在今天，大数据不仅仅是一个概念、一个话题，而正在成为生活中的一部分。 Google用大数据预测流感趋势、政府用大数据构建智慧城市、银行用大数据构建用户画像分析客户心理……随着大数据在多个领域的应用“落地”，越来越多的企业已经清晰地认识到企业大数据已经成为企业的核心资产和重要组成部分，都希望能够从数据获取更多的价值并且快速指导商业决策。 但在大数据带来巨大的价值的同时，也给企业的数据安全带来了挑战。企业大数据可能包含了大量的客户隐私信息、员工基础信息、销售订单信息、企业运营信息和各种行为的细节记录，数据分析系统如何对这些私密信息进行恰当的数据安全保护，将是企业大数据发展中需要亟待解决的难题。

老丁的担忧

 

  老丁是一家公司IT部门的主管，随着公司内部信息化系统建设的逐步完善，企业内部的数据量正快速地增长，公司为了将数据价值最大化，斥资购置并搭建了一套数据分析系统，并将分散在财务、OA、ERP和CRM等系统的数据做了数据整合存储，为企业提供跨业务场景的数据分析支持，提升决策的准确度。 在系统正式上线运行后，跨业务的数据分析功能得到了业务部门用户的好评，纷纷表示获取数据更加方便快捷了，而且还解决了之前各业务系统由于统计口径不一致导致数据偏差的问题。虽然业务用户反馈良好，但此时的老丁心里是喜忧参半，因为数据分析系统中汇集了全公司的业务数据，其中不乏许多敏感私密的商业信息，这些数据的集中存储增加的数据泄露的风险。一旦分析系统的数据管控不当，造成的后果相比单个业务系统的数据泄露要严重很多。目前已经陆陆续续有好几个业务部门的主管给他反馈了一些数据管控存在缺陷的问题： • 业务部门的某个普通员工能够对部门的报表模板做更改保存，影响了其他员工的报表查阅和数据分析工作； • 一线销售人员通过商品销售报表的不仅可以看到销售额和销量指标，甚至连商品销售成本和利润等敏感信息都能够查看。 • 某个门店的店长竟然能够查看到整个销售大区的订单数据； 针对以上发现的问题，引起了公司高层领导的重视，大老板向老丁下达了做好企业数据权限管控，以防内部数据大量泄漏的任务。其实在上面的案例中，老丁在建设数据分析系统时所遇到的数据管控问题，是大多数企业在建设大数据分析平台时都将存在的普遍问题，也是企业内部IT部门面临着急需解决的问题。

数据管控

如果我们想要保护企业内部数据的安全，可以从以下几个方面来打造企业级数据权限管控体系： 1. 功能权限   功能权限限制了用户在系统中的具备的操作能力，合理地为用户账号划分功能权限，是数据报告和后台数据保持稳定性的有力保障。一般可按照组织架构（集团、区域、子公司、分中心、事业部、部门等层级）、角色（超级管理员、部门管理员、普通用户）和用户等方式对功能权限进行划分，通过严格控制不同组织、不同角色及特定用户在功能模块访问权限、数据模型读写权限和数据报告读写权限三个方面具备的操作，来实现功能权限的管理。 2. 数据权限 数据权限限制了即用户在系统中所能查阅的数据范围，合理地为用户账号分配数据权限，能够有效地降低敏感数据大范围泄露的风险。在数据权限管理中一般利用行权限和列权限两种方式来限制数据的访问。行权限可根据自定义的规则来对每行数据访问的权限进行控制，主要用于按组织架构（集团、区域、子公司、分中心、事业部、部门等层级）的维度对数据访问的范围做限制。列权限则是对每列数据项的访问权限做控制，主要用于按角色（超级管理员、部门管理员、普通用户）的维度对敏感字段的访问权限做限制。 通过对用户数据权限的管理可严格控制企业内部各个部门间数据的独立性，实现不同组织/区域/部门/层级、不同角色的用户在查看同一张数据报告时只能看到对应的数据表及数据字段。举个例子，用户A是华南区域的销售主管，用户B是华北区域的普通销售员，在实现了数据权限管控前提下，当他们在查阅同一张“销售分析报告”时，用户A只能查看到华南区域的销售数据，用户B也只能查看到华北区域的销售数据，由于商品成本和利润是企业敏感数据，不允许对普通销售员开放，因此在用户B查看销售明细表时仅仅只是查看到商品的销售额和销量，但用户A是销售主管的角色，因此他在销售明细表中还能够获取到商品成本和利润两项数据字段的信息。 3. 企业权限集成管控 每个业务系统都具备单独的权限管理体系，随着企业内部建设的业务系统越来越多，所需维护管理的账户权限也将越来越复杂，这是许多企业IT部门都头疼的问题。为了彻底解决这个难题，需要在企业内部以LDAP或AD域的方式搭建一套统一的权限管控系统，并要求业务系统和数据分析平台需具备与第三方权限系统集成的能力，可通过接口的方式与统一权限管控系统对接，保证系统之间组织架构和用户账号的一致，最终实现企业级权限的统一管控。 随着企业内部大数据分析平台的逐步建立，大家开始意识到数据保护和安全的重要性，如何在保证大数据分析能力的前提下做好数据管控，是越来越多公司在对大数据分析平台选型和建设时提出的核心诉求。

如何帮助企业保护数据安全

要想满足这一诉求，就得为企业客户提供加强大的企业级管理和数据管控能力。这些能力包括6点： 1.更细粒度的权限管理： 更细粒度的操作权限配置，便于用户更有效地管理数据权限，满足自助分析的需要。管理员可以通过界面灵活地对添加数据源、创建数据集、仪表盘、以及单个数据集类型等分别设置不同组、不同角色及不同用户的读写权限。支持功能级别权限管控和数据级别权限管控。在功能级别上，要权限支持到按钮级别，比如导入导出，支持关键字段脱敏；在数据层面上支持行列级别单元格权限管控，比如让各个不同部门看到不同的数据，部门中的人也按照角色看到不同的数据。 2. 可定制化的权限管理系统   权限管理系统除了能够使用自带的权限管理系统，还得预留与第三方权限管理系统集成的标准API接口，实现能够快速地实现与企业统一权限管理系统的集成。

3. 良好的管理机制   通过提供多级权限管理，导入导出功能，任务调度功能等等，支撑一个企业级管理的需求。 4. 良好的监控机制 提供用户登录情况监控，被访问报表的监控，被调用查询的监控，执行的数据的监控，机器状态的监控等等，对系统各方面进行良好的监控。

5. 加密存储的数据文件   所有存储在平台中的数据文件都得以加密形式保存，即使外部人员通过非法手段得到相关数据文件，也无法成功破解及查看相关其中的数据内容。 6. 可靠的防暴力破解技术与密码找回机制   防止他人非法破解您的密码，保护数据安全。同一账户，在短时间内连续登陆错误次数超出限制后，再次登陆将会得到锁定提示。 通过数据管控功能，企业重新设置不同角色用户对数据报表模板的访问权限，避免了普通员工对报表模板的随意更改；同时加强了不同地区、不同角色用户对敏感数据读取写入的权限控制，防止了敏感数据的任意读取和泄露，及时解决了公司数据管控存在的问题，为数据安全与业务发展提供了更多保障。 简洁高效的数据管控不仅能够避免数据缺乏管理可能导致的风险，更能够解放IT瓶颈束缚的企业驱动力，从整体上提升数据分析与IT管理的效率与价值，从而解除“老丁”们的后顾之忧。

本文作者Jayson