數據資產安全內控優化之“華為云”策略借鑒

余應敏 張楠 吳浩哲

【摘 要】 隨著大數據產業的不斷發展，數據逐漸演變成為大數據公司的一項核心資產。由于種種原因，大數據公司目前在維護數據資產安全方面存在的問題接連暴露且有愈演愈烈的趨勢，引發社會各界的廣泛關注和激烈討論。基于此，文章將從管理層重視程度、數據生命周期安全、數據基礎設施安全三個維度討論當前大數據公司普遍存在的數據資產安全問題，進而以華為云針對數據資產安全而專門構建的內部控制體系為例，進行詳細介紹并總結相關經驗，就大數據公司針對數據資產安全如何進行內部控制系統優化提出相關策略。

【關鍵詞】 大數據公司; 數據資產安全; 內部控制; 華為云

【中圖分類號】 F233 ?【文獻標識碼】 A ?【文章編號】 1004-5937（2019）24-0084-05

一、數據資產安全對大數據公司的發展至關重要

根據成立于1979年、總部設在美國斯坦福的全球最具權威的IT研究與顧問咨詢公司高德納的定義，大數據是需要新處理模式才能具有更強的決策力、洞察發現力和流程優化能力的海量、高增長率和多樣化的信息資產;無法利用傳統流程或工具處理或分析，通過運用數字分析軟件、技術，采用復雜挖掘過程所獲得的巨量、海量數據;需要同時進行批量處理或分析的大量信息或數據集。我國擁有龐大的消費群體和大量互聯網用戶，截至2019年6月網民規模和手機網民規模分別達到8.54億和8.47億①，在BAT（百度的網絡流量數據、阿里巴巴的供應鏈交易數據和騰訊的社交數據）等超大型互聯網公司大數據的引領下，約25%的各類企業一直在尋求大數據的價值。目前，我國大數據產業的發展逐漸進入井噴期，據統計，2017年我國大數據產業規模約為4 700億元，同比增長超過30%，2018年達到6 000億元。同時，大數據的應用領域不斷拓展，在各領域的應用深度不斷提升，各類創新型大數據公司也紛紛涌現，試圖在大數據市場占領一席之地。2016年7月發布的《國家信息化發展戰略綱要》，明確提出2018年要形成統一的政府數據開放平臺。據國家發改委等權威部門預測，到2020年，我國的數據總量將會超過8 000億PB，占全球數據總量的比例達到20%，我國大數據市場規模將超過8 000億元。

大數據公司通常是指有獲取大數據能力的公司，依據其業務內容的不同，可分為以下七類：數據服務、數據可視化、大數據分析、商業智能領域、數據科學、電子商務數據及社交媒體數據;國內的大數據公司主要分為兩類：一類是現在已經有獲取大數據能力的公司即數據型的大數據公司，如百度、騰訊、阿里巴巴等互聯網巨頭以及華為、浪潮、中興等國內領軍企業，這類大數據公司通常是與人們日常生活密切相關的，涵蓋了數據采集、數據存儲、數據分析、數據可視化以及數據資產安全等領域;另一類則是初創的大數據公司，這類公司依賴于大數據工具，針對市場需求，為市場帶來創新方案并推動技術發展，屬于創新型大數據公司。當前，大數據公司的業務范圍主要涉及：（1）為電商企業提供個性化引擎的大數據公司，包括推薦引擎、分析引擎和營銷引擎等，覆蓋大數據全產業鏈的實現路徑。通過基礎引擎和智能引擎驅動智慧商業的落地。（2）大數據分析技術提供商，面向企業或者政府部門提供數據分析的結果。這類公司可以完整地實現大數據的采集、分析、處理，為各大企業提供高端信息技術咨詢服務，還可通過構建一個數據資產分享和交易平臺把數據或信息作為資產直接進行銷售，可以面向個人提供基于數據分析結果的服務。（3）為傳統企業提供大數據技術平臺搭建和大數據驅動的SaaS應用的大數據公司，整合高性能的計算和存儲能力，為大數據的挖掘和分析提供專業穩定的IT基礎設施平臺，為大數據存儲實現統一管理，能夠幫助企業精準預測和構建用戶特征，搭建以用戶為中心的大數據運營體系。大數據的運用正顛覆性地改變著經濟形態、國家治理和資源配置模式，引發了巨大的經濟社會變革，其影響力遠超當年互聯網公司崛起帶來的爆發式增長。大數據是重塑未來世界發展的新動力;數據會成為推動實現巨大經濟效益的“新能源”，“數據為王”時代的大幕已經開啟，海量數據作為大數據公司的核心資產，只有數據分析處理能力強的公司才會在激烈的市場競爭中脫穎而出，既擁有數據又有大數據思維的大數據公司將會成為未來世界的主宰。全球互聯網公司都在逐步轉變為大數據公司，互聯網企業對大數據陣地的爭奪已經開始，并且熱度持續升溫。在未來，數據會成為新能源。新一代信息技術如移動互聯網、物聯網、社交網絡、數字家庭、電子商務等的應用不斷產生大數據。大數據的核心理念在于，利用數據化的理念和技術對現實世界建模，構筑一個數字化世界，基于此可構建相應的業務系統，從而實現智能化的應用。

