數(shù)據(jù)安全治理與應(yīng)用實踐

◆趙鳳偉 崔鵬 張智慧

（1.北京鎧撒信息技術(shù)有限公司 北京 100089；2.廣東粵電啟明能源有限公司 廣東 518107；3.華能濟(jì)寧高新區(qū)熱電有限公司 山東 272073）

1 為什么要引入數(shù)據(jù)安全

大數(shù)據(jù)是指規(guī)模巨大到無法通過目前的軟件工具，在適當(dāng)?shù)臅r間內(nèi)實現(xiàn)分析、處理、整理并存儲成為能夠幫助企業(yè)經(jīng)營決策目的的信息。大數(shù)據(jù)的特點有4V，規(guī)模性（Volume）、高速性（Velocity）、多樣性（Variety）、價值性（Value）。

現(xiàn)階段國家大力支持大數(shù)據(jù)的發(fā)展，國務(wù)院以及各級地方政府頒布大量政策來扶持大數(shù)據(jù)產(chǎn)業(yè)。近年來，我國高度重視大數(shù)據(jù)的發(fā)展，2015年9月，經(jīng)李克強(qiáng)總理簽批，國務(wù)院印發(fā)《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》，系統(tǒng)部署大數(shù)據(jù)發(fā)展工作。2016年，《中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十三個五年規(guī)劃綱要》提出“實施國家大數(shù)據(jù)戰(zhàn)略”，主張把大數(shù)據(jù)作為基礎(chǔ)性戰(zhàn)略資源，全面實施促進(jìn)大數(shù)據(jù)發(fā)展行動。

大數(shù)據(jù)對企業(yè)的影響也是巨大的。大數(shù)據(jù)能夠徹底改變企業(yè)內(nèi)部的運作模式，以往的管理是“領(lǐng)導(dǎo)怎么說？”，現(xiàn)在變成“大數(shù)據(jù)的分析結(jié)果是什么？”企業(yè)決策由依靠領(lǐng)導(dǎo)經(jīng)驗向數(shù)據(jù)分析結(jié)果轉(zhuǎn)變。數(shù)字化、網(wǎng)絡(luò)化和智能化是企業(yè)發(fā)展的趨勢，關(guān)注大數(shù)據(jù)安全是企業(yè)數(shù)字化轉(zhuǎn)型的必然要求，是企業(yè)進(jìn)行長期經(jīng)營的重要保障，數(shù)字化轉(zhuǎn)型勢不可擋。

大數(shù)據(jù)也在影響著我們每個人的生活。打開淘寶，推薦的商品正是我們最近想買的東西；打開微博，推薦關(guān)注的博主正符合我們的興趣。大數(shù)據(jù)就在我們每個人的身邊。

正是因為大數(shù)據(jù)對國家、企業(yè)、個人具有重要的作用，并具有很高的研究價值，所以大數(shù)據(jù)安全現(xiàn)在成為學(xué)術(shù)與工業(yè)界的研究熱點，是人們公認(rèn)的大數(shù)據(jù)相關(guān)問題中關(guān)鍵的問題之一。

2 數(shù)據(jù)安全的表現(xiàn)形式

數(shù)據(jù)安全的表現(xiàn)形式：“云大物移智控”，這些都是現(xiàn)代數(shù)字化轉(zhuǎn)型的一些技術(shù)。供應(yīng)商采購、生產(chǎn)、包裝、分銷直到客戶，從上游采購原材料、生產(chǎn)、包裝最后銷售，這是傳統(tǒng)的企業(yè)模式，現(xiàn)在的格局是利用新技術(shù)，比如傳感、5G、物聯(lián)網(wǎng)、云計算、區(qū)塊鏈、人工智能，來實現(xiàn)柔化、資源配置、智能決策等環(huán)節(jié)一體化，上述均為實現(xiàn)數(shù)字化必須依賴的工具和技術(shù)。

在整個數(shù)據(jù)生命周期里，我們都用到了上述技術(shù)，比如在物聯(lián)網(wǎng)中，傳感器能夠感知并且收集土壤溫度、濕度等土壤養(yǎng)分信息，形成大數(shù)據(jù)，交給云來計算與存儲，通過人工智能進(jìn)行深度學(xué)習(xí)。

