◆趙鳳偉 崔鵬 張智慧

（1.北京鎧撒信息技術有限公司 北京 100089；2.廣東粵電啟明能源有限公司 廣東 518107；3.華能濟寧高新區(qū)熱電有限公司 山東 272073）

1 為什么要引入數(shù)據(jù)安全

大數(shù)據(jù)是指規(guī)模巨大到無法通過目前的軟件工具，在適當?shù)臅r間內實現(xiàn)分析、處理、整理并存儲成為能夠幫助企業(yè)經營決策目的的信息。大數(shù)據(jù)的特點有4V，規(guī)模性（Volume）、高速性（Velocity）、多樣性（Variety）、價值性（Value）。

現(xiàn)階段國家大力支持大數(shù)據(jù)的發(fā)展，國務院以及各級地方政府頒布大量政策來扶持大數(shù)據(jù)產業(yè)。近年來，我國高度重視大數(shù)據(jù)的發(fā)展，2015年9月，經李克強總理簽批，國務院印發(fā)《促進大數(shù)據(jù)發(fā)展行動綱要》，系統(tǒng)部署大數(shù)據(jù)發(fā)展工作。2016年，《中華人民共和國國民經濟和社會發(fā)展第十三個五年規(guī)劃綱要》提出“實施國家大數(shù)據(jù)戰(zhàn)略”，主張把大數(shù)據(jù)作為基礎性戰(zhàn)略資源，全面實施促進大數(shù)據(jù)發(fā)展行動。

大數(shù)據(jù)對企業(yè)的影響也是巨大的。大數(shù)據(jù)能夠徹底改變企業(yè)內部的運作模式，以往的管理是“領導怎么說？”，現(xiàn)在變成“大數(shù)據(jù)的分析結果是什么？”企業(yè)決策由依靠領導經驗向數(shù)據(jù)分析結果轉變。數(shù)字化、網絡化和智能化是企業(yè)發(fā)展的趨勢，關注大數(shù)據(jù)安全是企業(yè)數(shù)字化轉型的必然要求，是企業(yè)進行長期經營的重要保障，數(shù)字化轉型勢不可擋。

大數(shù)據(jù)也在影響著我們每個人的生活。打開淘寶，推薦的商品正是我們最近想買的東西；打開微博，推薦關注的博主正符合我們的興趣。大數(shù)據(jù)就在我們每個人的身邊。

正是因為大數(shù)據(jù)對國家、企業(yè)、個人具有重要的作用，并具有很高的研究價值，所以大數(shù)據(jù)安全現(xiàn)在成為學術與工業(yè)界的研究熱點，是人們公認的大數(shù)據(jù)相關問題中關鍵的問題之一。

2 數(shù)據(jù)安全的表現(xiàn)形式

數(shù)據(jù)安全的表現(xiàn)形式：“云大物移智控”，這些都是現(xiàn)代數(shù)字化轉型的一些技術。供應商采購、生產、包裝、分銷直到客戶，從上游采購原材料、生產、包裝最后銷售，這是傳統(tǒng)的企業(yè)模式，現(xiàn)在的格局是利用新技術，比如傳感、5G、物聯(lián)網、云計算、區(qū)塊鏈、人工智能，來實現(xiàn)柔化、資源配置、智能決策等環(huán)節(jié)一體化，上述均為實現(xiàn)數(shù)字化必須依賴的工具和技術。

在整個數(shù)據(jù)生命周期里，我們都用到了上述技術，比如在物聯(lián)網中，傳感器能夠感知并且收集土壤溫度、濕度等土壤養(yǎng)分信息，形成大數(shù)據(jù)，交給云來計算與存儲，通過人工智能進行深度學習。

數(shù)據(jù)安全應貫穿數(shù)據(jù)治理全過程，應保證管理和技術兩條腿走路。從管理上，建立數(shù)據(jù)安全管理制度、設定數(shù)據(jù)安全標準、培養(yǎng)起全員的數(shù)據(jù)安全意識。從技術上，數(shù)據(jù)安全包括：數(shù)據(jù)的存儲安全、傳輸安全和接口安全等。當然，安全與效率始終是一個矛盾體，數(shù)據(jù)安全管控越嚴格，數(shù)據(jù)的應用就可能越受限。企業(yè)需要在安全、效率之間找到平衡點。數(shù)據(jù)安全管理主要有以下三個方面：

（1）數(shù)據(jù)存儲安全，包括物理安全、系統(tǒng)安全、存儲數(shù)據(jù)的安全，主要通過安全硬件的采購來保障數(shù)據(jù)存儲安全。

（2）數(shù)據(jù)傳輸安全，包括數(shù)據(jù)的加密和數(shù)據(jù)網絡安全控制，主要通過專業(yè)加密軟件廠商進行規(guī)范設計和安裝。

（3）數(shù)據(jù)使用安全，需要加強從業(yè)務系統(tǒng)層面進行控制，防范非授權訪問和下載打印客戶數(shù)據(jù)信息；部署客戶端安全控制工具，建立完善的客戶端信息防泄漏機制，防范將客戶端上存儲的個人客戶信息非授權傳播；建立完善的數(shù)據(jù)安全管理體系，建立數(shù)據(jù)安全規(guī)范制度體系，組建數(shù)據(jù)安全管理組織機構，建立有效的數(shù)據(jù)安全審查機制；對于生產及研發(fā)測試過程中使用的各類敏感數(shù)據(jù)進行嚴密管理；嚴格與外單位合作中的個人客戶信息安全管理等。

