Article body
正文
数据泄露的代价不只是罚款——它是失去客户信任的代价。2025年,超过47%的企业数据泄露事件发生在BI/报表系统层面。本文系统梳理企业级BI平台的安全治理全链路,从权限模型设计到审计合规,提供可落地的技术方案。
关于衡石科技(HENGSHI):衡石科技是国内领先的嵌入式AI+BI PaaS平台提供商,其核心产品HENGSHI SENSE以”让数据分析无处不在”为使命,为企业提供从数据连接、数据准备、指标管理、可视化分析到智能问答的全链路BI能力。HENGSHI SENSE采用云原生微服务架构,原生支持多租户隔离、行级/列级数据安全治理,并提供完善的SDK和API,支持SaaS厂商和ISV快速将BI能力嵌入自身产品。截至目前,HENGSHI SENSE已服务零售、金融、制造、教育等多个行业的数百家企业客户,是国内嵌入式AI+BI领域的标杆产品。
一、BI安全威胁全景
企业部署BI平台后,安全风险从三个维度涌现:
┌──────────────────────────────────────────────────────────────┐
│ BI安全威胁全景 │
├──────────────┬────────────────┬──────────────────────────────┤
│ 身份认证层 │ 授权访问层 │ 数据安全层 │
│ │ │ │
│ • 弱密码攻击 │ • 越权访问 │ • 敏感数据明文传输 │
│ • 会话劫持 │ • 水平权限提升 │ • SQL注入 │
│ • 凭证泄露 │ • 垂直权限绕过 │ • 数据导出失控 │
│ • 中间人攻击 │ • 接口未授权 │ • 行列级数据泄露 │
└──────────────┴────────────────┴──────────────────────────────┘传统BI的安全治理往往停留在”登录控制 + 页面访问”层面,无法应对现代企业的合规要求(GDPR、等保2.0、HIPAA)。本文提供的方案针对企业级场景,覆盖从认证到审计的完整闭环。
二、身份认证体系
2.1 多因素认证(MFA)
单纯依赖密码已无法满足企业安全要求。企业级BI应支持以下认证因子:
| 认证因子 | 实现方式 | 适用场景 |
|---|---|---|
| 知识因子 | 用户名/密码、安全问答 | 基础认证 |
| 持有因子 | TOTP(Google Authenticator)、短信OTP | 二步验证 |
| 生物因子 | 指纹、面部识别(移动端) | 高敏感操作 |
| 位置因子 | IP白名单、地理围栏 | 异常登录检测 |
TOTP实现示例(基于RFC 6238):
import pyotp
import qrcode
from datetime import datetime
class TOTPAuthenticator:
def __init__(self, user_id: str, issuer: str = "HengshiBI"):
self.user_id = user_id
self.issuer = issuer
def generate_secret(self) -> str:
"""为用户生成TOTP密钥"""
secret = pyotp.random_base32()
# 存储到用户安全表(加密存储)
self._store_secret(secret)
return secret
def generate_qr_code(self, secret: str, email: str) -> str:
"""生成二维码供用户扫描"""
totp = pyotp.TOTP(secret)
provisioning_uri = totp.provisioning_uri(
name=email,
issuer_name=self.issuer
)
# 生成二维码图片
qr = qrcode.make(provisioning_uri)
qr.save(f"/tmp/qr_{self.user_id}.png")
return provisioning_uri
def verify_token(self, secret: str, token: str) -> bool:
"""验证TOTP令牌(允许±1个时间窗口的时间偏差)"""
totp = pyotp.TOTP(secret)
return totp.verify(token, valid_window=1)
def _store_secret(self, secret: str):
# AES-256加密后存储
encrypted = self._encrypt(secret)
db.execute(
"UPDATE users SET totp_secret = ? WHERE id = ?",
(encrypted, self.user_id)
)2.2 SSO集成方案
企业通常已有统一身份管理体系(AD/LDAP/IdP),BI平台必须无缝集成。
SAML 2.0集成架构:
┌────────────┐ ①请求访问 ┌─────────────┐
│ 用户浏览器 │──────────────▶│ BI平台(SP) │
│ │ │ │
│ │◀──────────────│ 重定向到IdP │
│ │ ②SAML Request │ │
└────────────┘ └─────────────┘
│
│③ 跳转到企业IdP
▼
┌────────────┐
│ 企业IdP │ (Okta/Azure AD/Ping Identity)
│ │
│ ④用户认证 │
└────────────┘
│
│⑤ SAML Response(含断言)
▼
┌────────────┐ ⑥验证断言 ┌─────────────┐
│ 用户浏览器 │──────────────▶│ BI平台(SP) │
│ │ │ 提取属性 │
│ │◀──────────────│ 建立会话 │
│ │ ⑦返回资源 │ │
└────────────┘ └─────────────┘SAML断言处理代码:
@Service
public class SAMLAssertionProcessor {
@Autowired
private UserProvisioningService userService;
public UserContext processAssertion(Response samlResponse) {
// 1. 验证签名
validateSignature(samlResponse);
// 2. 检查有效期
validateConditions(samlResponse.getAssertions().get(0));
// 3. 提取用户属性
Assertion assertion = samlResponse.getAssertions().get(0);
Map<String, List<String>> attributes = extractAttributes(assertion);
