數據安全治理與應用實踐

◆趙鳳偉 崔鵬 張智慧

（1.北京鎧撒信息技術有限公司 北京 100089；2.廣東粵電啟明能源有限公司 廣東 518107；3.華能濟寧高新區熱電有限公司 山東 272073）

1 為什么要引入數據安全

大數據是指規模巨大到無法通過目前的軟件工具，在適當的時間內實現分析、處理、整理并存儲成為能夠幫助企業經營決策目的的信息。大數據的特點有4V，規模性（Volume）、高速性（Velocity）、多樣性（Variety）、價值性（Value）。

現階段國家大力支持大數據的發展，國務院以及各級地方政府頒布大量政策來扶持大數據產業。近年來，我國高度重視大數據的發展，2015年9月，經李克強總理簽批，國務院印發《促進大數據發展行動綱要》，系統部署大數據發展工作。2016年，《中華人民共和國國民經濟和社會發展第十三個五年規劃綱要》提出“實施國家大數據戰略”，主張把大數據作為基礎性戰略資源，全面實施促進大數據發展行動。

大數據對企業的影響也是巨大的。大數據能夠徹底改變企業內部的運作模式，以往的管理是“領導怎么說？”，現在變成“大數據的分析結果是什么？”企業決策由依靠領導經驗向數據分析結果轉變。數字化、網絡化和智能化是企業發展的趨勢，關注大數據安全是企業數字化轉型的必然要求，是企業進行長期經營的重要保障，數字化轉型勢不可擋。

大數據也在影響著我們每個人的生活。打開淘寶，推薦的商品正是我們最近想買的東西；打開微博，推薦關注的博主正符合我們的興趣。大數據就在我們每個人的身邊。

正是因為大數據對國家、企業、個人具有重要的作用，并具有很高的研究價值，所以大數據安全現在成為學術與工業界的研究熱點，是人們公認的大數據相關問題中關鍵的問題之一。

2 數據安全的表現形式

數據安全的表現形式：“云大物移智控”，這些都是現代數字化轉型的一些技術。供應商采購、生產、包裝、分銷直到客戶，從上游采購原材料、生產、包裝最后銷售，這是傳統的企業模式，現在的格局是利用新技術，比如傳感、5G、物聯網、云計算、區塊鏈、人工智能，來實現柔化、資源配置、智能決策等環節一體化，上述均為實現數字化必須依賴的工具和技術。

在整個數據生命周期里，我們都用到了上述技術，比如在物聯網中，傳感器能夠感知并且收集土壤溫度、濕度等土壤養分信息，形成大數據，交給云來計算與存儲，通過人工智能進行深度學習。

數據安全應貫穿數據治理全過程，應保證管理和技術兩條腿走路。從管理上，建立數據安全管理制度、設定數據安全標準、培養起全員的數據安全意識。從技術上，數據安全包括：數據的存儲安全、傳輸安全和接口安全等。當然，安全與效率始終是一個矛盾體，數據安全管控越嚴格，數據的應用就可能越受限。企業需要在安全、效率之間找到平衡點。數據安全管理主要有以下三個方面：

（1）數據存儲安全，包括物理安全、系統安全、存儲數據的安全，主要通過安全硬件的采購來保障數據存儲安全。

（2）數據傳輸安全，包括數據的加密和數據網絡安全控制，主要通過專業加密軟件廠商進行規范設計和安裝。

（3）數據使用安全，需要加強從業務系統層面進行控制，防范非授權訪問和下載打印客戶數據信息；部署客戶端安全控制工具，建立完善的客戶端信息防泄漏機制，防范將客戶端上存儲的個人客戶信息非授權傳播；建立完善的數據安全管理體系，建立數據安全規范制度體系，組建數據安全管理組織機構，建立有效的數據安全審查機制；對于生產及研發測試過程中使用的各類敏感數據進行嚴密管理；嚴格與外單位合作中的個人客戶信息安全管理等。