3 如何進行數(shù)據(jù)治理

數(shù)據(jù)治理的四個領域：組織建設有決策層（高管、首席數(shù)據(jù)官）、管理層（數(shù)據(jù)安全管理團隊）和執(zhí)行層（數(shù)據(jù)安全運營、技術團隊）；流程制度有發(fā)展方針、組織戰(zhàn)略、管理制度、管理規(guī)范、流程、規(guī)范、指南、標準、計劃、表格、報告、日志；技術工具方面，分級分類、數(shù)據(jù)保護、泄露防護、數(shù)據(jù)標準、權限管理、流程審批；人員能力有管理能力、運營能力、技術能力和合規(guī)能力。

數(shù)據(jù)治理的五大階段：業(yè)務梳理有業(yè)務規(guī)劃、IT 戰(zhàn)略、安全合規(guī)、風險評估、安全治理；分級分類有數(shù)據(jù)分類分級；策略制定有數(shù)據(jù)安全策略、用戶安全策略、安全分析策略；技術管控有終端安全、網絡安全、應用安全、存儲安全、介質安全、云安全；優(yōu)化改進有策略優(yōu)化、日志分析、合規(guī)檢查、培訓宣貫。

成功實現(xiàn)數(shù)據(jù)治理的方法：

（1）建立數(shù)據(jù)治理組織。數(shù)據(jù)治理研究所推薦建立一個數(shù)據(jù)治理委員會，負責評估各個數(shù)據(jù)用戶的輸入信息，建立覆蓋全公司的數(shù)據(jù)管理策略，滿足內部用戶、外部用戶甚至法律方面的各種需求。該委員會的成員應該囊括各個業(yè)務領域的利益相關者，確保各方需求都得到滿足，所有類型的數(shù)據(jù)所有權均得到體現(xiàn)。安全專家也應成為委員會的一員。了解數(shù)據(jù)治理委員會的目標是什么，這一點很重要，因此，應該思考企業(yè)需要數(shù)據(jù)治理策略的原因，并清楚地加以說明。

（2）制定數(shù)據(jù)治理框架，將零零散散的數(shù)據(jù)需求容納其中。這個框架必須確保各個部分被融合成一個整體，滿足收集、存儲、檢索和安全要求。為此，企業(yè)必須清楚說明其端到端的數(shù)據(jù)策略，以便設計一個覆蓋所有要求和必要操作的框架。必須有計劃地把各個部分結合起來，彼此支持，這有很多好處，比如在高度安全的環(huán)境中執(zhí)行檢索要求。合規(guī)性也需要專門的設計，成為框架的一部分，這樣就可以追蹤和報告監(jiān)管問題。這個框架還包括日常記錄和其他安全措施，能夠對攻擊發(fā)出早期預警。在使用數(shù)據(jù)前，對其進行驗證，這也是框架的一部分。數(shù)據(jù)治理委員會應該了解框架的每個部分，明確其用途，以及它如何在數(shù)據(jù)的整個生命周期中發(fā)揮作用。

（3）試點數(shù)據(jù)策略。通常來說，一個策略應該先在小范圍內推行，以便發(fā)現(xiàn)計劃、框架和基礎設施的缺陷，然后才在整個公司實行。

（4）擁有一個與時俱進的數(shù)據(jù)治理組織。數(shù)據(jù)治理委員會應該與時俱進，因為隨著數(shù)據(jù)治理策略延伸到新的業(yè)務領域，肯定需要對策略進行調整。而且，隨著技術的發(fā)展，數(shù)據(jù)策略也應該發(fā)展，與安全形勢、數(shù)據(jù)分析方法以及數(shù)據(jù)管理工具等保持同步。

（5）知道什么是成功的數(shù)據(jù)策略。確立成功標準，以便衡量進展。制定數(shù)據(jù)管理目標，有助于確定成功的重要指標，進而確保數(shù)據(jù)治理策略朝著你希望和需要的方向前進。

企業(yè)無論大小，都面臨著類似的數(shù)據(jù)挑戰(zhàn)。公司越大，數(shù)據(jù)越多，而數(shù)據(jù)越多，就越需要制定有效、正式的數(shù)據(jù)治理策略。規(guī)模較小的企業(yè)也許只需要非正式的數(shù)據(jù)治理策略就能做得很好，但前提是，公司的規(guī)模必須要小，而且對數(shù)據(jù)的依賴度必須要低。即便是非正式的數(shù)據(jù)治理策略，也必須考慮客戶和員工數(shù)據(jù)的收集、驗證、訪問以及存儲。當企業(yè)規(guī)模擴大，數(shù)據(jù)需求跨越多個部門時，當數(shù)據(jù)系統(tǒng)和數(shù)據(jù)集太大，難以駕馭時，當業(yè)務發(fā)展需要企業(yè)級的策略時，或者當法律或監(jiān)管提出需求時，就必須制定更為正式的數(shù)據(jù)治理策略。

企業(yè)數(shù)據(jù)治理是應有高層領導牽頭，業(yè)務部門負責，信息部門執(zhí)行，企業(yè)全員的參與。在實施數(shù)據(jù)治理時需因地制宜，不論建立什么樣的數(shù)據(jù)治理體系、采用什么樣的數(shù)據(jù)治理技術，其目的都是實現(xiàn)數(shù)據(jù)治理目標，即通過有效的數(shù)據(jù)資源控制手段，對進行數(shù)據(jù)的管理和控制，以提升數(shù)據(jù)質量進而提升數(shù)據(jù)變現(xiàn)的能力。