對于大數據公司而言，大數據資產類似于制造業企業的原材料或固定資產等長期資產，加強大數據的相關內控建設，其意義不亞于制造業企業加強存貨等資產內部控制建設。鑒于大數據的采集、傳輸、存儲、處理、交換乃至銷毀等過程，需要考慮數據資產安全問題;大數據公司的數據資產安全對于大數據業務的開展與發展至關重要，大數據公司的內部控制建設更不可忽視數據資產安全相關內控問題。因此，本文將以此為著眼點展開論述，分析我國大數據公司在數據資產安全防護方面存在的問題，通過對華為云為維護數據安全而構建的內部控制體系的介紹，爭取為大數據公司如何針對數據資產安全進行內部控制系統優化提供建設性的建議。

二、文獻綜述

（一）大數據普及存在的安全問題

馮偉[1]指出大數據易成為網絡攻擊的顯著目標、加大隱私泄露風險、對現有的存儲及安防措施提出挑戰、成為高級可持續攻擊的載體，因此要重視大數據及其信息安全體系建設、加快大數據安全技術研發、加強對重點領域敏感數據的監管、運用大數據技術應對高級可持續攻擊。李新華[2]認為大數據的應用帶來了數據本身安全和個人隱私泄露方面的挑戰，可以通過物理隔離以及權限控制相結合、信息加密、對硬盤的有效保護、立法保障隱私不被竊取等措施來應對。郭斯蘭等[3]認為大數據的普及主要存在三個隱患：數據生命周期安全問題、基礎設施安全問題、個人隱私安全問題，同時號召要全面加強數據安全治理，這可以從加強數據安全管理、敏感數據管控、平臺安全防護、數據安全評估四個方面開展。陳璐宇[4]針對大數據所具備的特性，嘗試搭建大數據隱私的主動保護框架，包括法律法規、隱私風險的主動監測、隱私風險的主動評估、隱私的主動管理和問責系統五個部分。

（二）大數據公司的內部控制構建

劉海麗[5]認為高新技術企業內部控制管理存在的不足之處包括企業組織結構的不合理、企業管理者缺少對內部控制的重視程度、技術開發管理的落實力度不夠深入等。杜鵑[6]認為高新技術企業的內部控制普遍存在管理層關注度不高和企業活動節點控制有待落實的問題，并相應提出了管理層提升對內部控制工作的重視以及加大企業活動關鍵節點控制力度的應對措施。王紅梅等[7]認為大數據公司在發展過程中暴露出安全與道德危機、公司管理能力不足、人才匱乏危機等問題，應當根據內部控制的重點領域，采取構建適合大數據公司特點的企業發展戰略、誠信的文化理念、勝任大數據業務的人力資源戰略、實時風險防控和監督體系等作為大數據公司內部控制的策略。

綜上所述，可以發現在大數據的安全防護問題和大數據公司的內部控制構建問題兩個層面已有學者進行過研究。但至今尚未有文獻從保護數據資產安全的視角切入，來詳細討論大數據公司如何構建內部控制系統以解決這一問題，這將成為本文主要的貢獻點。

