基于SHEL 模型的企業大數據安全評價指標體系構建

吳繼英，張一凡，熊書明

（1.江蘇大學財經學院；2.江蘇大學計算機科學與通信工程學院，江蘇鎮江 212013）

黨的十九屆五中全會提出要加快數字化發展、堅定不移地建設數字中國，習近平總書記更是多次做出重要指示，強調要推進大數據同實體經濟深度融合，做大做強數字經濟。大數據作為數字經濟時代的新引擎，在企業發展過程中發揮著重要作用，但企業間技術和管理水平參差不齊，使得企業大數據面臨諸多安全挑戰，比如數據易受攻擊、企業信息或用戶隱私泄露等問題，嚴重破壞了數字經濟的發展環境。2020 年9 月8 日，我國在“抓住數字機遇，共謀合作發展”國際研討會高級別會議上提出《全球數據安全倡議》，呼吁全球信息技術企業支持該倡議、保護數據安全。維護企業大數據安全是保障企業與用戶共同利益的有效手段，通過開展科學系統的安全評價，動態監測企業大數據安全現狀、及時發現數據安全隱患并加以改善，針對性提高企業大數據安全。但目前我國尚未形成系統、通用的數據安全評估體系［1］，亟需開展數據安全評價指標研究［2］。本文根據企業大數據安全特征，試圖探索SHEL（Software-Hardware-Environment-Live，軟件-硬件-環境-人）模型在指標體系構建方面的應用，據此構建我國企業大數據安全評價指標體系，為企業展開大數據安全管理與評價提供技術框架，為學者進行大數據安全評價研究提供相關參考。

1 文獻綜述

大數據時代各國政府均十分重視數據安全管理，出臺的相關文件已成為各行業制定數據安全規范的主要參考標準。美國國家標準與技術研究院（National Institute of Standards and Technology，簡稱NIST）制定了《NIST 大數據互操作性框架》，從定義、操作、安全及隱私等方面探討數據安全控制管理的具體內容［3］。我國為加速推進大數據安全標準研究與管理，國家信息安全標準化技術委員會相繼發布了《大數據安全標準化白皮書》2017、2018 版，2019 年制定的《信息安全技術 大數據安全管理指南》（GB/T 37973—2019）從大數據安全需求、大數據安全要求、大數據安全風險等角度勾畫我國大數據安全管理整體輪廓，以供各類組織展開數據安全管理或評估參考［4］。

近年來，大數據安全問題在學術界也引發了大量的思考和討論。胡坤等［5］認為互聯網、電信、金融、醫療、政府等不同行業組織均有不同程度的大數據安全需求，主要涉及數據保密、隱私保護、數據的產生、存儲和分析等系列安全問題。唐彬等［6］指出金融業存在的大數據安全問題為隱私泄露風險過大、防御技術不當以及平臺安全防護欠缺，解決這些大數據安全問題可以通過數據安全防范技術、數據分析技術、隱私保護技術等技術策略［7］。鑒于企業的市場主體作用，眾多學者圍繞企業大數據應用及安全問題展開研究，指出數據管理是企業、行業或政府成功的關鍵［8］。Rehman 等［9］認為大數據是企業創造價值的重要工具，也是實現企業可持續發展的重要因素，可通過保護客戶數據安全、數據安全共享等方式加強企業和顧客之間的信任。此外，大數據對企業的戰略決策、運營管理及商業模式也都產生巨大影響［10］。Tallon［11］提出大數據時代企業需要進行大數據管理，具體指大數據風險管理、價值管理及成本管理。劉勖釗［12］更進一步表明安全技術策略只是解決企業大數據安全問題的基礎，為發揮技術策略的最大效益，企業需要制定相應的大數據安全管理策略。綜合上述觀點，保護企業大數據安全須是安全技術與安全管理雙管齊下、相得益彰。