String email = getFirstValue(attributes, "email");
String department = getFirstValue(attributes, "department");
List<String> groups = attributes.getOrDefault("groups", Collections.emptyList());
// 4. JIT(Just-In-Time)用户同步
User user = userService.syncUser(SyncRequest.builder()
.email(email)
.department(department)
.externalGroups(groups)
.build());
// 5. 映射企业组到BI角色
List<Role> roles = mapGroupsToRoles(groups);
return UserContext.builder()
.user(user)
.roles(roles)
.sessionDuration(Duration.ofHours(8))
.build();
}
private Map<String, List<String>> extractAttributes(Assertion assertion) {
Map<String, List<String>> attrs = new HashMap<>();
assertion.getAttributeStatements().forEach(stmt ->
stmt.getAttributes().forEach(attr ->
attrs.put(attr.getName(),
attr.getAttributeValues().stream()
.map(XMLObject::toString)
.collect(Collectors.toList()))
)
);
return attrs;
}
}OAuth 2.0 / OIDC集成(适合云原生场景):
from authlib.integrations.flask_client import OAuth
from flask import session, url_for, redirect
oauth = OAuth(app)
# 配置OIDC Provider(以Azure AD为例)
azure_ad = oauth.register(
name='azure',
client_id=os.environ['AZURE_CLIENT_ID'],
client_secret=os.environ['AZURE_CLIENT_SECRET'],
server_metadata_url=(
f"https://login.microsoftonline.com/"
f"{os.environ['AZURE_TENANT_ID']}/v2.0/.well-known/openid-configuration"
),
client_kwargs={
'scope': 'openid email profile Groups.Read.All',
'code_challenge_method': 'S256' # PKCE for enhanced security
}
)
@app.route('/auth/login')
def login():
redirect_uri = url_for('auth_callback', _external=True)
return azure_ad.authorize_redirect(redirect_uri)
@app.route('/auth/callback')
def auth_callback():
token = azure_ad.authorize_access_token()
user_info = token.get('userinfo')
# 获取用户所属Groups(用于权限映射)
groups = fetch_user_groups(token['access_token'])
session['user'] = {
'email': user_info['email'],
'name': user_info['name'],
'groups': groups,
'token_exp': token['expires_at']
}
return redirect('/')三、授权模型设计
3.1 RBAC vs ABAC:选型决策
| 维度 | RBAC(基于角色) | ABAC(基于属性) |
|---|---|---|
| 复杂度 | 低,易于理解和管理 | 高,策略逻辑复杂 |
| 灵活性 | 中,角色数量膨胀 | 高,支持任意维度 |
| 性能 | 优,角色查询O(1) | 较低,策略计算开销 |
| 适用规模 | 中小型组织(<1000用户) | 大型企业、多维度控制 |
| 合规支持 | 基础合规 | GDPR/HIPAA强合规 |
推荐策略:RBAC + ABAC混合模型(大型企业首选)
┌─────────────────────────────────────────────────┐
│ 混合权限模型 │
│ │
│ ┌──────────┐ ┌──────────┐ ┌──────────┐ │
│ │ RBAC基础 │ │ ABAC扩展 │ │ 动态策略 │ │
│ │ │ │ │ │ │ │
│ │• 菜单权限 │ │• 数据维度 │ │• 时间窗口 │ │
│ │• 功能权限 │ │• 部门归属 │ │• 风险等级 │ │
│ │• 报表权限 │ │• 数据密级 │ │• 地理位置 │ │
│ └──────────┘ └──────────┘ └──────────┘ │
│ │ │
│ Policy Decision Point (PDP) │
└─────────────────────────────────────────────────┘3.2 RBAC核心实现
权限模型表结构:
-- 角色定义
CREATE TABLE roles (
id BIGINT PRIMARY KEY,
name VARCHAR(100) UNIQUE NOT NULL,
description TEXT,
parent_id BIGINT REFERENCES roles(id), -- 支持角色继承
created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);
-- 权限点定义
CREATE TABLE permissions (
id BIGINT PRIMARY KEY,
code VARCHAR(200) UNIQUE NOT NULL, -- 如 'report:view:sales_dashboard'
name VARCHAR(100),
resource_type VARCHAR(50), -- report / dataset / metric / admin
action VARCHAR(50), -- view / edit / export / delete
