數據中心中的數據治理安全性評估方式

蔡浩淼 宋俊典 朱永佳

摘 要

在當今社會，數據和信息非常重要，因為它包含公司和所有業務交易信息。從管理層到普通員工，每個員工都應對數據的安全性負責。數據應視為公司資產，必須妥善管理。數據治理將指導所有員工管理數據并確保數據的安全性，缺乏意識和不良的數據治理可能導致數據泄露和業務災難。通過實施數據治理，公司中的數據將擁有所有權和訪問級別。由于訪問級別受到限制，這將使數據更加安全。本研究旨在使用文獻綜述和深度訪談的方式評估有關數據治理的安全性。

關鍵詞

數據治理;安全性;數據中心;文獻綜述;深度訪談

中圖分類號： TP311.13 ? ? ? ? ?文獻標識碼： A

DOI：10.19694/j.cnki.issn2095-2457.2020.09.043

Abstract

In today's society，data and information are important because it contains information about companies and all business transactions.From management to ordinary employees，every employee is responsible for the security of data.Data should be considered company assets and must be properly managed.Data governance will guide all employees to manage data and ensure data security.Lack of awareness and poor data governance can lead to data leakage and business disaster.By implementing data governance，data in your company will have ownership and access levels. This will make data more secure due to restricted access levels.The purpose of this study is to assess the security of data governance using literature reviews and in-depth interviews.

Key Words

Data governance;Security;Data center;Literature review;In-depth interviews

0 引言

數據中心是一個存儲公司數據和信息的計算機系統。除此之外，所有數據傳輸和網絡工作流程將在數據中心內運行。如今，隨著技術的進步，許多公司意識到需要為數據中心做最大程度的功能準備，以便公司能夠實時地、快速地進行數據傳輸，此時云計算技術應運而生。根據NIST（美國國家標準與技術研究院）云的定義，云計算是“一種模型，可以方便地按需訪問網絡上的可配置計算資源（例如網絡、服務器、存儲、應用程序和服務）的共享池，這些資源可以通過小型管理工作或服務提供商快速配置和發布交互”。

根據定義本身，云計算實際上是一種類似于傳統數據中心的網絡模型。但是，仍然需要物理數據中心，例如建筑物、基礎結構、服務器和交換機，公司可以小規模部署它。云服務提供商需要物理數據中心，云計算有很多優點，常見的優點是減少維護成本，節省擴展數據中心的需求，因為大多數操作將使用云來完成。 除此之外，如果公司要擴展其存儲或網絡帶寬，則需要向提供商提出要求并支付服務費用，這稱為按使用付費。

數據治理是使用正確的方法和工具保護數據[1]。數據治理是公司管理和保護有關業務信息，公司相關信息和機密信息的數據和信息的指南。為了確保數據和信息都被分配或有權查看，編輯和進行數據更改的人員妥善保存和管理。數據治理非常重要，公司需要將數據視為資產，因為它將決定業務的連續性。如果由于未正確保護數據而發生問題，則可能導致任何其他問題，例如數據泄露等。

數據治理的一個主要問題是非基于筒倉式的治理。信息技術中的筒倉是一種與其他系統分開工作或運行的管理系統[2]。當今，信息孤島不是一種好的信息保存方式，因為這會導致業務發展和流程的冗余和無效。許多公司試圖將數據管理從孤島工作的舊系統更改為更加一致、高效和易于其他系統訪問的新系統。但是，如果沒有適當的訪問方式將導致另一個問題，即安全性。使數據可以在任何地方和任何級別訪問將使攻擊者有機會輕松獲得數據。攻擊者僅攻擊一個安全級別較低的系統，即可訪問其他系統或級別。這需要進行數據治理，以確保每個數據都具有可以批準用于讀取和編輯目的，并賦予管理人員具有特定訪問級別。

不良的數據治理可能導致數據泄露[3]。一個例子是2014年12月索尼影業黑客事件，其中一個名為“和平衛士”的組織侵入了索尼影業服務器。他們刪除、竊取和公開許多信息，包括未發行的電影、演員的薪水、名人的別名、史蒂夫·喬布斯的戲劇、奧巴馬的種族主義、情緒低落、醫療文件和圣誕節禮物[4]。該小組刪除了該公司6797臺個人計算機中的3262臺和1555臺服務器中的837臺中存儲的所有內容[5]。索尼影業的首席執行官將這次攻擊稱為“美國歷史上最嚴重的網絡攻擊”。得出結論，該事件的發生是由于缺乏數據安全性以及公司的政策實施不力所致[6]。