建立管理體系是企業戰略管理的核心方法，為建立健全大數據時代企業信息安全管理體系，可在云平臺基礎上，從物理安全管理、接入安全管理、應用安全管理或是基于數據安全管理、身份安全管理、人員安全管理等角度構建企業信息安全管理體系［12-13］，其中數據管理安全、網絡系統安全普遍被納入管理體系范圍。王欣亮等［14］基于精準治理理念，從治理主體、數據流程、危害處置、動態保障4 個方面建立精準定位、精準防范、精準識別且精準提升的大數據安全治理體系，雖然這些學者沒有直接構建指標體系，但實際也為指標體系的搭建確定了基本框架。由于大數據系統在數據結構、框架結構等方面與傳統信息體系存在差異，因此構建通用的大數據安全評價指標體系，需要充分考慮大數據安全特性，從動態、靜態和狀態類指標進行構建［15］，根據大數據安全保障的層次，可以建立包含建設情況、運行能力、安全態勢指標的大數據安全評價指標體系［16］。但是現有安全管理體系通常是數據安全管理范圍的歸納綜合［12-13］，指標體系中也未明確指出各指標的具體使用方法［15-16］，通常難以準確反映現實狀況，進而達不到預期管理效果。

綜上所述，學者們從各自學科角度出發圍繞大數據安全展開了豐富的研究，但針對大數據安全評價框架的研究還處于探索階段，企業大數據安全評價指標方面的研究成果仍然較少，且指標大多是難以度量的定性指標［17］，指標含義不夠明晰，可操作性不強。鑒于此，本文在明確大數據安全內涵的基礎上，從技術層、管理層和應用層分析企業大數據安全要素，運用SHEL 模型并參考《信息安全技術 大數據安全管理指南》（GB/T 37973—2019）從大數據基礎安全、管理安全、應用安全維度建立“三維一體”的企業大數據安全評價指標體系，重點闡述指標含義。研究成果對于科學評價企業大數據安全狀況、加強企業大數據管理、推進大數據應用具有重要意義，也為進一步構建企業大數據安全實時監測體系奠定有價值的基礎。

2 大數據安全內涵及要素

2.1 大數據安全內涵

《大數據白皮書（2014）》指出“大數據是具有體量大、結構多樣、時效性強等特征的數據，是新資源、新工具和新應用的綜合體”。從新資源角度看，大數據是一種新型資源，與國家管理、經濟發展以及人們的生活息息相關；新工具是指大數據處理需要新型計算技術和智能算法；新應用強調以大數據驅動創新、輔助決策、發現知識、優化業務等［18］。“安全”一詞被廣泛用于生活、生產等各個方面，吳超等［19］根據安全的外延概念認為安全應以人為核心，指人在進行某項活動時，其身心免受外界危害的狀態。葉曉俊等［2］指出大數據安全中安全一詞可有兩層解釋，一是作為名詞，安全是指大數據具有可用性、完整性和保密性；二是作為形容詞，安全是指大數據應用的整個動態過程中不會遭受外界侵略而造成損失。大數據安全涉及計算機技術、互聯網技術、通訊技術、密碼學以及管理學等眾多學科門類，所以大數據安全的界定比較模糊，暫未形成統一定義。本文研究的大數據安全是指在各類技術支持下，使數據系統、平臺、業務等不受外界侵害、免受內界干擾，充分保護大數據完整性、保密性及共享性，與此同時保證人們在參與數據活動時身、心、財產不受危害，實現數據為人服務的價值。

2.2 企業大數據安全要素

數據安全貫穿數據采集、存儲、處理、分析、銷毀整個數據生命周期，為深入了解企業大數據安全，結合大數據安全內涵及大數據特征，企業大數據安全涉及的要素可歸納為大數據技術、大數據管理和大數據應用3 個維度，具體見圖1。技術與管理是大數據安全體系內相輔相成的有機組成部分［13］，因此在企業大數據安全建設中，以大數據技術為基礎策略［12］，大數據管理為機制屏障，大數據應用為終極目標，三維要素緊密關聯、相互支撐。

