基于屬性設(shè)置的自動(dòng)審批策略(ABAC 思想)確保了多樣化、細(xì)粒度的管控能力,由審批人配置低風(fēng)險(xiǎn)場(chǎng)景判定規(guī)則,轉(zhuǎn)換人工審批為自動(dòng)審批+事后審計(jì)的工作流,有效提升了數(shù)據(jù)使用效率��,但無(wú)法做到人工審批的風(fēng)險(xiǎn)決斷準(zhǔn)確性���,難以洞察到深層風(fēng)險(xiǎn)。為了進(jìn)一步打通上下游風(fēng)險(xiǎn)信息����,深化審批人場(chǎng)景全局風(fēng)險(xiǎn)感知,數(shù)據(jù)平臺(tái)需要在自動(dòng)審批的基礎(chǔ)上額外構(gòu)筑全方位�、高精度、易理解的風(fēng)險(xiǎn)洞察和透?jìng)髂芰Α?/p>
體系與實(shí)踐
字節(jié)跳動(dòng)數(shù)據(jù)平臺(tái)于 2021 年下半年開始對(duì)接公司內(nèi)部風(fēng)險(xiǎn)感知能力,協(xié)同搭建了智能審批模型����,基于 HBAC(基于歷史的訪問(wèn)控制)的思想,利用歷史數(shù)據(jù)訓(xùn)練模型���、實(shí)時(shí)數(shù)據(jù)作為請(qǐng)求輸入���,逐步構(gòu)筑了如圖 2 的智能審批功能體系。
圖 2. 智能審批功能體系(綠色為“低風(fēng)險(xiǎn)” 工單流轉(zhuǎn)���,紅色為“高風(fēng)險(xiǎn)”工單流轉(zhuǎn)) 數(shù)據(jù)平臺(tái)的智能審批功能是在原有“權(quán)限申請(qǐng)-正常審批流程-結(jié)果處置及返回”流程的基礎(chǔ)上�,對(duì)第二環(huán)節(jié)進(jìn)行改造�����,提交工單數(shù)據(jù)給智能審批模型��,并基于返回結(jié)果中的風(fēng)險(xiǎn)評(píng)分和標(biāo)簽分級(jí)處置——“低風(fēng)險(xiǎn)”的工單智能審批通過(guò)���,無(wú)需人工操作���;“中風(fēng)險(xiǎn)”的工單依據(jù)自動(dòng)審批策略正常執(zhí)行自動(dòng)審批或人工審批�;“高風(fēng)險(xiǎn)”的工單忽略自動(dòng)審批配置�、透出風(fēng)險(xiǎn)標(biāo)簽,并實(shí)施人工審批�����。
上述智能審批模型采用離線數(shù)據(jù)自動(dòng)化迭代的方式��,解耦平臺(tái)后端和模型以實(shí)現(xiàn)輕量化模型升級(jí)成本����,應(yīng)用時(shí)間衰減函數(shù)根據(jù)風(fēng)險(xiǎn)比例動(dòng)態(tài)調(diào)整風(fēng)險(xiǎn)標(biāo)簽閾值,并建立相應(yīng)風(fēng)險(xiǎn)分布監(jiān)控和報(bào)警機(jī)制��,確保符合最新安全態(tài)勢(shì)����。每次訪問(wèn)均基于傳入工單���,實(shí)時(shí)獲取其他風(fēng)控相關(guān)數(shù)據(jù)源���,秒級(jí)響應(yīng),計(jì)算并返回風(fēng)險(xiǎn)評(píng)分與標(biāo)簽�����。
當(dāng)前的智能審批模型基于聚類算法、相似度算法等基礎(chǔ)能力構(gòu)建�,最終形成了多層次的風(fēng)險(xiǎn)度量模型,主要包含人員風(fēng)險(xiǎn)模型�、資源風(fēng)險(xiǎn)模型和人員-資源關(guān)聯(lián)模型三個(gè)方面。其中人員風(fēng)險(xiǎn)模型基于獲權(quán)人的人力資源狀態(tài)�、獲權(quán)人數(shù)據(jù)平臺(tái)和其他辦公應(yīng)用行為風(fēng)險(xiǎn)、當(dāng)前權(quán)限留存和使用情況等方面進(jìn)行訓(xùn)練����;資源風(fēng)險(xiǎn)模型基于資源的密級(jí)、數(shù)據(jù)生產(chǎn)層級(jí)����、使用熱度、當(dāng)前權(quán)限留存和使用情況等方面進(jìn)行訓(xùn)練�����;人員資源管理模型方面���,則是先基于當(dāng)前權(quán)限得出人員聚類和資源聚類�����,以表示“人員 × 人員”關(guān)聯(lián)度和“資源 × 資源”關(guān)聯(lián)度����,再通過(guò)計(jì)算同群組內(nèi)其他人員和對(duì)應(yīng)資源群組的重合度,得出“人員 × 資源關(guān)聯(lián)度”����,也即同類人員已有該(類)資源權(quán)限超過(guò)一定閾值(例如:90%以上),則關(guān)聯(lián)度高����,否則關(guān)聯(lián)度低,權(quán)限必要性和合理性可能較低�����。
成效與展望
字節(jié)跳動(dòng)數(shù)據(jù)平臺(tái)的智能審批能力上線以來(lái)��,有效地幫助更多審批人進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)判斷��,截止至 2022 年 6 月底�,實(shí)現(xiàn)了高風(fēng)險(xiǎn)場(chǎng)景 4.92 個(gè)百分點(diǎn)的識(shí)別率提升�,并累計(jì)節(jié)約低風(fēng)險(xiǎn)工單審批時(shí)長(zhǎng) 4.25 萬(wàn)小時(shí)。
目前����,數(shù)據(jù)平臺(tái)中的數(shù)據(jù)應(yīng)用�����、數(shù)據(jù)開發(fā)套件�����、數(shù)據(jù)引擎均已上線火山引擎大數(shù)據(jù)系列產(chǎn)品矩陣中����,努力為用戶構(gòu)建安全可靠����、高效易用的數(shù)據(jù)全生命周期。
將來(lái)��,數(shù)據(jù)平臺(tái)還會(huì)在智能審批的模型中引入更多風(fēng)險(xiǎn)因子并持續(xù)優(yōu)化�����、迭代�,繼續(xù)強(qiáng)化對(duì)用戶數(shù)據(jù)、公司數(shù)據(jù)的安全保障��,以知情同意和合理必要為底線,不斷壓縮數(shù)據(jù)泄露風(fēng)險(xiǎn)�����,并減少合規(guī)數(shù)據(jù)使用的審批耗時(shí)����。
作為字節(jié)跳動(dòng)數(shù)據(jù)平臺(tái)背后的安全治理與合規(guī)團(tuán)隊(duì),火山引擎云安全將持續(xù)建立健全公司信息安全管理體系�����,嚴(yán)格滿足隱私合規(guī)要求��,做用戶個(gè)人數(shù)據(jù)的守護(hù)者��,讓每個(gè)用戶都可以安心的體驗(yàn)數(shù)字化轉(zhuǎn)型下的新時(shí)代��。
比.jpg)