UBM進行的一項調查顯示[7]，沒有受訪者可以準確定義數據治理。問題之一是實施數據治理時的困難，42%的受訪者回答了對數據治理的理解。報告中提到，在10個受訪者的企業中，只有三分之一的組織專門成立數據治理團隊。另一項研究發現表明[8]，中小企業對數據治理缺乏全面了解成為導致實施數據治理失敗的因素之一。一些中小型企業缺乏數據管理知識，也無法定義其數據生命周期。

在數據治理中執行力度不夠可能會導致數據管理混亂[9]。當數據所有者不確定時，企業如何知道誰可以訪問、誰可以對其進行更改，這可能會導致未知方的非法訪問，從而可能損壞數據。

1 文獻評論

數據治理是企業信息管理中的新興趨勢[10]。數據治理被認為是管理公司的所有數據和信息的最佳實踐，因此，它規定了滿足公司需求的所有業務價值[1][11-12]。數據治理可以滿足業務需求，將數據作為對公司有價值的資產進行保護，并能夠降低管理數據的成本[12]。系統地管理數據和集中式數據治理有助于提高數據的質量，并使組織能夠進行有效的管理并與公司治理、IT治理和企業體系結構保持一致[1]。數據治理實踐通過在風險和回報之間取得平衡來幫助企業管理數據本身的價值和成本[11]。建立政策、流程、標準和指南以確保數據可訪問性、可用性、質量、一致性、安全性等非常重要[12]。

治理是對數據的數量和級別的控制，以及它能夠有效管理數據本身的能力[13]。隨著大數據時代的到來，應該有效的管理數據并且保持透明，以最大限度地降低公司運營和決策風險。同時，避免孤島問題，團結業務部門，制定技術計劃、政策、標準、指南，并確保每個版本的數據管理都是真實和透明的。其次，需要建設與外部行業數據的通道，打開第三方的數據接入，并保證公司內部數據與行業標準的一致性和關聯性。數據治理能夠通過確定流程、決策權限、角色和職責來幫助公司平穩地開展業務。

2 方法

對于本研究，將使用兩種典型的方法，即廣泛的文獻綜述法和深度的訪談法。

2.1 廣泛的文獻綜述

文獻綜述是研究中要討論的相關問題的摘要。在文獻綜述中還包含許多以前研究相關主題的研究人員的討論。這是為了支持研究陳述或討論研究中很少的問題。它還將幫助研究人員進一步討論與研究項目相關的問題和解決方案。

對該研究進行了廣泛的查閱文獻，以提供與云數據中心中的數據治理安全問題有關的信息，尤其是在數據安全方面。可以使研究人員了解未進行數據治理所產生的問題，使用大量的文獻綜述將有助于研究人員與可用的數據治理安全指南進行比較，并給出合適的指南。這種方法可以研究其他方法的優缺點，以便在自己的研究中采用或改進它們。

從查閱文獻中，收集的信息有：

●云數據中心的安全問題。

●建議解決問題的方法。

●已制定的可用數據治理安全準則。

2.2 深度訪談

深度訪談是適合用于定性研究的許多方法之一。深度訪談是指與受訪者進行廣泛訪談以從他們那里獲取數據的過程。正常訪談可以通過向受訪者提問幾個問題來獲得信息，但是，深入訪談需要與參與者進行廣泛的交流，以獲取信息以及他們的詳細解釋。

使用深度訪談作為數據收集方法的好處是訪談者可以從參與者那里獲得直接信息。如果有任何需要進一步解釋的問題，他們可以直接詢問參與者。采訪者可以監視參與者是否真的知道所問問題的信息。當訪談單獨舉行時，與會人員可以隨意發表評論或以自己的方式進行解釋，而不必擔心信息是否會給其他與會人員帶來傷害。