三、我國大數據公司的數據資產安全內控面臨挑戰

隨著大數據業務的不斷快速發展，大數據公司的數據資產內部控制缺陷也隨之暴露，數據資產的爆發式增長和大規模利用而引致的安全危機最令人關注和擔憂，傳統的內控手段與程序需要進行相應優化。目前，大數據公司的數據資產安全問題主要集中體現在管理層重視程度、數據生命周期安全和數據資產基礎設施安全三個方面。

（一）管理層重視程度

由于大數據公司本身主要依賴數據分析能力、數據應用能力得以發展，因此大數據公司的管理層很容易會將注意力集中在技術研發方面，而往往會忽視大數據的數據資產安全方面可能存在的問題。據統計，2014年我國信息安全投入占總體IT投入僅為2%左右，遠低于歐美成熟市場10%左右的水平②。加之，由于互聯網技術的不斷革新，海量數據資產的大量涌現甚至部分數據已泛濫成災，大數據公司的數據資產安全問題已處于一種無孔不入、日新月異的狀態，管理層即便對其有所關注，其關注程度也可能難以達到足以防范數據資產安全風險所需的高度，因此更加劇了數據資產安全風險給大數據公司發展帶來的可能威脅。

（二）數據生命周期安全

大數據生命周期是指大數據的收集—傳輸—處理環節所需經歷的各階段。在整個大數據生命周期中，大數據公司的大數據資產安全主要存在非法利用數據變現、信息傳輸安全風險以及員工舞弊等內控問題或缺陷，需要強化或優化相應的內控機制。

1.非法利用數據變現。大數據公司不經過客戶同意，將收集到的數據非法變現，從中牟取利益已經是當前社會上一種較為普遍的現象。比如2017年的“快啊答題”打碼平臺非法獲取販賣公民信息案[8]，利用搭建的答題平臺和與之對接的曬密軟件，把大批賬號和密碼進行自動匹配，突破互聯網公司的驗證碼安全防護策略，獲取了大量的網站后臺數據和公民個人信息并分類銷售給多個下游詐騙團伙。最終騙取全國20余個省（自治區、直轄市）受害人的財產金額達2 000余萬元。

2.信息傳輸安全風險。數據信息在傳輸過程中可能因遭受黑客攻擊或者傳輸渠道不嚴密而被篡改，導致在傳輸過程中逐步失真，失去其原本價值;或因如商業信息等的泄露或被盜用，也會給客戶造成巨大的損失，從而易使大數據公司面臨法律風險。典型的例子是“撞庫”，利用用戶在不同場景中傾向使用同一賬戶與密碼的行為習慣，以泄露的用戶個人信息為數據樣本，通過計算機系統批量嘗試登錄其他網站，從而獲取其他網站賬戶信息。據相關網站統計，黑產從業者僅通過某網絡平臺的招聘網站登錄入口就有約100萬/天的撞庫攻擊量，其中撞庫成功的賬號約為23%左右，按照每天100萬條撞庫賬號預估，每天約有23萬賬戶被撞庫成功③。

3.員工舞弊。大數據公司內部員工在處理數據時，可能會利用職務之便，非經授權盜用客戶的數據為自己牟取私利，既會給客戶造成損失，也會進一步引發大數據公司的聲譽與信任危機，加劇經營風險。

（三）數據資產基礎設施安全

隨著科學技術的不斷進步，大數據的技術處理手段日新月異，任何一家大數據公司都難以保證擁有或控制的計算機設備與信息網絡環境的絕對先進與安全。大數據公司的基礎設施即其“云平臺”，存放著大數據公司的所有數據資產。2018年，根據對領英（LinkedIn）上400 000名信息安全社區網絡安全專業人員的在線調查顯示，43%的網絡安全專業人員擔心云基礎架構安全性，38%的人員擔心云平臺的合規性，35%的人員擔心云環境中的一致性問題。云平臺作為數據資產的重要載體，其存在的安全威脅將危及整個大數據公司各項業務的開展，更會讓大數據公司經營面臨更多的數據資產安全風險。

