑰/托管。
ISO/ISMS：正式的訪問策略，年度審核和測試。

13） PACI

14）成熟度量

ABAC規則對關鍵數據集的覆蓋率≥ 95％。
JIT會議/所有權利提升≥ 90％。
離岸訪問召回時間≤ 15分鐘。
0個角色≠功能（SoD）事件。
100%的可用性日誌可用並經過驗證（簽名/哈希）。

15）支票單

15.1在授予訪問權限之前

• 確定目標、期限和數據所有者
• 通過SoD/司法管轄區的驗證
• 包含最低scope/Masking
• MFA/MDM/網絡條件滿足
• 日誌和修訂日期定制

15.2季度審查

• 團隊和角色與組織結構的匹配
• 「掛起」權利自動收回
• 檢查異常出口和斷玻璃
• 培訓和測驗Alerta

16）示範情景和措施

A）「VIP經理」的新角色"

訪問VIP配置文件（蒙版）、出口禁令、JIT一次通過tiket查看KYC。

B） BI供應商審核

只讀到沒有PII的店面，臨時VPN+allow-list，禁止本地保存，上載日誌。

C） DevOps緊急訪問prod-DB

破玻璃≤ 30分鐘，會議記錄，DPO/Compliance，CAPA違規後的評論。

17）實施路線圖

1-2周：數據/系統清單，數據類別，基本RBAC矩陣，SoD。
3-4周：引入ABAC（第一個屬性：環境、地理、數據類）、IDM流、JIT/break-glass、PAM。
第2個月：支付和KYC外圍細分，單個密鑰/KMS，出口日誌，SOAR-Alerta。
月3+：季度再認證，屬性擴展（設備/風險），蒙版自動化，定期演習。

TL;DR

可靠的訪問模型=數據分類→ RBAC+ABAC → SoD+JIT/PAM → →日誌和異序的嚴格分割。這減少了泄漏和濫用的可能性，加快了審計，並使平臺保持在GDPR/AML/PCI和內部標準的邊界之內。