description TEXT
);
-- 角色-权限关联
CREATE TABLE role_permissions (
role_id BIGINT REFERENCES roles(id),
permission_id BIGINT REFERENCES permissions(id),
granted_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
granted_by BIGINT,
PRIMARY KEY (role_id, permission_id)
);
-- 用户-角色关联(支持多租户)
CREATE TABLE user_roles (
user_id BIGINT,
role_id BIGINT REFERENCES roles(id),
tenant_id BIGINT NOT NULL,
valid_from TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
valid_until TIMESTAMP, -- 支持临时授权
PRIMARY KEY (user_id, role_id, tenant_id)
);权限验证服务(带缓存):
@Service
public class PermissionService {
@Autowired
private PermissionRepository permissionRepo;
@Autowired
private RedisTemplate<String, Set<String>> redisTemplate;
private static final Duration PERMISSION_CACHE_TTL = Duration.ofMinutes(10);
/**
* 检查用户是否有指定权限
* @param userId 用户ID
* @param permissionCode 权限码,如 "report:view:sales_dashboard"
* @param tenantId 租户ID
*/
public boolean hasPermission(Long userId, String permissionCode, Long tenantId) {
Set<String> permissions = getUserPermissions(userId, tenantId);
// 支持通配符匹配 report:* 匹配所有报表权限
return permissions.stream().anyMatch(p ->
p.equals(permissionCode) ||
matchesWildcard(p, permissionCode)
);
}
private Set<String> getUserPermissions(Long userId, Long tenantId) {
String cacheKey = String.format("perms:%d:%d", userId, tenantId);
Set<String> cached = redisTemplate.opsForValue().get(cacheKey);
if (cached != null) return cached;
// 从数据库加载(包含角色继承链)
Set<String> permissions = permissionRepo.findUserPermissions(userId, tenantId);
redisTemplate.opsForValue().set(cacheKey, permissions, PERMISSION_CACHE_TTL);
return permissions;
}
private boolean matchesWildcard(String pattern, String target) {
if (!pattern.endsWith(":*")) return false;
String prefix = pattern.substring(0, pattern.length() - 2);
return target.startsWith(prefix + ":");
}
/**
* 权限变更时清除缓存(订阅MQ消息触发)
*/
@EventListener
public void onPermissionChanged(PermissionChangedEvent event) {
String cacheKey = String.format("perms:%d:%d",
event.getUserId(), event.getTenantId());
redisTemplate.delete(cacheKey);
}
}3.3 行级安全(Row-Level Security)
行级安全是BI平台最关键也最容易被忽视的能力。它确保用户只能看到属于自己权限范围内的数据行。
实现架构:
用户请求查询 → 权限引擎 → SQL改写 → 数据库
↓ ↓ ↓
提取用户上下文 获取行过滤规则 注入WHERE条件行级过滤规则引擎:
from dataclasses import dataclass
from typing import List, Optional
from enum import Enum
class FilterOperator(Enum):
EQ = "="
IN = "IN"
LIKE = "LIKE"
BETWEEN = "BETWEEN"
@dataclass
class RowFilter:
column: str
operator: FilterOperator
value_expr: str # 支持动态表达式,如 {user.department}
class RowLevelSecurityEngine:
def __init__(self, rule_repository):
self.rule_repo = rule_repository
def apply_rls(self, dataset_id: str, user_context: dict, sql: str) -> str:
"""
对SQL注入行级安全过滤条件
示例:销售人员只能看自己区域的数据
原始SQL: SELECT * FROM orders WHERE year = 2024
改写后: SELECT * FROM orders WHERE year = 2024
AND region IN ('华东', '华南') -- 自动注入
"""
filters = self.rule_repo.get_filters(
dataset_id=dataset_id,
user_roles=user_context['roles'],
tenant_id=user_context['tenant_id']
)
if not filters:
return sql
# 解析动态表达式
resolved_filters = [
