?想象一下，一位同事登錄公司的 HR 門戶查看他的福利并可以看到其他人的薪水！！什么？不用擔心，這不會發生，因為這些應用程序是利用多年業務流程的專業知識構建的。這些過程決定了誰可以看到和編輯那里的數據。        突然間，這些數據被帶入數據湖或數據倉庫。如何在這里設置數據訪問治理是一個巨大的挑戰。

組織必須保護數據以防止不良事件發生，并仍可用于做出明智的決策。及時向正確的人提供對正確數據的訪問權限的機制稱為數據訪問治理。

什么是數據訪問治理？

用戶可以通過多種渠道訪問數據。可以通過應用程序的 UI、直接從數據庫或數據倉庫訪問，或者在某些情況下，可以在數據仍在傳輸中時訪問。數據訪問治理使用戶能夠控制、保護和審計數據的使用，以維護和確保隱私，還保護組織的專有信息和知識產權。

隨著組織努力增加分析，以他們可以使用的格式向各種項目團隊、高管和分析師提供數據至關重要。但是，授予此訪問權限時會出現許多常見挑戰，以及數據無法免費獲得的復雜原因。

數據平臺之前的數據訪問挑戰

孤立的數據

在一個組織中，數據通常存在于各種不同的系統中，用于不同的目的。例如，一個組織可以針對不同的用例使用多個銷售管理系統，如 SalesForce、SalesLoft 等。當任何人需要數據時，他們不確定哪個應用程序可能擁有什么數據，通常被稱為數據孤島。如果用戶不知道要在其中找到數據的應用程序，這些孤島使他們很難找到需要的數據。通常，訪問應用程序或倉庫中的信息需要數周甚至數月的時間，延誤使項目陷入停頓并減緩創新。

數據量和技術限制

有時，應用程序只能顯示一定量的數據。因此，在與應用程序交互時，用戶界面可能會限制數據集的視圖。例如，一個應用程序可能顯示數百個數據集，但特定項目的聚合數據可能達到數百萬甚至數十億個數據集。

要解決這些限制，用戶必須咨詢數據庫管理員。通常，數據庫管理員必須在授予訪問權限之前對所有機密數據進行模糊處理，但如果沒有適當的自動化過程，這個過程非常耗費人力。

權力斗爭

數據的力量非常強大，但要保持數據的干凈和有條理，需要付出大量的努力，需要謹慎和周全考慮。因此，一些應用程序所有者不愿將其優化的數據交給其他團隊，就不足為奇了。

對數據訪問的權力斗爭可能會給組織帶來巨大的問題，因為在這種情況下，不會提供有關數據的支持文檔和信息。這一挑戰提醒我們，培養協作文化與鼓勵數據訪問實踐同樣重要。

數據平臺的興起

為了克服孤立的數據和技術挑戰，組織開始創建數據平臺，通常是數據湖或數據倉庫。要填充數據湖，需要使用大數據技術從各種應用程序中移動所有數據。相反，只需將特定用例的選定關鍵數據移動到數據倉庫中。隨著組織創建數據倉庫和湖泊，出現了各種訪問挑戰。

數據平臺之后的數據訪問管理挑戰

復雜的訪問權限管理

組織可以使用數據湖或各種類似的平臺來聚合精選數據，以克服孤立的數據和技術限制。但是，將所有應用程序的所有權限轉移到數據湖中并不容易。

基于角色的權限是為每個應用程序設計的，通常在使用后經過多年的迭代。從本質上講，在數據湖或倉庫中組合所有內容的實用性極具挑戰性。

隱私合規和監管監督

組織必須遵守隱私合規法規和信息安全實踐，以使用戶能夠識別風險領域并實施額外的措施來保護機密數據。組織外的許多監管機構都針對個人數據實施法律，對違規行為處以巨額罰款。這些法律要求保護數據，這也是無法普遍訪問 PII 數據的原因之一。 

數據可發現性挑戰

由于現代數據平臺托管來自多個來源的大量數據，因此很難找到正確的數據源。

為什么傳統技術不足以在現代保護數據？

傳統上，用戶通過應用程序或自助服務門戶訪問數據。應用程序通常具有明確定義的策略，但對于自助服務，數據是手動管理的并移動到數據倉庫或數據湖。之后，數據被劃分為各種角色，并由 OKTA 和 Active Directory 等角色管理工具進行管理。

