《数据资产管理核心技术与应用》第七章中，数据权限与安全如何确保？

《数据资产管理核心技术与应用》是清华大学出版社出版的一本图书，全书共分10章，第1章主要让读者认识数据资产，了解数据资产相关的基础概念，以及数据资产的发展情况。第2～8章主要介绍大数据时代数据资产管理所涉及的核心技术，内容包括元数据的采集与存储、数据血缘、数据质量、数据监控与告警、数据服务、数据权限与安全、数据资产管理架构等。第9～10章主要从实战的角度介绍数据资产管理技术的应用实践，包括如何对元数据进行管理以发挥出数据资产的更大潜力，以及如何对数据进行建模以挖掘出数据中更大的价值。 关注清哥聊技术公众号，了解更多技术文章 图书介绍：数据资产管理核心技术与应用 今天主要是给大家分享一下第七章的的内容： 第七章的标题为数据权限与安全->关注清哥聊技术公众号，了解更多技术文章 在数据资产的应用中，数据安全、权限以及隐私保护是数据资产管理中绝对不能忽视的核心要素，在数据资产中，需要建立完善的权限管理和安全保障机制，以确保在数据的整个生命周期中，不会出现数据在未经授权的情况下被滥用，从而保护数据的安全和隐私不受侵犯。 1、常见的权限设计模式 在软件工程的发展过程中，随着软件技术和各类软件产品的不断发展，人们从实践中总结出了很多常用的权限设计模式，每一种权限设计模式都有其自身的特点，如下表所示。 权限设计模式 优点 缺点 基于角色的访问控制（RBAC）：给每个访问的用户定义角色，通过角色来控制权限。 对于页面、菜单、按钮等的访问权限能够很好的去控制，便于职责分离等 没有提供操作顺序等的复杂又灵活的权限控制机制，对于一些复杂的权限场景无法实现 基于属性的访问控制（ABAC）：通过动态的计算一组或者多组属性来判断是否满足某种权限的机制，比如某个操作是否有权限通常是通过对象、资源、操作和环境信息等多组属性来共同完成判断的。 权限模型非常灵活，可以实现不同粒度的权限控制，可扩展性很强 规则过于复杂，权限模型在技术实现时通常非常难，并且不易于维护 基于对象的访问控制（OBAC）：给每个访问的用户分配不同的受控对象， 将访问权限直接与受控对象相关联 通过定义了受控对象的访问控制权限，当受控对象的属性发生变化，或者出现继承、衍生等操作时，不用去更新访问主体的权限，而只需要修改受控对象的相应访问控制权限即可，可以减少访问主体的权限管理和降低授权管理的复杂度 在软件产品中实际应用较少，缺乏实际的软件产品的实践经验 从表中可以看到，每一种权限模式都会有其自身的优点和缺点，在实际使用时，需要根据对应的数据产品的特点来选择哪种权限设计模式是最合适的。 1.1、基于角色的访问控制 基于角色的访问控制又叫RBAC权限控制模式，是Role-Based Access Control的简写，是一种最常见的权限控制模式，广泛的应用于软件工程或者网络安全都很多领域中。 RBAC的核心机制就是将权限分配给角色，再将角色分配给需要授权的用户，来实现对软件系统的访问控制，如下图所示 《数据资产管理核心技术与应用》是清华大学出版社出版的一本图书，作者为张永清等著 在RBAC权限模型中，通常会先有一个管理员的角色，管理员拥有最高的所有软件系统资源的访问权限，然后将管理员的角色赋予给管理员用户，然后管理员用户就可以通过分配和调整角色来管理其他的访问用户的权限了。 在RBAC中虽然引用了角色的概念，因为当访问的用户的数量非常大时，就要给每个访问的用户逐一进行赋权，在系统运维时会是一件很繁琐的事情，所以在RBAC中权限控制中，建议 引入用户组的概念，每个用户组中可以批量关联多个用户，除了可以给用户授权外，还可以给用户组授权，用户的访问权限就可以由用户自己的角色和用户组的角色两部分组成，如果是通用的权限，只需要批量将用户添加到用户组中即可，如下图所示。 除了用户可以绑定角色外，还可以在系统中支持角色批量绑定用户，这样当存在大量的访问用户时，可以在操作角色时，通过批量勾选的方式让一个角色可以同时绑定多个访问的用户，这样就减轻了管理员逐一给每个访问用户分配权限带来的大量工作量了。 RBAC通常适用于以下的场景： 通过组织架构来管理用户和访问的软件系统，不同组织下的员工可以分别授予不同的角色，以便根据其工作岗位限制对应的用户对软件系统资源的访问。 还适用于多租户的软件系统，在多租户的软件系统中，RBAC的权限控制模型刚好可以完成不同租户之间的访问的隔离和管理，每个租户可以分配不同的角色，每个角色定义相应的系统权限。