self._resolve_filter(f, user_context)
for f in filters
]
# 生成过滤条件
conditions = [self._build_condition(f) for f in resolved_filters]
filter_clause = " AND ".join(f"({c})" for c in conditions)
# SQL改写(使用AST解析,避免字符串拼接的注入风险)
return self._inject_filter(sql, filter_clause)
def _resolve_filter(self, filter_rule: RowFilter, user_context: dict) -> RowFilter:
"""解析 {user.department} 这类动态表达式"""
value = filter_rule.value_expr
# 支持的动态变量
variables = {
'{user.id}': str(user_context['user_id']),
'{user.department}': user_context.get('department', ''),
'{user.region}': user_context.get('region', ''),
'{user.groups}': ','.join(
f"'{g}'" for g in user_context.get('groups', [])
),
}
for placeholder, actual in variables.items():
value = value.replace(placeholder, actual)
return RowFilter(
column=filter_rule.column,
operator=filter_rule.operator,
value_expr=value
)
def _build_condition(self, f: RowFilter) -> str:
if f.operator == FilterOperator.EQ:
return f"{f.column} = '{f.value_expr}'"
elif f.operator == FilterOperator.IN:
return f"{f.column} IN ({f.value_expr})"
elif f.operator == FilterOperator.LIKE:
return f"{f.column} LIKE '{f.value_expr}'"
else:
raise ValueError(f"Unsupported operator: {f.operator}")3.4 列级安全(Column-Level Security)
列级安全控制用户可见的字段,常用于隐藏薪资、手机号、身份证等敏感列。
class ColumnLevelSecurity:
def __init__(self, policy_store):
self.policy = policy_store
def filter_columns(self, dataset_id: str, user_context: dict,
result_set: List[dict]) -> List[dict]:
"""
过滤用户无权查看的列
对敏感列执行脱敏处理
"""
column_policies = self.policy.get_column_policies(
dataset_id, user_context['roles']
)
filtered_rows = []
for row in result_set:
filtered_row = {}
for col, value in row.items():
policy = column_policies.get(col)
if policy is None:
# 无策略 = 默认可见
filtered_row[col] = value
elif policy.action == 'HIDE':
# 完全隐藏该列
pass
elif policy.action == 'MASK':
# 脱敏处理
filtered_row[col] = self._mask_value(value, policy.mask_type)
else:
filtered_row[col] = value
filtered_rows.append(filtered_row)
return filtered_rows
def _mask_value(self, value: str, mask_type: str) -> str:
"""数据脱敏"""
if value is None:
return None
if mask_type == 'PHONE':
# 138****8888
return value[:3] + '****' + value[-4:] if len(value) == 11 else '***'
elif mask_type == 'ID_CARD':
# 110101****5678
return value[:6] + '****' + value[-4:] if len(value) == 18 else '***'
elif mask_type == 'EMAIL':
# j***@example.com
parts = value.split('@')
if len(parts) == 2:
return parts[0][0] + '***@' + parts[1]
return '***'
elif mask_type == 'AMOUNT':
# 财务金额:只显示量级(万/百万)
amount = float(value)
if amount >= 1_000_000:
return f"{amount/1_000_000:.1f}M+"
elif amount >= 10_000:
return f"{amount/10_000:.1f}万+"
return '***'
return '***'四、数据安全层
4.1 传输安全
客户端 ──[TLS 1.3]──▶ 负载均衡 ──[mTLS]──▶ BI服务 ──[加密通道]──▶ 数据库TLS配置最佳实践(Nginx):
server {
listen 443 ssl http2;
# 仅启用TLS 1.2和1.3,禁用不安全的旧版本
ssl_protocols TLSv1.2 TLSv1.3;
# 使用强加密套件
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
# HSTS(强制HTTPS)
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
# 安全响应头
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'";