3 如何進行數據治理

數據治理的四個領域：組織建設有決策層（高管、首席數據官）、管理層（數據安全管理團隊）和執行層（數據安全運營、技術團隊）；流程制度有發展方針、組織戰略、管理制度、管理規范、流程、規范、指南、標準、計劃、表格、報告、日志；技術工具方面，分級分類、數據保護、泄露防護、數據標準、權限管理、流程審批；人員能力有管理能力、運營能力、技術能力和合規能力。

數據治理的五大階段：業務梳理有業務規劃、IT 戰略、安全合規、風險評估、安全治理；分級分類有數據分類分級；策略制定有數據安全策略、用戶安全策略、安全分析策略；技術管控有終端安全、網絡安全、應用安全、存儲安全、介質安全、云安全；優化改進有策略優化、日志分析、合規檢查、培訓宣貫。

成功實現數據治理的方法：

（1）建立數據治理組織。數據治理研究所推薦建立一個數據治理委員會，負責評估各個數據用戶的輸入信息，建立覆蓋全公司的數據管理策略，滿足內部用戶、外部用戶甚至法律方面的各種需求。該委員會的成員應該囊括各個業務領域的利益相關者，確保各方需求都得到滿足，所有類型的數據所有權均得到體現。安全專家也應成為委員會的一員。了解數據治理委員會的目標是什么，這一點很重要，因此，應該思考企業需要數據治理策略的原因，并清楚地加以說明。

（2）制定數據治理框架，將零零散散的數據需求容納其中。這個框架必須確保各個部分被融合成一個整體，滿足收集、存儲、檢索和安全要求。為此，企業必須清楚說明其端到端的數據策略，以便設計一個覆蓋所有要求和必要操作的框架。必須有計劃地把各個部分結合起來，彼此支持，這有很多好處，比如在高度安全的環境中執行檢索要求。合規性也需要專門的設計，成為框架的一部分，這樣就可以追蹤和報告監管問題。這個框架還包括日常記錄和其他安全措施，能夠對攻擊發出早期預警。在使用數據前，對其進行驗證，這也是框架的一部分。數據治理委員會應該了解框架的每個部分，明確其用途，以及它如何在數據的整個生命周期中發揮作用。

（3）試點數據策略。通常來說，一個策略應該先在小范圍內推行，以便發現計劃、框架和基礎設施的缺陷，然后才在整個公司實行。

（4）擁有一個與時俱進的數據治理組織。數據治理委員會應該與時俱進，因為隨著數據治理策略延伸到新的業務領域，肯定需要對策略進行調整。而且，隨著技術的發展，數據策略也應該發展，與安全形勢、數據分析方法以及數據管理工具等保持同步。

（5）知道什么是成功的數據策略。確立成功標準，以便衡量進展。制定數據管理目標，有助于確定成功的重要指標，進而確保數據治理策略朝著你希望和需要的方向前進。

企業無論大小，都面臨著類似的數據挑戰。公司越大，數據越多，而數據越多，就越需要制定有效、正式的數據治理策略。規模較小的企業也許只需要非正式的數據治理策略就能做得很好，但前提是，公司的規模必須要小，而且對數據的依賴度必須要低。即便是非正式的數據治理策略，也必須考慮客戶和員工數據的收集、驗證、訪問以及存儲。當企業規模擴大，數據需求跨越多個部門時，當數據系統和數據集太大，難以駕馭時，當業務發展需要企業級的策略時，或者當法律或監管提出需求時，就必須制定更為正式的數據治理策略。

企業數據治理是應有高層領導牽頭，業務部門負責，信息部門執行，企業全員的參與。在實施數據治理時需因地制宜，不論建立什么樣的數據治理體系、采用什么樣的數據治理技術，其目的都是實現數據治理目標，即通過有效的數據資源控制手段，對進行數據的管理和控制，以提升數據質量進而提升數據變現的能力。