綜上所述，大數據公司由于發展階段、自身技術等方面的限制，內部控制的構建在保障數據資產安全方面還存在著許多不容忽視的問題。本文以深圳華為技術有限公司的“華為云”為例，探討大數據公司應當如何建立健全內部控制框架體系以應對數據資產安全問題。

四、“華為云”優化數據資產安全內控可資借鑒[9]

“華為云”是華為公有云品牌，致力于提供專業的公有云服務，提供彈性云服務器、對象存儲服務、軟件開發云等云計算服務，以“可信、開放、全球服務”三大核心優勢服務全球用戶。2017年8月，華為集團宣布“華為云”正式升級成為華為集團的一級部門。2017年9月，“華為云”隨即發布《華為云安全白皮書》，分享其關于構建云安全體系的經驗，也表明了其對于維護數據資產安全的重視程度。“華為云”在大數據行業內屬于佼佼者，其內部控制體系的構建具有一定的參考性。因此本文以“華為云”為例，通過分析“華為云”針對維護數據資產安全而建立的內部控制系統，試圖為大數據公司在有關數據資產安全的內部控制構建方面存在的問題提出建設性的建議。由于華為技術有限公司的內部控制體系是基于COSO模型而設計，包括控制環境、風險評估、控制活動、信息與溝通、監督五個部分，因此本文的分析也從這五個方面展開。

（一）控制環境

1.組織架構。“華為云”針對數據資產安全問題構建了一個自上而下的治理結構。單獨設置“全球網絡安全與隱私保護委員會”作為最高網絡安全管理機構，決策和批準公司總體網絡安全戰略。全球網絡安全與隱私保護官及其辦公室負責制定華為端到端網絡安全保障體系，并在研發、供應鏈、市場與銷售、工程交付及技術服務等方面執行，并直接向公司CEO匯報。

2.發展戰略。“華為云”的發展戰略之一：以數據保護為核心，以云安全能力為基石，以法律法規、業界標準遵從為城墻，以安全生態圈為護城河，依托華為獨有的軟硬件優勢，打造業界領先的競爭力，構建起面向不同區域、不同行業的完善云服務安全保障體系。“華為云”將自身定位為中立的云服務提供商，任務是搭建數據平臺，堅持“不碰數據”的原則，即華為不提供數據，也不會強迫客戶將數據交給華為，只是讓客戶將數據放到“華為云”上，通過技術開發和應用數據，幫助客戶最大程度地發揮數據的價值。簡言之，“華為云”的變現是通過“技術和服務”來達成，而不是依靠“應用和數據”[10]。

3.企業文化。華為在發展歷程中形成了內涵豐富、獨樹一幟的企業文化，本文將重點分析華為的“誠信文化”。華為并未把“誠信”作為一項硬性要求，但華為在日常業務運營中的方方面面都在踐行“誠信”二字，以此規范企業和員工的道德價值觀念，并達到了良好的效果。“華為云”在提供云產品和服務過程中始終堅持“三不”政策，言出必行、堅守底線，不做應用，不碰數據，不做股權投資。這也使得華為在經營過程中更能堅守本心，保持一種中立的姿態，大大提高了華為在供應商和客戶面前的話語權[11]。

4.人力資源。“華為云”將數據資產安全的理念滲透到人員招聘、培訓、管理的方方面面，打造一個完善的人力資源管理體系。公司定期開展網絡安全意識教育普及活動，宣傳員工行為準則并要求員工簽署承諾書;根據員工的資歷、崗位等分別舉辦網絡安全基礎培訓、精準培訓、實戰演練、安全能力任職資格牽引;針對重點崗位實施重點管理，進行上崗背景審查、上崗資格管理、在崗賦能培訓，做好員工離崗后的權限清理工作;踐行安全違規問責制度，要求每個員工對自己的工作負責，既要承擔技術與服務方面的責任，也要承擔可能引起的法律后果。

（二）風險評估

“華為云”擁有一支專門的安全審計隊伍，每年至少對“華為云”的安全運營開展一次審計活動，以識別和評估“華為云”在數據資產安全方面可能存在的風險，并直接將結果向公司董事會和管理層通報。此外，在具體業務層面，“華為云”已經建立了成熟的漏洞管理機制，能夠有效地感知和對外披露漏洞，及時響應并防范漏洞可能造成的數據泄露、侵犯隱私的風險。