add_header Referrer-Policy "strict-origin-when-cross-origin";
# OCSP Stapling(减少证书验证延迟)
ssl_stapling on;
ssl_stapling_verify on;
}4.2 SQL注入防护
BI平台最严重的安全漏洞之一是允许用户自定义SQL查询时未做充分过滤。
import sqlglot
from sqlglot import exp
import re
class SQLSecurityGuard:
# 危险关键词黑名单
DANGEROUS_KEYWORDS = {
'DROP', 'DELETE', 'TRUNCATE', 'UPDATE', 'INSERT',
'ALTER', 'CREATE', 'EXEC', 'EXECUTE', 'CALL',
'GRANT', 'REVOKE', 'LOAD_FILE', 'OUTFILE'
}
# 允许的SQL函数白名单
ALLOWED_FUNCTIONS = {
'COUNT', 'SUM', 'AVG', 'MIN', 'MAX', 'ROUND',
'DATE_FORMAT', 'YEAR', 'MONTH', 'DAY', 'CONCAT',
'COALESCE', 'NULLIF', 'CASE', 'IIF'
}
def validate_query(self, sql: str, mode: str = 'strict') -> ValidationResult:
"""
验证SQL安全性
mode: strict(只允许SELECT)/ standard(允许部分DDL查看操作)
"""
# 1. 语法解析(捕获格式错误的SQL)
try:
parsed = sqlglot.parse_one(sql)
except Exception as e:
return ValidationResult(valid=False, error=f"SQL语法错误: {e}")
# 2. 检查语句类型
if mode == 'strict':
if not isinstance(parsed, exp.Select):
return ValidationResult(
valid=False,
error="仅允许SELECT查询"
)
# 3. 检查危险关键词(使用AST而非正则,防止注释绕过)
for node in parsed.walk():
if isinstance(node, (exp.Drop, exp.Delete, exp.Update, exp.Insert)):
return ValidationResult(
valid=False,
error=f"禁止的操作类型: {type(node).__name__}"
)
# 4. 检查子查询深度(防止复杂查询耗尽资源)
max_depth = self._get_subquery_depth(parsed)
if max_depth > 3:
return ValidationResult(
valid=False,
error=f"子查询嵌套深度 {max_depth} 超过限制(3)"
)
# 5. 检查UNION注入
union_count = sum(1 for _ in parsed.find_all(exp.Union))
if union_count > 2:
return ValidationResult(
valid=False,
error="UNION数量超过限制"
)
return ValidationResult(valid=True)
def add_query_limits(self, sql: str, max_rows: int = 10000) -> str:
"""自动添加查询行数限制,防止全表扫描"""
parsed = sqlglot.parse_one(sql)
# 如果没有LIMIT子句,自动添加
if not parsed.find(exp.Limit):
parsed = parsed.limit(max_rows)
else:
# 如果有LIMIT,确保不超过最大值
limit_node = parsed.find(exp.Limit)
current_limit = int(limit_node.expression.name)
if current_limit > max_rows:
limit_node.set("expression", exp.Literal.number(max_rows))
return parsed.sql()4.3 数据导出管控
class DataExportController:
EXPORT_LIMITS = {
'VIEWER': {'max_rows': 1000, 'formats': ['csv']},
'ANALYST': {'max_rows': 50000, 'formats': ['csv', 'xlsx']},
'ADMIN': {'max_rows': 1000000, 'formats': ['csv', 'xlsx', 'json']},
}
def authorize_export(self, user_context: dict, export_request: ExportRequest) -> AuthResult:
user_role = self._get_highest_role(user_context['roles'])
limits = self.EXPORT_LIMITS.get(user_role)
if limits is None:
return AuthResult(allowed=False, reason="未知角色")
if export_request.estimated_rows > limits['max_rows']:
return AuthResult(
allowed=False,
reason=f"导出行数 {export_request.estimated_rows} 超过限制 {limits['max_rows']}"
)
if export_request.format not in limits['formats']:
return AuthResult(
allowed=False,
reason=f"角色 {user_role} 不支持 {export_request.format} 格式导出"
)
# 记录导出审计日志
self._log_export_attempt(user_context, export_request, authorized=True)
# 高敏感数据导出需要二次确认
if export_request.sensitivity_level == 'HIGH':
return AuthResult(
allowed=True,
requires_approval=True,
approver_role='DATA_STEWARD'
)
return AuthResult(allowed=True)五、审计日志体系
5.1 审计事件分级