圖1 企業大數據安全三維要素

2.2.1 大數據技術安全

近幾年大數據飛速發展，新型數據基礎設施不斷涌現，包括數據開放平臺、數據中心、云計算、物聯網、智能終端和APP 應用等，這些設施主要與計算機應用及網絡技術密切相關，是企業發展大數據應用的基礎。從大數據特征角度考慮，首先企業數據來源甚廣，個人信息數據通過各類渠道被企業獲取，如全球定位系統、瀏覽器搜索、APP 使用權限等，企業應具備基礎的數據安全采集技術；其次數據關聯甚廣，數據之間關聯性較強，通過將匿名化數據集與公共數據庫進行關聯能夠推斷個人身份，數據安全風險較高，因此隱私保護技術也是大數據基礎安全技術。另外與傳統結構化數據不同，大數據多為非結構化數據，例如圖片、音頻、視頻等數據資料，數據安全存儲技術需要提高；同時相較于傳統數據時代的靜態集中處理方式，大數據的高時效性給數據處理帶來了更高的挑戰，數據處理方法需要變革以實現大數據實時動態處理分析。

2.2.2 大數據管理安全

大數據給企業帶來豐富利益的同時也帶來諸多安全管理挑戰。目前多數大中型企業已展開大數據應用，常通過技術措施保護大數據安全，較容易忽視企業管理策略，也未形成行業統一的安全管理規范，這也是企業大數據容易受到攻擊的主要原因。而企業管理不規范常導致以下數據問題：一是數據丟失、被竊取，現階段企業數據安全隱患中因內部員工的疏忽造成數據丟失是較為嚴重的問題，調查顯示近30%的數據非法竊取、安全威脅來自內部數據管理不當；二是數據資源浪費，各企業數據資源主要分布在大數據團隊的各個部門內，若企業缺乏系統的數據管理規劃，數據資源不能充分整合共享，便會形成數據壁壘引發數據孤島效應，數據潛在價值得不到充分的挖掘和利用，導致數據資產閑置。

2.2.3 大數據應用安全

不同行業對大數據的應用方式各有不同，一般而言企業運營大數據主要有以下目的：（1）以客戶為中心，展開用戶行為分析、需求分析以此了解已有客戶、定位潛在客戶，從而挖掘企業商機。（2）以業務為中心，分析海量數據探索事物發展規律并進行發展預測，根據預測結果進行業務規劃、制定企業決策。（3）以管理為中心，企業管理層可以通過數據平臺實時掌握企業業績，也可以通過大數據系統優化工作流程［20］，保證工作高效性。無論何種用途，大數據應用最重要的是通過數據挖掘或文本分析技術從數據中挖取有用的數據信息為企業所用，數據挖掘是對數據進行深入分析，例如構建預測模型，首先需要從企業數據庫中選擇數據子集進行數據分析，然后建立預測模型，最后將預測模型部署于數據庫中，當新數據到達時便可快速應用，但數據的移動或數據挖掘引擎的性能原因可能會引發關鍵數據丟失、隱私數據泄露等安全問題，因此未來數據分析的趨勢是“In-database analytics”（數據庫分析），將數據挖掘功能集成到數據庫中［8］。對企業來說，從原始數據到數據處理、挖掘與應用的整個過程中，企業需要具備相對完善的技術支持及資金支撐，加強客戶數據和業務數據的保護力度，以此提高大數據安全應用能力。

3 企業大數據安全評價指標體系設計

指標體系是綜合評價研究的重要工具，指標體系構建是通過系統把握研究內容、靈活運用科學理論，將所研究的問題概念化—概念指標化，并提出科學合理的指標權重。基于前文企業大數據安全要素的分析，相較于指標體系構建常用的PSR“壓力—狀態—響應”模型或是企業管理中的“六西格瑪”理論，企業大數據安全評價指標體系更適合采用以“人”為核心的SHEL 模型。

3.1 SHEL 模型簡介與應用

SHEL 模型最初由英國學者Edwards 教授提出，以人為核心探討“人”在安全事件中的作用，廣泛用于航空安全領域的研究。模型名稱由Software（軟件）、Hardware（硬件）、Environment（環境）以及 Liveware（人件）的首字母組成［21］，形成模型的4 個界面：人—軟件、人—硬件、人—環境、人—人件，見圖2。

