理财经理能看到客户的"全部家底",权限边界怎么划?

举报
数安观察 发表于 2026/06/25 08:47:39 2026/06/25
【摘要】 引言:一笔理财推荐,暴露了权限缺口某股份制银行理财经理小张,通过CRM系统查看自己名下的VIP客户资产,准备做季度资产配置建议。在客户搜索框里输入了一个熟人的名字——不是他的客户,纯粹好奇。系统返回了这个人的完整资产画像:存款360万、理财120万、基金80万、最近三个月买了什么产品、赎回了什么产品……一目了然。小张没有恶意,也没对外传播。但这件事被安全团队在例行审计中发现了——系统日志显示...

引言:一笔理财推荐,暴露了权限缺口

某股份制银行理财经理小张,通过CRM系统查看自己名下的VIP客户资产,准备做季度资产配置建议。在客户搜索框里输入了一个熟人的名字——不是他的客户,纯粹好奇。系统返回了这个人的完整资产画像:存款360万、理财120万、基金80万、最近三个月买了什么产品、赎回了什么产品……一目了然。小张没有恶意,也没对外传播。但这件事被安全团队在例行审计中发现了——系统日志显示,他过去六个月查询了47位非自己名下客户的资产信息,没有任何业务理由。问题问到了IT部门:理财经理需要看到客户资产才能做配置建议,这是业务刚需。但系统的权限设计,能不能做到"只看自己的客户"?"自己客户中,资产细节能区分显示"?


理财场景的数据访问特点

理财经理的工作流程本身决定了他们需要接触大量敏感数据:

业务动作

需要查看的数据

敏感程度

客户资产盘点

存款余额、理财持有、基金持仓、保险保单

极高

配置建议

客户风险评级、投资偏好、历史收益

到期提醒

产品到期日、持有金额

客户营销

年龄段、职业、收入区间

客户关怀

生日、纪念日、联系方式

问题不在于"该不该看"——这些数据理财经理确实需要看。问题在于"看谁的"和"看多少"

三个真实的风险场景

场景1:能看到"非自己名下"的客户

理财经理登录CRM系统,理论上只能管理自己分配到的客户。但系统权限设计粗放——筛选条件写的是"理财经理=小张"还是"理财经理=全部",取决于系统实现。很多CRM系统因为历史原因,查询接口并没有严格限定"只能查自己名下客户",导致理财经理实际上可以看到全行客户数据。

场景2:看不到"不该看"的可以,但脱敏后怎么分析?

有人会说:给理财经理查客户资产的时候,把资产金额脱敏不就行了?但理财经理的工作就是"分析资产配置"——如果看到的金额都是***,分析根本没法做。脱敏和业务需求的矛盾,在这个场景下比客服查询更尖锐。

场景3:客户换了理财经理,历史数据还能看到

客户A原来由理财经理小张服务,后来因为分行调整,转由小李服务。小张已经不再服务这个客户,但如果系统没有及时更新权限,小张仍然能看到A客户的资产——而且看到的还是最新的。

传统方式怎么管控?

风险

传统应对方式

实际效果

跨客户查询

CRM系统开发时硬编码权限过滤

采购的CRM系统不一定支持自定义过滤,改代码成本高

脱敏与业务矛盾

不做脱敏,靠制度约束

"制度管人"——管不住的案例太多了

离职/转岗未回收

人工清理权限

清理滞后,存在真空期

一体化思路:行级权限 + 动态脱敏,双管齐下

如果权限管控能做到以下三层,理财场景的风险就基本覆盖了:

第一层:行级权限——只能看自己名下客户。 理财经理查询客户列表时,平台自动在查询条件上加一层过滤:WHERE 理财经理 = '小张'。小张自己不知道有这个过滤,他仍然正常操作CRM系统,但查询结果里永远不会出现其他理财经理的客户。

第二层:动态脱敏——客户自己名下可以看,但有分级。 小张查看自己名下客户资产时,系统正常展示完整数据(他需要这些数据做配置建议)。但如果他试图通过修改查询条件绕过一个过滤规则去查其他客户,平台会在数据返回前自动脱敏——哪怕他通过某种方式绕过了第一层行级权限,也看不到明文。

第三层:全链路审计——查哪些客户、查了多少次,都记录。 每一次查询被完整记录下来:小张在什么时间查了哪个客户的哪张表、返回了多少数据。异常行为(比如短时间查询大量非名下的客户)自动触发告警。

传统方式 vs 一体化数据安全平台

对比维度

传统方式

一体化数据安全平台

跨客户查看

靠CRM系统硬编码权限,改代码成本高

平台层自动加行级过滤,CRM系统零改造

脱敏策略

一刀切脱敏或不脱敏

分级策略:自己名下看明文,非自己名下自动脱敏

权限变更管理

理财经理转岗/离职后手工调整

代理账号关联角色,部门调整自动生效

操作审计

依赖CRM系统日志

全链路审计,跨客户查询自动告警

绕行风险

通过其他前端工具直连数据库可绕过

所有数据库访问都经过平台,无法绕过

理财场景方案

一体化数据安全平台 uDSP通过DAC(数据访问控制器)的行级权限和动态脱敏能力,为理财场景提供了三层防护。

三层防护怎么工作

层级

机制

效果

第一层:行级权限

DAC在查询语句中自动注入过滤条件WHERE 理财经理 = 当前用户

理财经理永远只能查到自己的客户

第二层:动态脱敏

如果查询结果中包含非名下客户数据(绕行或系统Bug导致),自动脱敏

即使第一层出现意外,第二层兜底

第三层:全链路审计

所有查询行为被完整记录,异常行为实时告警

跨客户查询被发现后,能追溯到具体操作

实际效果

理财经理小张打开CRM系统,搜客户、看资产、做配置建议——操作习惯和之前完全一样。但实际上他查到的永远只是自己名下客户。如果他试图查其他理财经理的客户,要么查不到(行级权限过滤),要么查到了但资产数字是脱敏的(脱敏策略兜底)。这就是原点安全uDSP的行级权限+动态脱敏双保险:既不改变理财经理的工作方式,又把数据访问牢牢控制在合理范围内。

结语

理财经理需要看客户资产来做配置建议,这是合法的业务需求。问题不在"该不该看",而在于"看谁的"和"看多少"。传统方式是指望CRM系统自带权限管控,但采购的系统往往不支持精细粒度,改代码又贵又慢。一体化数据安全平台在应用和数据库之间做了一层管控——理财经理工作方式不变,CRM系统代码不改,权限边界自动生效。两条路线都可行。对于理财经理数量多、客户资产规模大、权限管控只能靠制度约束的机构来说,一体化的思路更值得考虑。

【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。