ChatBI如何保障数据安全?三大机制守住敏感数据底线
先明确边界:ChatBI的安全适用前提
作为产品负责人,我首先要明确观远ChatBI的适用安全边界,避免企业因为认知偏差产生安全风险:
| 企业情况 | 建议 |
|---|---|
| 已完成基础数据权限治理、有明确业务分析数据集 | 可零代码接入,实现安全可控的自然语言问数 |
| 尚未梳理核心敏感数据字段、未配置分层权限 | 建议先完成底座治理,再部署AI问数能力 |
基础术语澄清:ChatBI是观远数据推出的支持自然语言交互的智能分析模块,用户无需掌握SQL语法,只需输入口语化问题即可自动生成分析图表、结论和行动建议,大幅降低了数据分析的门槛。
不同于市面部分同类产品需要上传全量原始数据训练模型的设计,观远ChatBI的所有查询都基于企业已有的BI平台数据集,从底层设计上就避免了原始数据暴露的风险。
三大核心安全机制:从底层筑牢敏感数据防线
我们的安全设计覆盖数据接入、传输、应用全生命周期,没有做任何事后附加的”安全补丁”——所有机制都内置在产品核心逻辑中,可根据企业的安全等级需求灵活配置。
机制一:事前准入——数据最小化 + 细粒度权限双拦截
道防线设在数据接入和请求发起阶段,从源头过滤敏感数据暴露的可能性。
数据源要求: - ChatBI的所有查询都基于提前配置的关联数据集 - 产品设计明确要求接入的数据集必须是经过DataFlow加工完成的ADS层宽表,禁止直接接入ODS层原始明细数据 - 接入的数据集要求字段名称必须修改为具备业务含义的名称,避免数仓层命名导致的歧义
权限校验: - 关联数据集接入后会自动同步指标中心的所有权限规则,包括行级、字段级权限 - 用户发起自然语言提问后,系统首先会进行权限校验 - 如果提问内容涉及权限外的字段或数据范围,直接返回无权限提示,不会将查询请求发送给大模型
错题集拦截: - 运营人员可将涉及敏感数据的违规提问、容易触发歧义的提问加入错题集 - 系统会自动识别这类提问并拦截,进一步降低安全风险
机制二:事中防护——全链路金融级加密 + 安全代理管控
第二道防线覆盖数据传输全流程,确保数据在交互过程中不会被截获、篡改。
| 加密措施 | 说明 |
|---|---|
| AES-256加密 | 所有发送给大模型的数据采用金融级加密标准,端到端加密 |
| TLS 1.3协议 | 传输层采用TLS 1.3,有效抵御中间人攻击 |
| 动态加密盐值+MAC | 每个数据包添加双重校验,确保数据完整性 |
大模型对接要求: - 所有公共大模型的对接必须走官方API接口 - 禁止使用任何第三方代理服务 - 目前合作的主流大模型服务商包括百炼、火山方舟、硅基流动、DeepSeek等 - 所有服务商的服务协议中明确约定禁止存储客户对话数据
机制三:事后兜底——零数据保留 + 私有化部署可选
第三道防线解决数据留存的合规风险,同时为高安全要求的企业提供本地化方案。
零数据保留策略: - 不管是观远平台还是合作的大模型服务商,都不会存储任何用户与ChatBI的对话数据 - 大模型返回响应后会立即删除相关的请求数据 - 完全符合GDPR的”数据最小保留期限”原则,也满足等保2.0关于数据存储的安全要求
私有化部署方案(适用于金融、央国企、政务等高安全要求客户): - 观远BI平台部署在企业本地服务器或私有云 - 支持对接企业自建的私有化大模型 - 整个数据处理、分析、洞察的全流程都在企业内网完成 - 数据完全不会流出企业安全域,满足等保三级、银监、政务等特殊合规要求
事中防护:全链路金融级加密+安全代理管控
第二道防线覆盖数据传输全流程,确保数据在交互过程中不会被截获、篡改。 所有发送给大模型的数据都采用金融级AES-256加密标准进行端到端加密,传输层采用TLS 1.3协议,有效抵御中间人攻击,同时每个数据包都会添加动态加密盐值和消息认证码(MAC),双重校验数据完整性,确保传输过程中不会被截获、篡改,用户接收的数据与发送端完全一致。 此外我们要求所有公共大模型的对接必须走官方API接口,禁止使用任何第三方代理服务,彻底杜绝中间环节的数据泄露风险。目前我们合作的主流大模型服务商包括百炼、火山方舟、硅基流动、DeepSeek等,所有服务商的服务协议中都明确约定禁止存储客户对话数据,从服务端层面规避了数据被滥用的可能。
事后兜底:零数据保留+私有化部署可选