形成的組識別具有共同訪問要求的個人，以支持他們在組織中的角色的執行。通過進入組訪問數據，當被分配到組時，訪問會批量打開。此方法未涵蓋的任何內容都將用于臨時工作流。

但是，臨時訪問通常沒有得到很好的管理。無權訪問的用戶不知道該向誰請求什么。通常，IT有一個表單，用戶可以在其中請求訪問他們通過電子郵件或通過單個應用程序搜索發現的數據集。用戶使用此表單編寫整個區域的訪問請求，或與另一個人的訪問權限相同的訪問請求。

現代數據訪問治理

通過數據治理制定的策略進行自動化數據訪問管理的新興趨勢。數據訪問管理的現代方法使組織能夠通過完整的方法解決最持久的數據訪問管理挑戰。

現代數據訪問擴展了傳統方法，以實現自動化、可發現性和簡化的臨時工作流程。這個過程是這樣工作的。需要構建一個數據目錄，將數據分類為不同的組，根據分類設計訪問策略，并針對駐留在分類參數之外的請求使用臨時工作流。通過在數據層自動應用的策略來管理訪問。

在數據目錄中集中元數據

第一步是創建一個集中的數據資產目錄。使用數據資產發現攻擊可以輕松實現數據目錄，利用元數據來輕松發現，而不會暴露實際數據。用戶可以從許多有利位置搜索和了解生態系統中的數據，并在需要時請求訪問，這將路由到分配的工作流程以實現快速周轉，簡單、自動化且可擴展。

數據分類的最佳實踐

下一步是對可能具有挑戰性的數據進行分類。首先，有許多不同的應用程序需要考慮，并且在這些應用程序中有許多復雜的過程和策略。

其次，分類需要支持解決許多痛點的綜合訪問策略。不僅必須瀏覽各種單獨的應用程序，還需要解決合規性、安全性和其他問題。

為了使組織能夠實現這一點，可以探索數據分類的最佳實踐。第一步是水平劃分數據。

此步驟相對容易，因為橫向分類基于各種業務功能，例如銷售、人力資源、營銷和財務。如果還沒有一套命名約定，那么開發一個非常簡單。

下一步是對數據進行垂直分類。這部分更具挑戰性。垂直分類旨在將數據劃分為各種分類類別，包括所有權、未分類數據、PII、機密、超級機密和公共。

由于要定義的數據太多，AI 用于根據現有的水平分類和預定義的屬性提供垂直分類。

每個分類都應該有一個確定的訪問所有者，并且該位置應該適合該分類。所有者負責設置訪問策略的參數。

根據分類配置和執行策略

基于分類的訪問策略可以在基于強大訪問策略框架中的分類組的數據治理委員會會議中制定。很可能還需要工具來在數據倉庫或數據湖中配置此策略框架。

策略將側重于角色及其提供的特定權限。例如，銷售代表可能僅有權訪問未分類數據的元數據，但可以完全訪問分類 PII 的數據。可以為組織中的不同角色編寫盡可能多的策略。

跟蹤訪問策略的一種方法是制作一個訪問矩陣，顯示哪些角色可以與哪些分類進行交互。訪問矩陣顯示組織的訪問策略，并增加了誰可以訪問哪些數據的透明度。來自營銷部門的賬單可以訪問標記為“營銷一般受眾”、“營銷有限”、“銷售一般受眾”以及矩陣指示的任何其他分類的數據。

通過數據資產測繪工具，可以減少檢索數據所需時間和工作量。

用于連續分類的臨時工作流

每天都會創建新的文件和表格，為組織帶來更多未分類的數據。由于這個量，需要一個臨時工作流來識別這些新表、文件和報告，以發送給適當的人以確認分類。

結論

每個組織都是不同的，在訪問治理中處于不同的位置，具有獨特的處理、策略和程序。國外，其實也一直在做分類分級，只是他們的橫向分類與我們說的分類保持一致，而縱向分類則為我們的分級。根據業務形成分類，根據安全級別要求形成分級，只不過他們把這點通過縱向橫向分類來表述了，此前在讀這塊內容時還是粗心了。?