一、引言

近年来，数据安全已成为企业的核心关注点。本文探讨了一种基于分类分级的权限收敛实践，旨在通过精细化管理，确保数据安全的同时，提高数据的可用性和业务效率。

二、基础策略

2.1数据分类

数据分类是将数据依据其性质、用途和重要性进行分组的过程。在进行分类时，需结合公司的实际情况。虽然在制度中可以将数据划分为多种类别，但在企业实际推广和落地时，最好挑选出一类重要数据，并将其余数据归为“其他”类别。例如，可以优先挑选个人信息中最关键的四个要素（姓名、手机号、身份证号和银行卡号），其余数据则可统一划归“其他”类别。后续的数据分级将依据上述分类结果进行确定。

2.2数据分级

数据分级是根据数据的敏感性以及对业务影响程度，将数据划分为不同的安全级别。这一过程需结合公司的实际情况对数据进行不同等级的划分。假设公司最为关注的数据是个人信息中的四个关键要素（姓名、手机号、身份证号和银行卡号），一般而言，姓名的敏感等级相较于其他三项要素会较低，可定为2级；而手机号、身份证号和银行卡号的敏感等级较高，因而可定为3级，其他数据则统一定为1级。

三、权限收敛的价值

以库为单位授予用户权限，用户在获得授权后可以访问该库下的所有表和数据。然而，这种授权方式可能存在较高的风险，因为一旦用户权限被泄露或滥用，整个数据库的数据安全可能受到威胁。相比之下，按表授权的方式则将权限细化至单个表级别，仅授予用户完成工作所需的具体表的访问权限，限制其访问数据库中的其他表。即便用户权限遭到泄露，影响的范围也仅限于特定的表，从而降低了数据泄露的风险。这一策略不仅有助于增强数据安全性，还能满足部分业务部门希望限制其他团队访问的需求。

四、落地实施

4.1组织保障

要顺利开展这项工作需要建立一个虚拟工作小组，成员主要包括数据管理部门（如DBA和大数据团队）、信息安全团队以及研发部门。

4.2系统工具

要顺利开展这项工作需要如下系统做支撑：分类分级系统、工单系统、审批流系统、数据管理系统(如：mysql、hadoop系列)。

4.3目标与范围

目标：

1、权限申请从库级别到表级别

2、敏感字段默认给予脱敏权限

3、不同敏感程度的表申请权限走不同的审批流程

范围：

1、被治理的数据库范围，主要用来确认给那些库打标

2、被治理人员（部门）的范围主要用于确认哪些人员的权限需要回收，以及他们应被重新分配何种权限。数据管理部门因其职责需要较高的权限，而其他部门则可根据统一标准授予相应的数据使用权限

4.4数据识别与标记

首先，需要对组织内的数据进行全面识别和标记，以明确每类数据的属性和使用场景。根据与数据管理部门的沟通，划定治理的数据范围，并使用分类分级系统依据确定的分类分级策略对范围内的数据进行打标。

在扫描打标时，需要考虑存量和增量两个维度。存量数据可以通过手动操作分类分级系统进行处理，而增量数据则必须通过接口形式进行操作。手动扫描时，通常至少需要扫描一个完整的数据库，有时甚至需要对整个集群进行扫描。因此，必须提前与数据管理部门沟通，确认可接受的扫描时间和并发数量，以避免对业务正常使用造成影响。

需要注意的是，大数据部门与DBA部门在扫描策略上存在较大差异。大数据部门通常在晚上进行批处理，因此更倾向于在白天进行扫描；而MySQL等业务数据库主要服务于用户，通常更倾向于在晚上进行扫描。增量扫描一般只触发几张表，因此对时间的要求相对宽松。

根据经验，扫描任务不宜设置过多的并行任务，因此可以在系统上设置定时启动，以尽量错开时间。这不仅可以提高打标效率，还能减少因资源不足而导致系统崩溃的风险。