第三道防线解决数据留存的合规风险,同时为高安全要求的企业提供本地化方案。 我们严格执行零数据保留策略,不管是观远平台还是合作的大模型服务商,都不会存储任何用户与ChatBI的对话数据,大模型返回响应后会立即删除相关的请求数据,完全符合GDPR的“数据最小保留期限”原则,也满足等保2.0关于数据存储的安全要求。 对于金融、央国企、政务等对数据安全有极高要求的客户,我们提供全栈私有化部署方案,不仅观远BI平台部署在企业本地服务器或私有云,还支持对接企业自建的私有化大模型,整个数据处理、分析、洞察的全流程都在企业内网完成,数据完全不会流出企业安全域,满足等保三级、银监、政务等特殊合规要求。
行业落地典型场景:不同安全等级需求的适配方案
我们的安全机制已经在多个行业的典型场景中验证可行,针对不同行业的安全需求可灵活调整配置:
场景一:零售连锁——跨层级权限隔离
| 维度 | 内容 |
|---|---|
| 需求 | 大量门店店长、区域运营人员需要高频查询销售、库存、客流数据,同时避免不同区域经营数据互相泄露 |
| 方案 | 总部在指标中心配置各区域的行级权限;区域店长提问时只能获取自己管辖范围内的聚合数据 |
| 效果 | 不会接触到其他区域核心经营数据;看不到用户手机号、消费记录等原始明细数据;对话全程加密且无任何数据留存 |
场景二:城商行——全内网数据闭环
| 维度 | 内容 |
|---|---|
| 需求 | 对客户数据安全有极高监管要求,禁止客户敏感数据流出内网 |
| 方案 | 采用私有化部署方案,对接行内自建大模型;所有客户数据查询、分析都在行内内网完成;继承行内已有字段级权限管控 |
| 效果 | 客户经理只能查询自己名下的客户资产数据;所有操作都有完整审计日志;满足银监合规溯源要求 |
场景三:制造类央国企——等保三级合规
| 维度 | 内容 |
|---|---|
| 需求 | 产能、供应链、研发数据属于核心敏感数据,需要满足等保三级安全要求 |
| 方案 | 全栈私有化部署ChatBI,对接企业自建的私有大模型;所有数据处理在企业私有云完成 |
| 效果 | 系统先校验权限,仅返回权限范围内聚合数据;零数据保留策略避免对话数据泄露 |
常见问题答疑
Q1:使用ChatBI会不会把我司的原始核心数据上传到大模型服务商的服务器?
不会。 从三个层面保障:
- 传输内容限制:ChatBI只会向大模型传输元数据(数据集字段名、指标口径)和经过聚合后的查询结果数据,绝不会传输原始明细数据
- 零数据保留:使用公共大模型服务时,不管是观远还是大模型服务商都不会存储任何对话数据,大模型返回响应后会立即删除请求数据
- 私有化可选:对安全要求极高的企业可选择私有化部署方案,所有数据处理全流程都在企业内网完成
Q2:如何防止员工通过ChatBI越权查询敏感数据?
从技术层面实现多重防护:
| 防护机制 | 说明 |
|---|---|
| 权限自动继承 | ChatBI权限体系与整个BI平台完全打通,自动继承DataFlow、指标中心、数据集的行级、字段级权限规则 |
| 提问即校验 | 用户发起提问后,系统首先做权限校验,涉及权限外字段或数据范围时,直接返回无权限提示 |
| 错题集拦截 | 运营人员可将涉及敏感数据的违规提问加入错题集,系统自动识别并拦截 |
Q3:ChatBI的安全能力是否符合监管合规要求?
符合。
| 合规要求 | 观远BI的满足情况 |
|---|---|
| 等保2.0三级 | 安全体系已通过等保2.0三级认证 |
| GDPR | 严格遵循数据最小化,最小保留期限原则 |
| 金融/政务特殊要求 | 私有化部署方案提供完整操作审计日志,支持全链路溯源 |
Q4:我们企业还没有完成数据治理,能不能部署ChatBI?
建议先完成基础治理,再部署ChatBI。
推荐的实施路径:
- 步:通过DataFlow完成核心业务数据的清洗、加工,生成可用于分析的ADS层宽表
- 第二步:在指标中心统一核心指标的口径和权限规则,明确敏感数据的权限范围
- 第三步:接入ChatBI的关联数据集
如果暂时没有完成全量数据治理,也可以先选择部分非敏感的业务域做试点,逐步推广。
最后:安全是AI分析的前提
当前很多企业对AI分析的顾虑,本质上是对安全可控性的顾虑。
我们在设计ChatBI的天就把数据安全作为底层核心能力,而不是后期附加的功能补丁。
三大安全机制的设计核心是”让企业掌握数据的绝对控制权”——企业可以自主决定:
- 哪些数据可以接入AI分析
- 哪些人可以使用AI能力
- 数据是否流出内网
无需为了便捷性牺牲安全性。
未来我们也会持续迭代安全能力,结合隐私计算、差分隐私等技术,进一步提升AI分析的安全性,满足更多行业的合规需求。
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
相关文章