中国裁判文书网就曾披露了一份华为员工越权访问机密数据的案件。

华为员工易某岗位调离后未按要求完成原有采购物料价格查询权限的清理。此后，违反规定多次使用该权限越权查询、借用同事账号登录的方式在华为企业资源计划系统内获取采购物料的价格信息，并将非法获取的价格数据告知供应商，帮助其在华为公司的招标项目中提高中标率。最终，易某判处有期徒刑一年，并处罚金人民币二万元，追缴违法所得。

对于企业来说，因业务需求需要把数据的访问权限赋予给业务人员、运维管理人员、开发人员、外部协作人员、商业BI等。然而，不恰当的权限设置、复杂的权限管理以及权限审批流程让账号使用的监督、权限监督、数据访问审计工作变得愈发困难或者流于形式，数据安全事件的发生就在所难免。

1、授权管理方式过于复杂

涉及企业敏感数据访问权限的，一般需要数据安全管理人员依托数据库账号权限来设置或通过堡垒机资产授权的方式，由数据安全管理人员在数据库中为相应的人员建立账号并依托数据库自身的机制配置账号权限。

随着企业的发展，人员与业务条线的增加导致数据业务愈发复杂多变，在“业务、人员、数据”都在快速变化快的同时，必然导致数据访问权限的频繁调整难以管理。

2、管控策略与分类分级脱节

从《数据安全法》的实施逻辑看，“数据分类分级保护”是原则和先决条件。通过数据分类分级准确识别重要数据与敏感信息的种类和级别，理清并有效保障业务数据安全及个人信息权益，才能够合理开发、利用相关数据资源，从而充分发挥数据信息的真正价值和作用。

然而现实是，很多企业敏感数据分类分级与管控策略存在脱节，受自身业务或技术条件限制，安全策略及管理要求的制定、数据使用活动与敏感数据的管控要求还很难打通，无法根据敏感目录/分类分级结果实施，保护对象未能准确覆盖。

3、缺失对数据内容的访问控制

在企业内部，直接访问数据不再只是 DBA 等少数人的特权， 数据工程师、数据科学家、商业分析人员、业务人员都可以通过各种工具直接访问企业数据湖或数据仓库中的数据，研发运维的一体化和敏捷开发，使得研发人员也更频繁地直接访问企业的数据源，这些变化都使得数据访问的场景和人员 规模日益复杂。

如何高效地针对数据内容做管控，实现数据访问最小权限与数据便捷使用之间的平衡；同时高效地监视用户的数据访问行为，基于访问行为进行数据安全风险的分析和处置。这些问题都是数据访问管控需要面对的问题。

粗粒度授权和未依据数据的分类分级管控，必然存在保护覆盖不全、不准，无法实施最小化权限，必然导致开发/测试/运维/数据工程等数据业务中的敏感数据过度暴露。

通过自动化的数据访问流量解析技术、敏感数据智能识别技术、数据分类分级自动化标注技术，帮助企业建立起敏感数据资产目录，并支持自定义敏感数据类型和手工标注，实时监测敏感数据，大大增强了企业敏感数据的可见度，并可依据需求来划分数据集合及匹配后续访问、保护措施。

2、实施粒度到人员的数据访问控制

针对自定义的数据集以及用户组，配置并执行访问控制策略，能够允许、拒绝或告警特定用户对特定数据集的访问。 同时支持根据敏感数据类型、安全级别来配置访问控制策略。

采用虚拟账号口令代替数据源真实账号口令，降低数据源口令的泄露风险；同时可实施细粒度到人的即时管控，以及监管高危特权。如控制粒度到具体人员(真实数据操作者)的查询权限的严格限制、数据访问留痕至真实数据操作者。

高风险 SQL 请求阻断， 支持根据 SQL 指令配置访问控制策略，可以阻断高风险 SQL 指令的执行（如不合规和风险的 DROP 、DELETE 、UPDATE 等）。

3、自助授权审批机制

数据管理人员可以借助原点CDPP系统，建立预授权、审批授权和自助授权等模式，实现访问权限自动化配置，实现审批即授权、承诺即授权。实现数据访问权限配置流程化、自动化，降低数据运维人员的手工作业量，同时降低权限审批流程复杂度，提升权限管理效率。

预授权、审批授权和自助授权模式，对于临时发起的数据访问请求 ，可以实现访问权限自动化配置，实现审批即授权、承诺即授权实现访数据问权限配置流程化、自动化，极大降低数据使用人员、数据安全管理人员的手工作业量。支持与外部权限审批流程的集成，例如使用钉钉搭建的权限审批系统。