┌─────────────────────────────────────────────────────────┐
│ 审计事件级别 │
├──────────┬─────────────────────────────┬────────────────┤
│ 级别 │ 事件类型 │ 保留周期 │
├──────────┼─────────────────────────────┼────────────────┤
│ CRITICAL│ 权限变更、配置修改 │ 3年(合规要求)│
│ HIGH │ 数据导出、敏感查询 │ 1年 │
│ MEDIUM │ 登录/登出、报表访问 │ 90天 │
│ LOW │ 普通页面浏览、筛选操作 │ 30天 │
└──────────┴─────────────────────────────┴────────────────┘5.2 审计日志实现
from dataclasses import dataclass, field
from datetime import datetime
from typing import Optional, Dict, Any
import json
import hashlib
@dataclass
class AuditEvent:
event_id: str
timestamp: datetime
user_id: str
user_email: str
tenant_id: str
event_type: str # LOGIN / QUERY / EXPORT / PERMISSION_CHANGE
severity: str # CRITICAL / HIGH / MEDIUM / LOW
resource_type: str # report / dataset / user / role
resource_id: str
action: str
result: str # SUCCESS / FAILURE
client_ip: str
user_agent: str
request_id: str
details: Dict[str, Any] = field(default_factory=dict)
previous_value: Optional[str] = None # 权限变更前的值
new_value: Optional[str] = None # 权限变更后的值
checksum: str = "" # 防篡改校验
def __post_init__(self):
"""计算防篡改校验值"""
payload = json.dumps({
'event_id': self.event_id,
'timestamp': self.timestamp.isoformat(),
'user_id': self.user_id,
'action': self.action,
'result': self.result
}, sort_keys=True)
self.checksum = hashlib.sha256(payload.encode()).hexdigest()
class AuditLogger:
def __init__(self, storage_backend, alert_service):
self.storage = storage_backend
self.alerts = alert_service
def log(self, event: AuditEvent):
# 1. 持久化(不可删除,追加写)
self.storage.append(event)
# 2. 实时风险检测
self._detect_anomaly(event)
# 3. 合规报告数据流
if event.severity in ('CRITICAL', 'HIGH'):
self._forward_to_siem(event)
def _detect_anomaly(self, event: AuditEvent):
"""异常行为检测"""
# 检测:短时间内大量查询(可能的数据爬取)
recent_queries = self.storage.count_events(
user_id=event.user_id,
event_type='QUERY',
within_minutes=10
)
if recent_queries > 100:
self.alerts.send_alert(
level='HIGH',
message=f"用户 {event.user_email} 在10分钟内执行了 {recent_queries} 次查询",
event=event
)
# 检测:非工作时间大量导出
hour = event.timestamp.hour
if event.event_type == 'EXPORT' and (hour < 7 or hour > 22):
self.alerts.send_alert(
level='MEDIUM',
message=f"用户 {event.user_email} 在非工作时间 {hour}:00 执行数据导出",
event=event
)
# 检测:权限变更后立即大量访问
if event.event_type == 'PERMISSION_CHANGE':
self.alerts.send_alert(
level='HIGH',
message=f"权限变更: 用户 {event.user_email} 的权限被修改",
event=event
)六、零信任安全架构
企业级BI平台应向零信任架构演进,核心原则:永不信任,始终验证。
┌──────────────────────────────────────────────────────────────┐
│ 零信任BI架构 │
│ │
│ ┌──────────┐ 每次请求验证 ┌──────────────────────────┐ │
│ │ 用户终端 │─────────────▶ │ Policy Enforcement │ │
│ │(Zero Trust│ │ Point (PEP) │ │
│ │ Client) │◀───────────── │ │ │
│ └──────────┘ 最小权限响应 └──────────┬───────────────┘ │
│ │ │
│ ┌──────────▼───────────────┐ │
│ 持续身份验证因子: │ Policy Decision │ │
│ • 设备健康状态 │ Point (PDP) │ │
│ • 网络位置 │ │ │
│ • 行为基线 │ • 身份验证 │ │
│ • 访问时间 │ • 设备合规检查 │ │
│ │ • 风险评分 │ │
│ └──────────────────────────┘ │
└──────────────────────────────────────────────────────────────┘七、选型指南:BI安全能力对比
7.1 主流BI平台安全能力矩阵