（三）控制活動

“華為云”通過建立安全責任共擔模型，明確區分在服務過程中“華為云”和租戶各自應當承擔的責任，在自身責任范圍內建立應對機制、承擔責任。在基礎設施方面，“華為云”嚴格執行訪問控制、安保措施、例行監控審計、應急響應等措施，以確保“華為云”數據中心的物理和環境安全。在具體的產品與服務方面，“華為云”針對工程研發安全和運維運營安全，分別完善了相關的內部控制機制：在工程研發方面，“華為云”通過規范設計流程、進行威脅分析、制定消減措施來確保基礎設計的安全性，并通過質量門限及時評估編碼質量，在服務發布前進行多輪安全測試。云平臺版本、云服務上線前，還要進行上線安全審批，中低風險的云服務自檢后即可上線，而對于高風險的云服務，自檢結果還要提交給華為全球網絡安全與用戶隱私保護官與首席法務官評審，確保即將上線的產品或服務符合安全隱私規范要求。此外，“華為云”也高度重視使用第三方軟件的安全性，對其實施安全增強措施，并將識別出的與其有關的風險及時反饋給社區。在整個研發過程中，“華為云”的配置經理對所有的業務單元進行配置管理并承擔責任;“華為云”同時也建立了變更委員會，對“華為云”的變更申請進行評審和授權。在運維方面，公司采用統一賬號、統一接入、統一認證、統一授權，確保操作行為可以定位到個人，以便問責;通過成熟的漏洞管理機制，對運營過程中識別出的漏洞，及時響應、修復，并在規定時間內向租戶披露風險與修復方案;建立專業安全事件響應團隊以及對應的安全專家資源池來應對發生的云安全事件，并建立安全日志;對于業務災難事件，強化云基礎設施建設，制訂災難恢復計劃、提供災備復制，確保業務連續性和可靠性。

（四）信息與溝通

“華為云”安全團隊內部的組織結構趨于扁平化，以便實現組織內部信息的快速流動，滿足云服務快速持續集成、交付與部署的進度要求，形成靈活的互聯互通機制。同時，由于云安全對于“華為云”的特殊性，因此云安全團隊將有關信息直接向“華為云”總裁匯報。

（五）監督

1.內部監督。“華為云”對控制的內部監督主要通過內部審計進行。華為云針對業務流程中所有會對系統產生影響的用戶活動、操作指令建立相應的安全日志以備審計。比如，華為數據中心對于人員和設備的進出進行了嚴格的控制，建立數據中心訪問記錄，并由內部審計人員進行不定期審計，關注可能存在的異常訪問跡象。

2.外部監督。外部監督主要依靠第三方機構安全認證以及用戶反饋，如果涉及向境外國家和地區提供云服務，華為云還要接受他國政府安全部門的審查監督。

目前，“華為云”已經建立了完善的用戶反饋機制：發現安全漏洞的用戶可以通過郵件向華為云提交發現的安全漏洞和相關的支持性材料。“華為云”服務將跟蹤每一個反饋報告，并在一個工作日內向用戶發送確認郵件。對于受到華為云認證的漏洞，“華為云”將及時采取修復措施并向用戶披露修復進展。

五、優化內控機制，確保大數據公司數據資產安全

（一）樹立前瞻風險意識，消除數據資產安全隱患

基于企業利益角度考慮，由于目前很多大數據公司仍處于初創階段，對于大數據資產的分析和運用仍處于摸索期，行業發展前景并不十分明晰，管理層往往將精力集中于拓展業務范圍、搶占新興市場、提高研發能力方面，這本身無可厚非，也符合企業短期的利益需求。但是，如果管理層從一開始就忽略了有關數據資產安全內部控制體系的建設，長此以往，未來企業的發展會存在諸如內部權責混亂、數據權限劃分不明等更多的問題，從而使企業面臨更大的道德風險和法律風險，這會為以后企業的持續發展埋下禍根。因此，管理層應當樹立前瞻意識，在業務開展之初便應考慮有關數據資產安全問題的方方面面，并設計適當的內部控制系統以持續地識別、評估、應對風險，而不是等到日后發生了數據資產安全問題才采取補救措施，到那時，公司或許將背負更為嚴重的法律責任并遭受更大的損失。

