诸子云｜甲方：BI系统如何平衡便捷性和安全性？企业内部移动办公应用如何增加DLP能力？

“公司正计划面向全员（主要是业务人员群体）推广使用BI系统，以便大量的业务部门人员可以借助BI开展数据分析。目前初步计划是使用*远BI。据了解，大部分BI分析需求应该实时性要求不高。

要借助BI进行数据分析，首先要引入数据，数据引入的主要方式是在BI上配置数据库连接，读取数据库中的数据，因此BI用户需要掌握数据库账号、密码。如果为每个用户配置单独的数据库链接会形成大量连接池，对数据库稳定运行带来风险，且用户掌握账号密码、很容易扩散，导致数据泄露风险。如果多个用户共用数据库账号密码，BI自身又无无法做到每个用户权限最小化。

在这个过程中，我们希望：使用BI的用户能够便利的访问数据，但又不想每个BI用户直接拥有数据库账号密码，且能够限制BI用户数据权限的最小化以及控制数据泄露风险。请问大家是如何在大范围推广用户使用BI的过程中平衡便捷性与安全性的？

在数据源和BI之间做个中间平台，通过这个中间平台做风险隔离、权限管控，中间平台可以是个应用系统，也可以是个数据库。不知道是否还有其他成本不高、易于部署实施的解决方案？”

“这个描述设计本身就不太合理。数据提供者掌握权限配置，包括账号密码等。数据消费者只在给自己开放的数据空间中分析，不需要自己去掌握数据库密码自己去连接。数据中台的价值之一就是屏蔽数据消费者对后端数据的参与。”

“应该有数据中台来隔离吗？”

“有的。BI系统本身就应该具备这个能力。”

“可以做中间层访问控制，有成熟的商业产品，也可以自己搞。”

“BI 报表开发方和 BI 报表使用方，权限控制放在BI。很多商业BI都有这个能力，类似*里云的deepinsight。”

“把BI当作一个业务系统来看。*远本身的权限体系应该能做到，最终用户不需要掌握数据库密码。”

“据说这块BI做不到细的权限控制。一般来说，BI的访问视图使用的是雪花，一般的数据仓库都支持。雪花表的好处就是按照不同的角色，综合各表能够提供的部分再造的视图。”

“再好的系统也实现不了模糊的需求。”

“1.BI工具(superset等)可以先连presto，presto支持openldap认证,presto连Backup dbms。

2.规模小企业，搭建个MySQLproxy(upsream直连数据库，数据库密码只给代理)，downsream直接接MySQL-client。 

3.稍正式做法，数据库同步到hive，hive在对接presto到bi工具，hive分析速度快于业务关系数据库MySQL等,hive单独分配账号给数分。”

“数据权限要控到什么颗粒度，业务人员要开放到什么程度，确定好了才有方案，要按照表级、行级、字段级去控制数据颗粒度，要说都能实现，成本可能无限大。”

“权限管理可以对照数据安全管理，没有数据治理和数据架构师，感觉很难设计好权限管理。”

“除了安全视角的账号、权限、流程、审计之外，BI直接接业务数据库的性能影响和数据质量没有人考虑和负责吗？”

“我个人也很好奇，按照BI的这种做法，数据安全风险不是显而易见的吗？为啥没有做一些更强的安全控制和隔离呢？”

“我的理解是，数据的分散和集中对数据权限的管控没有太多的不同。只不过是数字时代，数据集中了，风险会更高。不管是集中还是分散，都需要有一个人对角色或者系统属性进行定义，并对权限进行限制。但是可惜，这个需要业务的sense，还需要有极强的记忆和逻辑。所以你看见极端的数据环境就不是DAC而是军用的MAC。简单来看，MAC更容易控制一些。”