圖2 SHEL 模型

人—軟件（L-S）：人與工作中各類支持系統之間的關系，如各類平臺系統、程序文件等。人—硬件（L-H）：人與工作中物理設備之間的關系，通常指各種操作設備、通訊設施、工具與機械。人—環境（L-E）：人與工作中環境之間的關系，主要包括自然環境、文化環境、管理制度、經濟環境等。人—人件（L-L）：在工作中人與人之間的關系，如團隊成員之間的團結合作、交接協調等［22］。

基于企業大數據技術安全、管理安全、應用安全3 個要素，認為企業大數據安全通常需要建立在硬件設施安全、軟件系統安全、工作環境安全、人為安全的基礎上。據權威調查顯示，高于70%的企業信息安全威脅來自企業內部的管理者或員工［12］，人為疏忽或泄露是最大的安全隱患，同時企業數據的安全防護與管理更是離不開人的作用，“人”成為企業大數據安全建設的關鍵。因此，基于SHEL模型將企業大數據安全評價指標初步鎖定在人—軟件、人—硬件、人—環境、人—人件4 個方面。表1 中，在“人—軟件”界面，企業大數據平臺容納各種用途的系統軟件，為保證大數據安全需要使軟件使用安全、系統配置合理，還需要掌握系統的安全技術，因此在人與軟件界面應充分考慮人對系統平臺的管理、技術的掌握。“人—硬件”界面中，計算機相關設備、網絡通信線路是企業大數據安全最基礎的硬件設施，是人在大數據安全工作中較為依賴的設備，硬件設施的缺陷對數據安全工作會產生一定的影響。企業大數據安全的“人—環境”界面具體包括企業周邊的工作環境、內部的數據安全文化意識以及企業自身的財力狀況等，這些是影響企業大數據安全和員工行為比較重要的環境因素，例如，企業缺乏良好的數據安全文化環境，導致員工的安全意識薄弱，使其不能從根源上意識到數據安全對企業發展的價值性、風險問題的危害性，又或是企業缺乏規范有效的安全管理，均會直接引發各類數據安全問題。在“人—人件”界面，專業的大數據團隊是企業大數據安全的主力軍，團隊內部的人員流動速率，團隊成員的任務交接、合作交流以及員工職責的合理分配是人與人界面的核心。

表1 企業大數據安全的SHEL 模型界面和因素

3.2 指標體系總體框架

在企業大數據安全建設中，借助科學完整的安全體系指導，才能使企業技術策略、管理策略和設備材料等發揮各自真正效力。基于表1 中SHEL 模型4 個界面的具體因素，遵循科學性、可操作性等原則遴選企業大數據安全評價指標，將“人—軟件”、“人—硬件”界面的具體因素歸為大數據基礎安全指標，根據“人—環境”、“人—人件”界面遴選企業管理、人員流動速率等指標并歸納為大數據管理安全指標；考慮到“人”這一因素在企業大數據安全建設的核心地位，充分識別無心泄露、故意泄露或惡意攻擊等人員行為造成的數據泄露風險，以《信息安全技術 大數據安全管理指南》（GB/T 37973—2019）為參考［4］，遵循系統性、完整性等原則遴選大數據應用安全維度的指標。由此從大數據基礎安全、管理安全和應用安全3 個維度，系統評價企業大數據安全建設過程中硬件設施的完備性、安全管理的有效性、應用過程中數據隱私的保護強度，最終構建了一套由3 個一級指標、8 個二級指標和24 個三級指標組成的“三維一體”企業大數據安全評價指標體系，總體框架見圖3。

圖3 “三維一體”的企業大數據安全評價指標體系總體框架

為能客觀、準確評價企業大數據安全保護狀況，評價指標應具有較強的代表性與現實可操作性，因此邀請包括高校企業管理、信息安全、統計學等相關領域專家以及企業相關人員，運用德爾菲法就指標合理性及權重進行函詢討論，并對指標進行科學定義。根據指標定義，部分指標可直接獲得量化數值，例如基礎網絡運行安全（A22）根據國家互聯網應急中心的網絡安全指標進行評價獲得安全指數，數據人員流動速率（B13）選用較為合理且引用較多的參考公式直接計算指標數值。其他指標如數據銷毀（B25）、數據匿名化程度（C21）可根據定義參考李克特量表對指標分級打分賦值，使大數據安全評價指標量化過程科學、可操作。綜合專家意見并考慮到3 個一級指標對于評估企業大數據安全幾乎同等重要，對一級指標進行了等權設置，二、三級指標權重見表2，其中三級指標的設計相對靈活，企業可以針對自身發展實際和評價目的，對三級評價指標進行刪減或補充。