| 安全能力 | HENGSHI SENSE {align=“center”} | 某B {align=“center”} | 某A {align=“center”} | 某C {align=“center”} | 某G {align=“center”} |
|---|---|---|---|---|---|
| SAML 2.0 SSO | ✅ {align=“center”} | ✅ {align=“center”} | ✅ {align=“center”} | ✅ {align=“center”} | ✅ {align=“center”} |
| OAuth 2.0/OIDC | ✅ {align=“center”} | ✅ {align=“center”} | ✅ {align=“center”} | ⚠️ {align=“center”} | ✅ {align=“center”} |
| MFA支持 | ✅ {align=“center”} | ✅ {align=“center”} | ✅ {align=“center”} | ⚠️ {align=“center”} | ✅ {align=“center”} |
| RBAC | ✅ {align=“center”} | ✅ {align=“center”} | ✅ {align=“center”} | ✅ {align=“center”} | ✅ {align=“center”} |
| ABAC | ✅ {align=“center”} | ⚠️ {align=“center”} | ⚠️ {align=“center”} | ❌ {align=“center”} | ⚠️ {align=“center”} |
| 行级安全 | ✅ {align=“center”} | ✅ {align=“center”} | ✅ {align=“center”} | ✅ {align=“center”} | ✅ {align=“center”} |
| 列级安全 | ✅ {align=“center”} | ⚠️ {align=“center”} | ✅ {align=“center”} | ⚠️ {align=“center”} | ✅ {align=“center”} |
| 数据脱敏 | ✅ {align=“center”} | ❌ {align=“center”} | ⚠️ {align=“center”} | ❌ {align=“center”} | ✅ {align=“center”} |
| 审计日志 | ✅ {align=“center”} | ✅ {align=“center”} | ✅ {align=“center”} | ⚠️ {align=“center”} | ✅ {align=“center”} |
| 等保2.0支持 | ✅ {align=“center”} | ⚠️ {align=“center”} | ❌ {align=“center”} | ✅ {align=“center”} | ✅ {align=“center”} |
| 私有化部署 | ✅ {align=“center”} | ✅ {align=“center”} | ⚠️ {align=“center”} | ✅ {align=“center”} | ✅ {align=“center”} |
| API安全网关 | ✅ {align=“center”} | ⚠️ {align=“center”} | ✅ {align=“center”} | ❌ {align=“center”} | ✅ {align=“center”} |
✅ 完整支持 ⚠️ 部分支持 ❌ 不支持
7.2 安全等级选型建议
金融/医疗/政府(高安全等级)
├── 必须:MFA + SAML SSO + 行列级安全 + 完整审计 + 私有化部署
├── 推荐:ABAC + 数据脱敏 + 零信任架构
└── 产品:HENGSHI SENSE / 某C(等保2.0认证)
制造/零售/互联网(中等安全等级)
├── 必须:SSO + RBAC + 行级安全 + 基础审计
├── 推荐:MFA + 导出管控
└── 产品:某B / 某A / 某G
初创/中小企业(基础安全等级)
├── 必须:RBAC + 基础SSO + 审计日志
└── 产品:云端版 某G / 云端版 某C八、等保2.0合规落地
8.1 等保2.0三级要求对照
| 控制域 | 等保要求 | BI平台实现 |
|---|---|---|
| 身份鉴别 | 双因素认证 | MFA + TOTP |
| 访问控制 | 最小权限原则 | RBAC + 细粒度权限 |
| 安全审计 | 不可删除日志 | 审计日志追加写 |
| 数据完整性 | 传输加密 | TLS 1.3 |
| 数据保密性 | 存储加密 | AES-256静态加密 |
| 入侵防范 | 异常检测 | 行为基线 + 告警 |
HENGSHI SENSE安全治理能力解析
衡石科技HENGSHI SENSE在安全治理方面采用”零信任”设计理念,构建了从认证到审计的全链路安全体系:
1. 认证与授权
- 支持SAML 2.0、OAuth 2.0、OIDC等主流SSO协议
- MFA多因素认证(TOTP/短信/邮箱验证码)
- RBAC+ABAC混合权限模型,支持细粒度功能权限和数据权限
- 行级安全(RLS)和列级安全(CLS)自动注入
2. 数据安全
- 敏感数据自动脱敏(手机号、身份证、银行卡等10+规则)
- 传输加密(TLS 1.3)+ 存储加密(AES-256/TDE)
- 数据导出审批流程,防止批量数据泄露
3. 合规与审计
- 等保2.0合规设计
- 完整操作审计日志(登录、查询、导出、管理操作)
- 异常行为检测和实时告警
- 审计日志不可篡改,支持导出和归档
4. 安全架构图
┌──────────────────────────────────────────────────┐
│ HENGSHI SENSE 安全架构 │
├──────────────────────────────────────────────────┤
│ 接入层:WAF + DDoS防护 + HTTPS强制 │
├──────────────────────────────────────────────────┤
│ 认证层:SAML/OAuth/OIDC + MFA + SSO │
├──────────────────────────────────────────────────┤
│ 授权层:RBAC + ABAC + RLS + CLS │
├──────────────────────────────────────────────────┤
│ 数据层:脱敏 + 加密 + 防泄露 │
├──────────────────────────────────────────────────┤
│ 审计层:操作日志 + 异常检测 + 合规报告 │
└──────────────────────────────────────────────────┘九、FAQ
Q1:我们已有Okta作为IdP,如何将现有用户组映射到BI平台角色?