（二）整合業務流程，構筑信息內控防線

“華為云”有關數據資產安全的內部控制體系是受其發展戰略指引、基于其自身的商業模式而建立，全面貼合其業務流程的各個關鍵控制節點，才能達到理想的控制效果。大數據公司在構建自己的內部控制框架體系時，也應當從實際出發，有針對性地考慮整個數據生命周期中可能存在風險的節點，并設計適當的監測、評估、管理及問責系統以及時識別、評估并應對這些風險節點。大數據公司對于收集到的數據應當建立專門的數據中心用以存儲，并嚴格限制對于這些數據的接觸和使用。公司應當采取加密措施、定期檢查并維護更新軟件或證書版本等措施來保證信息傳輸過程中的安全可靠。同時，企業應當建立靈活的溝通機制，及時了解員工在工作過程中發現的安全風險，鼓勵員工互相監督，并向員工及時傳達有關數據資產安全技術、數據資產安全問題解決等方面的最新動態，在公司內部形成良好的互動機制。

（三）持續優化完善，保障數據平臺安全

在數據基礎設施方面，大數據公司應當從整體上盡快建立自身的防火墻邊界以抵御外界不法分子的攻擊盜用，并委任安全審計團隊定期進行檢查維護，及時處理并披露發現的安全問題，以保證整個網絡環境的安全。對于存儲在云平臺上的數據，應當劃清各類數據的存儲界限、訪問權限并嚴格進行區域隔離，同時采取一定的邊界防護措施，以防止數據的流竄及泄露。此外，大數據公司應當加強技術方面的學習培訓，保持其在技術層面的先進性，以游刃有余地面對可能存在的安全挑戰。大數據公司應及時識別、科學分析與評價影響內部控制目標實現的各種不確定因素，采取有效的應對策略，構筑實時風險監控系統與實時風險防控系統，健全安全保障機制，以加密的方式實施大數據的傳輸與處理，制定數據資產安全保護規則與監管條例，確保遵守且不斷更新，實時監測信息安全，做好等級保護、風險評估、漏洞發現等基礎性工作，完善網絡安全監測預警和網絡安全重大事件應急處置機制，公司安全體系應達到中高級應用標準，增強防范公司數據資產安全風險的能力;建立開放的信息與溝通體制，形成及時迅捷的內外部的有效溝通渠道，設立監察員對公司內控控制進行監督檢查，保障公司發展壯大，規范大數據公司的數據資產應用。

【參考文獻】

[1] 馮偉.大數據時代面臨的信息安全機遇和挑戰[J].中國科技投資，2012（34）：49-53.

[2] 李新華.淺談大數據時代的機遇和挑戰[J].通訊世界，2013（6）：60-61.

[3] 郭斯蘭，揭建成，祝利鋒，等.破解大數據安全現實課題[N].浙江日報，2017-07-17（011）.

[4] 陳璐宇.大數據隱私的主動保護技術研究[J].信息與電腦（理論版），2016（2）：24-26.

[5] 劉海麗.試論高新技術企業內部控制管理中存在的問題及對策[J].財會學習，2017（15）：244-245.

[6] 杜鵑.高新技術企業內部控制存在的問題及對策[J].現代營銷，2018（9）：154.

[7] 王紅梅，谷強，劉勝花.大數據公司內部控制構建問題初探[J].會計之友，2018（9）：126-128.

[8] 王碩.國內最大打碼網站用人工智能竊取個人信息 一起網絡黑產案拷問AI犯罪責任邊界[N].法治周末，2017-12-14.

[9] 華為技術有限公司.華為云安全白皮書[R].2017.

[10] 孫杰賢.全球5朵云，華為云要占其一[J].中國信息化，2017（9）：29-30.

[11] 黃海峰.對話華為輪值董事長徐直軍：云服務為中國軟件帶來新希望[J].通信世界，2018（19）：35-36.