3.3 指標體系內容

3.3.1 大數據基礎安全指標

一級指標大數據基礎安全（A）主要通過企業人力財力保障、物理安全和邏輯安全3 個二級指標體現，三級指標詳見下表2。

表2 “三維一體”的企業大數據安全評價指標體系

（1）人力財力保障指標（A1）。具體指大數據資金投入指標（A11）和大數據建設人員比重指標（A12）。大數據資金投入包括企業大數據平臺建設費用、新技術引進費用、網絡安全維護費用、大數據工作人員工資等方面，A11 從資金投入角度反映企業對大數據建設的重視程度，資金狀況是區分企業能否采用大數據新技術、展開大數據創新的重要因素［23］。A12 是大數據團隊工作人員占企業總人數的比重，從人員配置的角度反映大數據建設人力資源狀況，數據團隊工作人員包括數據工程師、數據處理技術人員、數據管理人員等。

（2）物理安全指標（A2）。該指標度量企業大數據的物理安全（Safety），也即大數據相關的設備在物理上是否有損壞，是企業數據保護的基礎。主要從環境建設安全（A21）、基礎網絡運行安全（A22）、大數據系統平臺安全（A23）3 個角度進行評價，也是信息管理學科數據保護的基本管理范圍。其中A21 通過物理環境狀況評價大數據安全，具體指通過對數據進行物理保護使企業的硬件設施、通信線路、場地環境等不受自然災害影響、不受人為故意破壞，是所有安全保護的基礎。指標A22 可以通過網絡安全指數進行量化，網絡安全指數是各國考核網絡環境安全狀況的常用指標，安全指數越高表明基礎網絡運行環境越安全［24］，企業網絡運行安全主要通過防火墻、入侵檢測、容忍入侵檢測展開網絡防御保護，使企業IP 網絡安全、域名系統安全、網絡無漏洞。大數據平臺是各類系統和程序的運行支撐，指標A23 可以反映企業大數據系統運行狀況，為避免企業業務被干擾或阻斷，數據管理員可以使用軟件定期進行大數據系統掃描，發現系統漏洞或病毒及時修補查殺，企業也可以給應用平臺建立相應的日志系統，保障數據平臺安全。

（3）邏輯安全指標（A3）。數據科學理論強調技術輔助數據發展，技術是數據安全保護的核心，該指標評價企業大數據邏輯安全（Security），也即企業是否掌握相應技術以保證大數據在采集、傳輸、存儲和處理等過程中安全可控，避免出現未經許可、未經授權的訪問行為。其中，指標A31 用來判斷企業是否能夠以多種方式、不同技術安全、準確、完整地獲取數據，企業可以借助API、數據爬蟲技術從網絡采集數據，也可通過服務器日志、傳感器、監控或二維碼等服務器設施進行數據收集［25］，但在此過程中攻擊方可能通過ID 克隆攻擊篡改數據或偽造數據等方式擾亂數據采集。A32 反映企業數據存儲安全能力，大數據體量巨大且類型多樣，在存儲時不同類型數據選擇恰當的存儲方式是確保大數據存儲安全的關鍵，如非結構化數據存儲適用分布式文件系統、無模式半結構化數據常存儲于NOSQL數據庫、結構化數據常保存在分布式并行數據庫系統，云存儲也成為現有大數據存儲的重點發展方向。若大數據不能安全傳輸共享便無法實現數據的整合與增值，但在數據傳輸過程中數據可能會被攻擊方破壞、攔截甚至泄露［26］，因此數據傳輸共享技術（A33）也是企業大數據安全中至關重要的一部分，可以在網絡層、傳輸層及鏈路層采用網絡傳輸加密技術或使用安全傳輸層協議確保數據傳輸安全［1］。除此之外，數據處理分析技術（A34）作為大數據核心技術，從數據處理能力反映企業大數據安全運行狀況，如何通過技術處理從海量數據中挖掘有價值的信息為企業所用，是企業展開大數據應用的價值體現，常見的數據處理分析技術有可視化分析、數據挖掘、預測分析等［27］。