數(shù)據(jù)安全應(yīng)貫穿數(shù)據(jù)治理全過程，應(yīng)保證管理和技術(shù)兩條腿走路。從管理上，建立數(shù)據(jù)安全管理制度、設(shè)定數(shù)據(jù)安全標(biāo)準(zhǔn)、培養(yǎng)起全員的數(shù)據(jù)安全意識。從技術(shù)上，數(shù)據(jù)安全包括：數(shù)據(jù)的存儲安全、傳輸安全和接口安全等。當(dāng)然，安全與效率始終是一個矛盾體，數(shù)據(jù)安全管控越嚴(yán)格，數(shù)據(jù)的應(yīng)用就可能越受限。企業(yè)需要在安全、效率之間找到平衡點。數(shù)據(jù)安全管理主要有以下三個方面：

（1）數(shù)據(jù)存儲安全，包括物理安全、系統(tǒng)安全、存儲數(shù)據(jù)的安全，主要通過安全硬件的采購來保障數(shù)據(jù)存儲安全。

（2）數(shù)據(jù)傳輸安全，包括數(shù)據(jù)的加密和數(shù)據(jù)網(wǎng)絡(luò)安全控制，主要通過專業(yè)加密軟件廠商進(jìn)行規(guī)范設(shè)計和安裝。

（3）數(shù)據(jù)使用安全，需要加強(qiáng)從業(yè)務(wù)系統(tǒng)層面進(jìn)行控制，防范非授權(quán)訪問和下載打印客戶數(shù)據(jù)信息；部署客戶端安全控制工具，建立完善的客戶端信息防泄漏機(jī)制，防范將客戶端上存儲的個人客戶信息非授權(quán)傳播；建立完善的數(shù)據(jù)安全管理體系，建立數(shù)據(jù)安全規(guī)范制度體系，組建數(shù)據(jù)安全管理組織機(jī)構(gòu)，建立有效的數(shù)據(jù)安全審查機(jī)制；對于生產(chǎn)及研發(fā)測試過程中使用的各類敏感數(shù)據(jù)進(jìn)行嚴(yán)密管理；嚴(yán)格與外單位合作中的個人客戶信息安全管理等。

3 如何進(jìn)行數(shù)據(jù)治理

數(shù)據(jù)治理的四個領(lǐng)域：組織建設(shè)有決策層（高管、首席數(shù)據(jù)官）、管理層（數(shù)據(jù)安全管理團(tuán)隊）和執(zhí)行層（數(shù)據(jù)安全運營、技術(shù)團(tuán)隊）；流程制度有發(fā)展方針、組織戰(zhàn)略、管理制度、管理規(guī)范、流程、規(guī)范、指南、標(biāo)準(zhǔn)、計劃、表格、報告、日志；技術(shù)工具方面，分級分類、數(shù)據(jù)保護(hù)、泄露防護(hù)、數(shù)據(jù)標(biāo)準(zhǔn)、權(quán)限管理、流程審批；人員能力有管理能力、運營能力、技術(shù)能力和合規(guī)能力。

數(shù)據(jù)治理的五大階段：業(yè)務(wù)梳理有業(yè)務(wù)規(guī)劃、IT 戰(zhàn)略、安全合規(guī)、風(fēng)險評估、安全治理；分級分類有數(shù)據(jù)分類分級；策略制定有數(shù)據(jù)安全策略、用戶安全策略、安全分析策略；技術(shù)管控有終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、存儲安全、介質(zhì)安全、云安全；優(yōu)化改進(jìn)有策略優(yōu)化、日志分析、合規(guī)檢查、培訓(xùn)宣貫。

成功實現(xiàn)數(shù)據(jù)治理的方法：

（1）建立數(shù)據(jù)治理組織。數(shù)據(jù)治理研究所推薦建立一個數(shù)據(jù)治理委員會，負(fù)責(zé)評估各個數(shù)據(jù)用戶的輸入信息，建立覆蓋全公司的數(shù)據(jù)管理策略，滿足內(nèi)部用戶、外部用戶甚至法律方面的各種需求。該委員會的成員應(yīng)該囊括各個業(yè)務(wù)領(lǐng)域的利益相關(guān)者，確保各方需求都得到滿足，所有類型的數(shù)據(jù)所有權(quán)均得到體現(xiàn)。安全專家也應(yīng)成為委員會的一員。了解數(shù)據(jù)治理委員會的目標(biāo)是什么，這一點很重要，因此，應(yīng)該思考企業(yè)需要數(shù)據(jù)治理策略的原因，并清楚地加以說明。