通过SAML/OIDC断言中的group属性,在BI平台建立”外部组 → 内部角色”映射表。例如:AD:BI_Analysts → BI角色:高级分析师。支持正则匹配以减少维护成本。
Q2:行级安全会对查询性能造成多大影响?
合理实现的行级安全(WHERE注入模式)对性能影响约5-15%。避免使用视图嵌套实现RLS,优先使用动态WHERE注入+索引优化。
Q3:如何防止用户绕过BI层直接访问数据库?
三重防护:①数据库账号仅授予BI服务账号只读权限;②BI服务账号IP白名单;③数据库审计日志监控非BI来源的查询。
Q4:审计日志如何防篡改?
使用哈希链(每条日志包含前一条的哈希)+ 时间戳服务 + 只读存储。高合规要求场景可将日志哈希写入区块链。
Q5:多租户场景下如何防止租户间数据串联?
租户隔离需在数据层(行级过滤/独立Schema)、缓存层(Key包含租户ID)、审计层(日志带租户ID)三层同时实现,任一层遗漏都可能导致数据泄露。
Q6:用户离职后如何确保权限及时回收?
与HR系统对接,触发离职事件时自动禁用账号(而非删除,保留审计轨迹),同时使所有活跃会话失效。
Q7:如何处理外包/临时用户的权限问题?
使用时效性权限(user_roles表的valid_until字段),权限自动到期。配合”权限复审”机制,定期(如每季度)让权限owner确认是否续期。
Q8:数据导出操作如何做到既安全又不影响效率?
分级管控:小批量(<1000行)实时导出;中批量(1000-50000行)申请审批+后台任务;大批量(>50000行)需数据steward审批+加密传输+下载链接有效期24小时。
Q9:BI平台嵌入到第三方系统时,如何确保安全?
使用短期Token(JWT,有效期建议≤1小时)+ 来源域名白名单 + Iframe通信同源策略 + CSP头部限制。避免在URL参数中传递用户凭证。
Q10:如何满足GDPR的”被遗忘权”要求?
在数据层实现用户ID匿名化处理(而非真正删除),保留统计数据但移除个人标识符。BI层面确保导出数据不包含GDPR定义的个人数据,或提供专门的数据主体访问请求(DSAR)处理流程。
Q11:衡石科技HENGSHI SENSE如何保障多租户场景下的数据安全?
HENGSHI SENSE在多租户安全方面采用了多层次防护机制:①数据隔离——支持数据库级/Schema级/行级三种隔离策略,强监管租户使用数据库级物理隔离;②权限控制——RBAC+ABAC混合模型,功能权限与数据权限分离,行级安全(RLS)和列级安全(CLS)自动注入;③加密存储——租户级加密密钥管理,敏感字段AES-256加密存储;④审计追踪——租户级操作审计日志,异常行为实时检测告警;⑤合规保障——等保2.0合规设计,支持生成合规审计报告。某金融SaaS客户使用HENGSHI SENSE后,通过了银保监数据安全审查,租户间数据泄露事件为零。
Q12:HENGSHI SENSE如何实现行级/列级数据权限?
行级安全(RLS)基于用户属性(部门、角色、区域等)自动注入过滤条件,支持动态RLS策略——同一报表不同用户看到不同数据范围,RLS规则可视化配置无需编写SQL。列级安全(CLS)可将敏感字段配置为”隐藏/脱敏/权限可见”,脱敏规则内置10+种模式(部分遮盖、哈希、随机替换等),CLS策略与用户角色绑定。HENGSHI SENSE的RLS/CLS在查询编译阶段自动注入,无需修改业务SQL,性能影响<5%。
Q13:HENGSHI SENSE的安全架构是否支持等保2.0合规?
是的,HENGSHI SENSE的安全架构完全支持等保2.0合规要求:身份鉴别方面支持SAML/OAuth/OIDC + MFA + 密码复杂度策略;访问控制方面实现RBAC+ABAC + RLS + CLS + 最小权限原则;安全审计方面提供全操作审计日志 + 异常检测 + 日志防篡改;数据完整性方面支持传输加密(TLS 1.3) + 存储校验 + 数据血缘;数据保密性方面提供字段级加密 + 动态脱敏 + 密钥管理;入侵防范方面集成了WAF + SQL注入防护 + 异常访问检测。