3.3.2 大數據管理安全指標

大數據建設的安全運行離不開完善的企業管理，是企業大數據安全保護較為核心的一環。大數據管理安全（B）具體從企業人員管理、企業數據管理以及企業風險管理3 個管理角度進行評價。

（1）企業人員管理指標（B1）。大多數企業信息安全事件由內部人員而非外部攻擊者造成，企業內部因素引發的信息安全威脅連鎖效應比外部因素的安全威脅影響更為嚴重［29］，接觸企業數據信息機密的高層管理人員及數據工作人員均是信息泄露的高危人群［12］，因此將B1 作為大數據管理安全的第一個指標。首先企業大數據員工的職責分配必須合理明確，B11 反映了企業各部門及員工數據管理范圍及權限的明確程度，在企業內從管理層到職員層都應在職責范圍內做好數據安全工作，上層制定管理下層依責執行，確保企業數據安全管理執行效率。B12 指標評價企業員工的數據安全意識，現代戰略管理理論的高階理論指出，在企業數字化轉型中高層管理者的貢獻發揮著不可替代的作用，高層管理者必須在企業信息化進程中提供相關支持［30］，先前較多研究已經表明企業可以通過安全意識培訓，提高員工的安全意識以此減少企業信息安全威脅［31］，所以B12 從企業管理層對員工安全意識培養的支持程度體現，企業可以建立數據安全培訓體系，定期邀請大數據專家進行數據技術或數據安全培訓，提升員工的職業素養及數據安全威脅的識別能力，逐漸培養員工的數據安全意識，使員工充分認識自己在企業大數據安全建設中的重要性。B13 從企業數據員工流動速率考查數據泄露風險，若大數據團隊人員流動較快，企業相關數據信息可能會被離職員工帶走，增加泄露風險，新進員工需要熟悉工作流程和工作方法，不利于數據安全工作接管，因此在員工流動較大時，企業要不斷加強內部監管，按照數據管理流程做好身份驗證、訪問限制、數據審計等工作，從企業內部杜絕數據泄露行為。

（2）企業數據管理指標（B2）。企業數據管理首先需要完善的數據管理政策，制定數據管理機制并真正落實實施，指標B21 衡量企業數據管理基礎。數據備份管理能夠有效彌補因計算機系統崩潰或網絡故障造成的數據丟失問題，防范于未然。同時，做好訪問記錄及記錄監控便于在發生數據泄露問題輔助找到問題源頭，指標B22 和B23 都從容災基礎反映企業大數據安全管理能力。企業數據信息包括用戶身份信息、業務信息、合作信息以及企業核心機密，數據涉及廣泛、信息類型繁多，分類分級便于數據管理，指標B24 評價數據安全管理的便捷度。數據銷毀（B25）反映了企業是否具有完善的數據刪除機制，數據銷毀需要遵守審計原則，建立銷毀策略，保證數據銷毀全程詳細記錄：包括操作人員、銷毀時間、銷毀方式以及銷毀內容，同時確保數據安全銷毀而不是簡單的刪除處理，避免攻擊方通過技術處理使數據復原。

（3）數據風險管理指標（B3）。早在20世紀中期，學術界便對風險管理進行系統研究，并將其納入企業管理的范疇［32］，大數據安全的影響因素較多且數據管理的參與主體較廣，即便企業擁有系統完整的管理機制和技術手段，仍難以精準預測或阻止突發數據安全問題，所以指標B3 側重于體現企業數據風險管理情況。風險監測檢查指標（B31）衡量數據安全基礎檢查措施完善程度，通過日常監測工作查看數據安全管理措施是否合理有效、是否需要更改，也可以開展大數據系統平臺監測、大數據隱私保護評估、網絡實時安全監測等檢查，并記錄檢查結果，及時發現隱患及時進行加固。指標B32 評價企業風險預警機制完備性，針對可能發生的大數據安全問題，評估各類風險發生概率以及可能造成的損失，并制定相應的彌補措施形成一套完整的風險預警機制，有效應對突發狀況，降低企業數據安全風險。