（2）制定數(shù)據(jù)治理框架，將零零散散的數(shù)據(jù)需求容納其中。這個框架必須確保各個部分被融合成一個整體，滿足收集、存儲、檢索和安全要求。為此，企業(yè)必須清楚說明其端到端的數(shù)據(jù)策略，以便設(shè)計一個覆蓋所有要求和必要操作的框架。必須有計劃地把各個部分結(jié)合起來，彼此支持，這有很多好處，比如在高度安全的環(huán)境中執(zhí)行檢索要求。合規(guī)性也需要專門的設(shè)計，成為框架的一部分，這樣就可以追蹤和報告監(jiān)管問題。這個框架還包括日常記錄和其他安全措施，能夠?qū)舭l(fā)出早期預(yù)警。在使用數(shù)據(jù)前，對其進(jìn)行驗證，這也是框架的一部分。數(shù)據(jù)治理委員會應(yīng)該了解框架的每個部分，明確其用途，以及它如何在數(shù)據(jù)的整個生命周期中發(fā)揮作用。

（3）試點數(shù)據(jù)策略。通常來說，一個策略應(yīng)該先在小范圍內(nèi)推行，以便發(fā)現(xiàn)計劃、框架和基礎(chǔ)設(shè)施的缺陷，然后才在整個公司實行。

（4）擁有一個與時俱進(jìn)的數(shù)據(jù)治理組織。數(shù)據(jù)治理委員會應(yīng)該與時俱進(jìn)，因為隨著數(shù)據(jù)治理策略延伸到新的業(yè)務(wù)領(lǐng)域，肯定需要對策略進(jìn)行調(diào)整。而且，隨著技術(shù)的發(fā)展，數(shù)據(jù)策略也應(yīng)該發(fā)展，與安全形勢、數(shù)據(jù)分析方法以及數(shù)據(jù)管理工具等保持同步。

（5）知道什么是成功的數(shù)據(jù)策略。確立成功標(biāo)準(zhǔn)，以便衡量進(jìn)展。制定數(shù)據(jù)管理目標(biāo)，有助于確定成功的重要指標(biāo)，進(jìn)而確保數(shù)據(jù)治理策略朝著你希望和需要的方向前進(jìn)。

企業(yè)無論大小，都面臨著類似的數(shù)據(jù)挑戰(zhàn)。公司越大，數(shù)據(jù)越多，而數(shù)據(jù)越多，就越需要制定有效、正式的數(shù)據(jù)治理策略。規(guī)模較小的企業(yè)也許只需要非正式的數(shù)據(jù)治理策略就能做得很好，但前提是，公司的規(guī)模必須要小，而且對數(shù)據(jù)的依賴度必須要低。即便是非正式的數(shù)據(jù)治理策略，也必須考慮客戶和員工數(shù)據(jù)的收集、驗證、訪問以及存儲。當(dāng)企業(yè)規(guī)模擴(kuò)大，數(shù)據(jù)需求跨越多個部門時，當(dāng)數(shù)據(jù)系統(tǒng)和數(shù)據(jù)集太大，難以駕馭時，當(dāng)業(yè)務(wù)發(fā)展需要企業(yè)級的策略時，或者當(dāng)法律或監(jiān)管提出需求時，就必須制定更為正式的數(shù)據(jù)治理策略。

企業(yè)數(shù)據(jù)治理是應(yīng)有高層領(lǐng)導(dǎo)牽頭，業(yè)務(wù)部門負(fù)責(zé)，信息部門執(zhí)行，企業(yè)全員的參與。在實施數(shù)據(jù)治理時需因地制宜，不論建立什么樣的數(shù)據(jù)治理體系、采用什么樣的數(shù)據(jù)治理技術(shù)，其目的都是實現(xiàn)數(shù)據(jù)治理目標(biāo)，即通過有效的數(shù)據(jù)資源控制手段，對進(jìn)行數(shù)據(jù)的管理和控制，以提升數(shù)據(jù)質(zhì)量進(jìn)而提升數(shù)據(jù)變現(xiàn)的能力。