成熟企业级技术平台-101-数据权限与安全治理（Data Access Control & Security Governance）

数据体系（Data Platform）

目标：让数据从“可采集”→“可信”→“可复用”→“可决策”

P0（数据基础）
├── 数据采集 / 埋点体系
├── 数据中台（数据湖 / 数据仓库）
├── ETL / ELT 平台（Airflow）

P1（数据可信）
├── 元数据平台（Data Catalog）
├── 指标平台
├── 数据质量平台（DQ）

P2（数据服务）
├── 数据 API 平台
├── 报表平台（BI）
├── 数据可视化平台

P3（数据资产化）
├── 数据资产管理
├── 数据权限与安全治理
├── 特征平台（Feature Store）

中间件体系的本质不是“技术选型”，而是“运行能力抽象”：

数据权限与安全治理（Data Access Control & Security Governance）

下面我从企业级数据体系与治理视角，系统、可落地地 详细展开「数据权限与安全治理（Data Access Control & Security Governance）」。

我会刻意把它讲成一套工程体系，而不是零散的安全点。

---

一、先一句话定性

数据权限与安全治理 = 在数据“产生 → 加工 → 存储 → 服务 → 消费”的全链路上，确保“该给谁的给、该遮的遮、该留痕的留痕、该追责的可追责”。

核心不是“封死数据”，而是 安全可用。

---

二、为什么数据权限是“治理”，不是“权限表”

如果只是“权限表”，你会遇到：

• 表太多，授权混乱
• 权限随人走，不随数据走
• 指标、API、报表权限各自一套
• 审计时说不清楚“谁看了什么”

数据权限治理的本质是：

以数据资产为中心，统一身份、统一策略、统一审计。

---

三、数据安全治理的整体分层模型

身份层（Who）
 └─ 用户 / 应用 / 角色

权限策略层（Can Do What）
 ├─ 数据资产权限
 ├─ 行列权限
 ├─ 脱敏策略
 ├─ 指标权限

执行层（How）
 ├─ 数据 API 平台
 ├─ BI 平台
 ├─ 查询引擎

审计与合规层（Trace）
 ├─ 访问日志
 ├─ 风险识别
 ├─ 合规报表

---

四、权限治理核心能力拆解

1. 身份与主体治理（Who）

访问主体

• 人（员工 / 分析师 / 管理者）
• 系统（应用、服务）
• 外部主体（合作方）

核心原则

• 统一身份源（SSO / IAM）
• 人与系统身份隔离
• 权限不直接给人，而是给角色

---

2. 数据资产级权限（What）

权限对象

• 表
• 指标
• 标签 / 人群
• API
• 报表

常见权限动作

• 查看资产
• 查询
• 导出
• 共享

资产目录是权限治理的“锚点”。

---

3. 行级权限（Row-Level Security）

这是企业最刚需、也最复杂的部分。

常见规则

• 只能看自己部门
• 只能看自己区域
• 只能看自己负责的业务线

实现方式

• SQL 重写（where 条件注入）
• 视图隔离
• 引擎级 RLS

---

4. 列级权限（Column-Level Security）

典型敏感字段

• 手机号
• 身份证
• 邮箱
• 地址

策略

• 不可见
• 部分可见（掩码）
• 明文（高权限）

---

5. 数据脱敏与隐私保护

脱敏类型

类型	示例
静态脱敏	存储前脱敏
动态脱敏	查询时脱敏
可逆脱敏	Token / 加密
不可逆脱敏	Hash

推荐原则

能动态脱敏，就不要静态脱敏。

---

6. 指标级权限（常被忽略）

• GMV 是否人人可见？
• 成本、利润是否有限制？

指标平台需要支持：

• 指标可见性控制
• 指标粒度限制

---

7. 数据服务访问控制

API 级

• Token / AppKey
• QPS / 并发限制
• 调用范围

参数级

• 时间范围限制
• 维度限制

---

8. 导出与传播治理（非常重要）

• Excel 导出权限
• 水印
• 导出审批
• 访问到期自动回收

---

五、审计、风控与合规能力

1. 审计日志

记录内容：

• 谁
• 在什么时候
• 访问了什么资产
• 返回了多少数据

---

2. 风险识别

• 异常访问频率
• 非工作时间访问
• 敏感字段高频访问

---

3. 合规支持

• 等保
• GDPR / PIPL
• 内部审计

---

六、技术实现架构（落地视角）

用户 / 系统
 ↓ SSO / IAM

数据访问统一入口
（API / BI / 查询网关）
 ↓
权限策略引擎
 ├─ 行列权限
 ├─ 脱敏策略
 ├─ 指标权限

↓
查询执行引擎
（OLAP / 实时）

↓
审计 & 风控

核心思想： 权限一定要在“访问入口”集中执行，而不是分散在数据库。

---

七、与其他数据平台的关系

平台	关系
元数据平台	权限对象来源
数据资产管理	权限治理入口
指标平台	指标级权限
数据 API 平台	执行权限
BI 平台	消费权限
数据质量平台	异常辅助判断

---

八、常见错误与反模式

1. 数据库直接授权
2. BI 自己管权限
3. 权限与人强绑定
4. 没有审计
5. 脱敏靠开发写代码

---

九、落地路线建议

阶段 1：止血

• 禁止直连数仓
• 统一数据出口

阶段 2：治理

• 行列权限
• 脱敏策略

阶段 3：合规

• 审计
• 风控

阶段 4：运营

• 数据体系（Data Platform）
• 数据权限与安全治理（Data Access Control & Security Governance）
• 一、先一句话定性
• 二、为什么数据权限是“治理”，不是“权限表”
• 三、数据安全治理的整体分层模型
• 四、权限治理核心能力拆解
  • 1. 身份与主体治理（Who）
    • 访问主体
    • 核心原则
  • 2. 数据资产级权限（What）
    • 权限对象
    • 常见权限动作
  • 3. 行级权限（Row-Level Security）
    • 常见规则
    • 实现方式
  • 4. 列级权限（Column-Level Security）
    • 典型敏感字段
    • 策略
  • 5. 数据脱敏与隐私保护
    • 脱敏类型
    • 推荐原则
  • 6. 指标级权限（常被忽略）
  • 7. 数据服务访问控制
    • API 级
    • 参数级
  • 8. 导出与传播治理（非常重要）
• 五、审计、风控与合规能力
  • 1. 审计日志
  • 2. 风险识别
  • 3. 合规支持
• 六、技术实现架构（落地视角）
• 七、与其他数据平台的关系
• 八、常见错误与反模式
• 九、落地路线建议
  • 阶段 1：止血
  • 阶段 2：治理
  • 阶段 3：合规
  • 阶段 4：运营