3.3.3 大數據應用安全指標

大數據應用是將數據提取為具有價值性信息的過程，包括處理分析、挖掘預測等環節，常用的基礎數據多為業務數據和客戶數據，一旦泄露危害性極高，企業需要充分做好數據隱私保護工作。鑒于此，從數據脫敏（C1）和隱私保護程度（C2）兩方面衡量企業大數據應用安全（C），具體評價應用過程中的隱私保護狀況。

（1）數據脫敏保護（C1）。數據脫敏處理是對數據信息進行模糊化處理，避免信息泄露。常用的據脫敏方式有數據替換、數據加密、數據偏移等方法［1］，其中數據加密使用較為廣泛，脫敏方法多樣性指標（C11）從企業掌握數據脫敏方法的數量評價企業數據脫敏保護能力。另外，等級保護也是一種有效的數據保護技術，企業每天產生的不同類型數據具有不同價值意義，根據保護對象按不同級別分類并進行等級脫敏保護，能夠有效降低保護成本、保護核心數據，指標C12 體現了企業數據脫敏管理責任度。

（2）隱私保護程度（C2）。指標C21 用來評價由匿名化數據推測出原始數據的難易程度，為避免企業敏感信息惡意泄露或者個人數據被盜取使用，企業會對數據進行匿名化處理，數據匿名化程度越高，用戶數據信息和企業內部信息越不容易被泄露。數據泄露風險度（C22）反映出特定數據信息與個人關聯的風險度，可以用從處理后的數據集發現敏感信息的百分比表示［7］，數據泄露風險度越高，企業的隱私保護程度越低，若個人信息、商業機密或企業內部數據因保護不當被泄露，不僅會對客戶造成危害，還會對企業造成不可估量損失，嚴重影響企業大數據安全建設。指標C23 用來衡量企業數據不被隨意訪問的程度，企業數據管理平臺可采用數據訪問身份驗證、粗粒度訪問控制、細粒度數據授權、屬性基等多種訪問限制，或引用合適的訪問控制引擎或借助第三方數據加固安全組件［2］，保證數據管理平臺不被輕易進入、隨意訪問。

4 總結

數字經濟時代國家和企業都十分重視數據安全問題，企業大數據安全是一個復雜、動態的系統，也是一項極具挑戰性的任務。建立大數據安全評價指標體系有助于企業集團及社會大眾系統了解企業數據安全評價方向、為企業數據安全防御提供理論參考。首先在文獻梳理的基礎上界定大數據安全內涵，明確企業大數據安全的要素包括技術安全、管理安全及應用安全。本文的主要貢獻在于拓展了SHEL 模型在指標體系構建領域的應用，基于該模型將企業大數據安全評價指標的選擇范圍初步控制在人—軟件、人—硬件、人—環境、人—人件4 個界面，強調了“人”的因素在企業大數據安全建設中的作用。進一步參考《信息安全技術 大數據安全管理指南》（GB/T 37973—2019）及現有研究成果，最終從大數據基礎安全、管理安全、應用安全3 個維度構建“三維一體”的企業大數據安全評價指標體系，詳細論述每個指標的定義并運用德爾菲法確定指標權重，增強了指標體系的現實可操作性。具體包括3 個一級指標、8 個二級指標和24 個三級指標，沒有局限于物理環境安全、網絡環境安全、數據加密等傳統數據安全指標，還針對大數據特征設置了存儲安全技術、處理分析技術等評價指標，考慮到企業大數據中受到密切關注的個人隱私設置了隱私保護程度指標，從用戶角度體現評價企業大數據安全的價值與意義。

隨著科學研究的不斷深入，大數據安全保護措施不斷更新，大數據安全評價指標也不斷開闊與豐富，本文構建的企業大數據安全評價指標體系，是對目前企業大數據安全評價的重要探索，能夠為企業信息安全及大數據安全領域的相關研究提供有價值的參考。