因此，在這項研究中，選擇參與者有特定的標準。選擇參與者的抽樣方法稱為專家抽樣，這項研究涉及數據收集的兩個階段，其中第一階段是采訪高等教育機構，因為它與案例研究相關。第二階段是工業，這是為了從行業角度獲得實施安全準則的反饋。

1）受訪者

受訪者是根據專家抽樣選擇的。受訪者應該是直接管理和維護云系統的人員或技術人員，他們知道系統中發生的情況以及如何應對系統中存在的威脅。

2）問題指南

將使用視頻記錄器或語音記錄器記錄會話，以確保不會丟失所有重要和相關數據。問題要事先準備，但隨著會議的進行和更多問題的出現，相關的問題將在訪談過程中提出。

對于本研究，將要問的問題類型是開放式問題。這將為受訪者提供更多機會，以更多地解釋與云數據中心數據治理安全相關的問題。它將為研究人員設計數據治理提供更多思路。提出的問題與組織中提供的當前服務以及已實施的當前數據治理有關。總體而言，如果需要受訪者提供任何其他信息，將收集多個問題來收集數據，并在會議中提出更多問題。問題的例子有：

●什么是數據訪問標準和程序

●如何持續進行風險評估

●如何傳播安全意識和教育

3 結論

通過文獻綜述和深度訪談得出，缺乏對數據安全的認識和不良的數據治理實施，會導致企業發生災難性錯誤，造成財務損失和業務災難。開發數據治理將使公司全體員工共同負責保護公司的數據和信息，利用大數據治理來提升競爭力是未來所有企業都要面臨的問題。大數據的作用將不再是目前數據的產生、存儲、管理、分析、利用，它將在一種新的處理模式下做出決策并洞察未來發展趨勢。大數據治理對企業管理問題的影響不僅是企業管理的技術問題，還是一種管理決策的方式。面對諸多挑戰，企業必須意識到大數據治理對企業管理的重要性，順應時代做出改變。

參考文獻

[1]C.I.Forum，“Data governance in the cloud.”

[2]V.Beal，“Information Silo，”2017.[Online].Available：http：//www.webopedia.com/ TERM/I/information_silo.html.[Accessed：06-Oct-2017].

[3]R.A.Wahid and P.D.D.N.B.Idris，“Factors Influencing Data Governance Imple mentation in a Private University College：A Descriptive Analysis.”

[4]E.Betters，“Sony Pictures hack：Heres everything we know about the massive attack so far，”Pocket Lint，2015.[Online].Available： http：//www.pocket-lint.com/news/13 1937-sonypictures-hack-here-s-everything-we-know-about-the-massiveattack -so-far. [Accessed： 05-Oct-2017].

[5]P.Elkind，“Inside the Hack of the Century，”Fortune.com， pp.66，89，2015.

[6]A.Borgschulte，“the Risks of Improper Data Governance，”Gimmal，2016.[Online]. Available：http：//blog.gimmal.com/2016/03/22/the-risks-of-improper-datagoverna nce.

[7]UBM，“The state of data quality，”2018.

[8]C.Begg and T.Caira，“Exploring the SME Quandary：Data.Governance in Practise in the Small to Medium-Sized Enterprise Sector，”Electron.J.Inf.Syst.Eval.，vol.15，no.1， pp.3，13，2012.

[9]S.Frazier，“Is Poor Data Governance Putting Your Digital Transformation at Risk？ -Blazent，”2017.[Online].Available：http：//www.blazent.com/poor-data-governance -putting- digitaltransformation-risk/. [Accessed： 29-Jun-2018].

[10]L.L.K.Cheong and V.Chang，“The need for data governance： a case study，”Pap. Present.18th Australas.Conf.Inf.Syst.Toowoomba，Aust.，vol.18，no.2005，pp.999，1008， 2007.

[11]P.P.Tallon，“Corporate governance of big data：Perspectives on value，risk，and cost，”Computer （Long.Beach.Calif）.，vol.46，no.6，pp.32，38，2013.

[12]S.Pande，“The Theoretical Framework for Corporate Governance，”Indian J.Corp. Gov.，vol.7，no.1，pp.56，72，2014.

[13]Z.Panian，“Some Practical Experiences in Data Governance，”World Acad.Sci.Eng.Technol.，pp.939，946，2010.