本發明公開了一種基于數據中臺的數據權限控制系統，包括運維模塊、Maxcompute數據中臺模塊、Maxcompute用戶模塊及Dataworks權限控制模塊，其中Maxcompute用戶模塊主要負責數據倉庫服務的權限管理，包括用戶認證、項目空間整體保護、平臺底層運營和運維、項目空間級別的強制訪問控制策略以及ACL、角色權限管理，Dataworks權限控制模塊主要實現數據處理之間的權限控制，負責企業之間的數據安全隔離、劃分角色權限以便管理人員對數據的操作權限。清數據中臺中的敏感數據分布情況以及分類分級情況，實現基于敏感標簽或敏感級別的授權訪問控制，Maxcompute及Dataworks聯合權限管理反映了用戶對于數據中臺用戶及角色對于數據管理權限的迫切需要，起到了非常有效的作用。

技術領域

本發明屬于大數據中臺技術領域，具體涉及一種基于數據中臺的數據權限控制系統。

背景技術

近年來，數字經濟蓬勃發展，數據不僅成為了國家基礎性戰略資源，也是企業推動經濟社會創新發展的關鍵生產要素。在大數據時代，國網福建省電力公司每時每刻都在產生海量的數據，數據中臺海量原始數據類型包括如財務、營銷等企業關鍵核心系統存在的客戶個人隱私信息(包括客戶姓名、身份證號碼，聯系電話，銀行卡號，電費記錄，單位名稱，職務等信息類型)，公司需要在海量的數據中快速、挖掘、引領用戶需求，提供數據資產、數據監測及數據分析等服務，因此，國網福建省電力公司緊跟國家電網公司總部的步伐，初步建立了公司企業級數據中臺，數據中臺是公司各類數據資源的匯聚中心、數據資產轉化中心、數據價值發掘中心，可以滿足橫向跨專業、縱向不同層級的數據共享、分析挖掘和融通需求，為數據高效及整合利用提供了有效的保障。

公司數據中臺海量原始數據類型包括如財務、營銷等企業關鍵核心系統存在的客戶個人隱私信息(包括客戶姓名、身份證號碼，聯系電話，銀行卡號，電費記錄，單位名稱，職務等信息類型)，是極其敏感且具有高度價值的數據，一旦出現數據泄露事件，其產生的損失和影響難以估量，在當今數據泄露事件可能造成違法的情況下，有必要對數據中臺的數據安全提供進一步的保護。

發明內容

本發明的目的在于提供一種基于數據中臺的數據權限控制系統，以解決上述背景技術中提出現有技術中的問題。

為實現上述目的，本發明采用了如下技術方案：

一種基于數據中臺的數據權限控制系統，包括運維模塊、Maxcompute數據中臺模塊、Maxcompute用戶模塊及Dataworks權限控制模塊，所述Maxcompute數據中臺模塊通過Maxcompute用戶模塊及Dataworks權限控制模塊進行權限管理與控制，其中Maxcompute用戶模塊主要負責數據倉庫服務的權限管理，包括用戶認證、項目空間整體保護、平臺底層運營和運維、項目空間級別的強制訪問控制策略以及ACL、角色權限管理，Dataworks權限控制模塊主要實現數據處理之間的權限控制，負責企業之間的數據安全隔離、劃分角色權限以便管理人員對數據的操作權限。

優選的，所述Maxcompute數據中臺模塊包括安全隔離模塊和權限控制模塊；

安全隔離模塊：針對不同的用戶數據進行數據存儲隔離，確保各個用戶之間對于計算資源和存儲資源的隔離性、安全性，租戶獨立管理自有的數據、權限、用戶、角色，彼此隔離，以確保數據安全；

權限控制模塊：ACL授權和Policy授權兩種方式對賬號的訪問權限進行控制，未經授權的賬號不能獲得資源的訪問權限。

優選的，所述Maxcompute用戶模塊包括資源劃分模塊、空間保護模塊及IP白名單模塊；

資源劃分模塊：對數據資源權限進行定義，制定合適的數據資源目錄清單，建立數據資源到數據權限集合的對應管理，保障數據資源的安全可控；

空間保護模塊：實現項目空間中“數據只能本地循環，允許寫入，不能讀出”，保護項目中的敏感數據不發生外露；