BI数据分析场景数据安全方案

举报
数安观察 发表于 2026/03/19 17:58:15 2026/03/19
【摘要】 数据分析场景下的数据安全保护

随着数字化、智能化的加速推进,海量数据实时分析、分析报表实时共享正在改变很多行业的业务模式。商业智能 BI 系统能够帮助企业挖掘现有数据资源的价值,在产品营销、运营分析、财务分析、风险控制、以及管理决策等环节发挥着越来越重要的作用,是数据价值释放的关键应用。在 BI 系统数据使用过程中,如何既能便捷地更大范围开放数据使用,又能高效率地保障数据安全,防止敏感数据泄露,满足合规监管要求,成为数据管理者不得不面对的难题。

风险问题

  • 面对合规监管要求,无法快速落实管控措施

面对行业监管部门针对企业数据使用提出的合规监管要求,例如数据分类分级、敏感数据脱敏展示、数据访问最小权限、数据访问合规审计等等,企业无法利用 BI 系统自身提供的数据安全能力快速落实各项数据安全管控措施,以满足合规监管要求。

  • 数据动态脱敏落地困难,策略管理复杂度高

BI 系统中的数据集和报表往往数量庞大而且更新频繁,一方面,由于 BI 系统缺乏统一管理的敏感数据清单,如何识别并管理敏感数据成为首当其冲的难题;另一方面,依赖 BI 系统内置的脱敏功能针对数据集和报表实现数据脱敏,会出现脱敏策略数量庞大且变更频繁的问题,脱敏策略难以管理和维护,而且无法保证策略的一致性,脱敏技术措施落地困难。

  • 数据安全与数据业务紧密耦合,导致权责不清

数据分析师团队的主职工作是数据分析,依赖 BI 系统内置的脱敏能力实现敏感数据保护则要求数据分析师团队承担大部分数据安全职责,给数据分析师带来额外的工作负担和管理责任。此外,数据分析师拥有较高的数据权限,日常工作大量接触敏感数据,自身的数据使用行为也需要管控和安全审计。数据安全和数据业务紧密耦合会导致权责不清,不符合数据安全管理的基本原则。

  • 未受保护的明细报表不敢更大范围开放使用

BI 系统的数据分析成果开放给企业更多的业务人员使用,才能更加充分地释放数据的价值。但是,如果不能基于业务人员的 BI 系统应用账号便捷地实施细粒度的数据动态脱敏、行级数据控权、数据访问合规审计等安全措施,企业数据管理团队就会担心敏感数据的泄露和违规使用风险,不敢更大范围地开放使用明细报表。


解决方案

针对 BI 数据分析场景的业务和技术特点,建议采取“贴源保护”的技术思路,部署在 BI 应用系统和数据源中间,解耦数据安全与数据业务,提供一体化协同的敏感数据保护能力。

  • 建立实时更新的敏感数据目录

针对 BI 应用系统连接的数据源,建议通过“主动扫描+被动发现”双模式引擎自动发现和识别数据源库表中的敏感数据,完成敏感数据分类分级,构建统一的敏感数据目录,并且能够及时发现新增、变化的敏感数据类型,自动更新敏感数据目录。

  • 实施统一管理的数据脱敏策略

针对数据源和敏感数据目录,上统一配置和管理数据脱敏保护策略,在数据库表结构相对稳定的贴源位置实现对敏感数据的保护,从而大幅降低了脱敏策略的数量和策略变更的频率。同时,在管理职责上实现了数据安全和数据业务的解耦,明晰了安全责任,有利于数据安全管控措施的快速落地。

  • 采用敏感数据动态脱敏

基于敏感数据目录实时联动的一体化动态脱敏策略,可实现自适应的数据动态脱敏,当数据库表增加新的敏感数据字段时,脱敏策略无需更新即可立即生效,进一步降低数据脱敏策略的运维工作量。

  • 实现 BI 业务的个性化脱敏需求

针对数据源中相同的敏感数据,不同类型的数据分析业务可能会有不同的数据脱敏需求。建议采用用户认证代理方式,能够为数据源创建多个代理账号,并基于代理账号配置不同的脱敏策略。结合 BI 业务的特点,在 BI 应用系统中可以创建多个配置不同代理账号的数据源,提供给不同脱敏需求的数据分析业务使用,满足 BI 业务的个性化脱敏需求。

  • 基于 BI 应用账号的细粒度管控

基于 BI 应用系统的账号配置细粒度的数据管控策略,例如基于 BI 应用账号配置数据脱敏策略;基于 BI 应用账号配置“白名单”,白名单中的 BI 用户访问数据时无需脱敏处理;基于 BI 应用账号配置数据访问行数限制、行级数据权限策略等等,灵活应对 BI 业务不同场景下的数据安全管控需求。

  • 全链路审计和实时风险监测

记录并留存敏感数据的全链路访问日志,包括 BI 用户真实身份、BI 应用账号、代理账号、数据库工具、数据库账号、数据库/表、敏感数据字段等,满足数据安全审计合规要求。同时,能够从数据访问异常行为风险视角进行快速分析,实时监测数据安全风险,及时发现风险问题并告警,辅助开展排查定位和追踪溯源。

  • 高可用集群部署满足性能需求

基于数据的高并发需求,需要采用弹性高可用集群部署能力,以有效应对高并发、大数据量的数据分析业务场景。同时,利用 k8s 的自动监控和自动恢复能力以及 原点一体化数据安全平台uDSP 平台自身的容错恢复机制,避免单点故障,保障数据分析业务的连续性。

结语:

解耦数据安全与数据业务,为 BI 系统提供快速落实数据安全管控的技术措施,高效率、低成本满足 BI 数据分析场景下的敏感数据保护与安全合规监管要求

【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
数据库安全服务 DBSS 数据挖掘
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

确认 取消

加入云驻计划,成为创作者

  • 华为云周边好礼
  • 免费体验产品
  • 特殊身份标识
  • 线下官方门票
  • 内部专家零距离
  • 与10000+优质创作者共同成长
立即加入