摘要:纵观企业革命的历史,从机械化到电气化再到信息化,目前又逐渐转向数字化和智能化,从以能源为中心转向以信息为中心,传统企业纷纷进行数字化转型,信息安全与数据安全变得至关重要,数据安全问题愈发凸显。进行数据安全治理要遵循一个中心、四个领域和五大过程组,以数据安全防护为中心,专注于组织建设、制度流程、技术工具和人员能力四个领域,以业务梳理为开端,经过分级分类、策略制定、技术管控和优化改进五个过程组,进行数据治理。
关键词:数据安全;安全治理;网络安全
1为什么要引入数据安全
大数据是指规模巨大到无法通过目前的软件工具,在适当的时间内实现分析、处理、整理并存储成为能够帮助企业经营决策目的的信息。大数据的特点有4V,规模性(Volume)、高速性(Velocity)、多样性(Variety)、价值性(Value)。现阶段国家大力支持大数据的发展,国务院以及各级地方政府颁布大量政策来扶持大数据产业。近年来,我国高度重视大数据的发展,2015年9月,经总理签批,国务院印发《促进大数据发展行动纲要》,系统部署大数据发展工作。2016年,《中华人民共和国国民经济和社会发展第十三个五年规划纲要》提出“实施国家大数据战略”,主张把大数据作为基础性战略资源,全面实施促进大数据发展行动。大数据对企业的影响也是巨大的。大数据能够彻底改变企业内部的运作模式,以往的管理是“领导怎么说?”,现在变成“大数据的分析结果是什么?”企业决策由依靠领导经验向数据分析结果转变。数字化、网络化和智能化是企业发展的趋势,关注大数据安全是企业数字化转型的必然要求,是企业进行长期经营的重要保障,数字化转型势不可挡。大数据也在影响着我们每个人的生活。打开淘宝,推荐的商品正是我们最近想买的东西;打开微博,推荐关注的博主正符合我们的兴趣。大数据就在我们每个人的身边。正是因为大数据对国家、企业、个人具有重要的作用,并具有很高的研究价值,所以大数据安全现在成为学术与工业界的研究热点,是人们公认的大数据相关问题中关键的问题之一。
2数据安全的表现形式
数据安全的表现形式:“云大物移智控”,这些都是现代数字化转型的一些技术。供应商采购、生产、包装、分销直到客户,从上游采购原材料、生产、包装最后销售,这是传统的企业模式,现在的格局是利用新技术,比如传感、5G、物联网、云计算、区块链、人工智能,来实现柔化、资源配置、智能决策等环节一体化,上述均为实现数字化必须依赖的工具和技术。在整个数据生命周期里,我们都用到了上述技术,比如在物联网中,传感器能够感知并且收集土壤温度、湿度等土壤养分信息,形成大数据,交给云来计算与存储,通过人工智能进行深度学习。数据安全应贯穿数据治理全过程,应保证管理和技术两条腿走路。从管理上,建立数据安全管理制度、设定数据安全标准、培养起全员的数据安全意识。从技术上,数据安全包括:数据的存储安全、传输安全和接口安全等。当然,安全与效率始终是一个矛盾体,数据安全管控越严格,数据的应用就可能越受限。企业需要在安全、效率之间找到平衡点。数据安全管理主要有以下三个方面:
(1)数据存储安全,包括物理安全、系统安全、存储数据的安全,主要通过安全硬件的采购来保障数据存储安全。
(2)数据传输安全,包括数据的加密和数据网络安全控制,主要通过专业加密软件厂商进行规范设计和安装。
(3)数据使用安全,需要加强从业务系统层面进行控制,防范非授权访问和下载打印客户数据信息;部署客户端安全控制工具,建立完善的客户端信息防泄漏机制,防范将客户端上存储的个人客户信息非授权传播;建立完善的数据安全管理体系,建立数据安全规范制度体系,组建数据安全管理组织机构,建立有效的数据安全审查机制;对于生产及研发测试过程中使用的各类敏感数据进行严密管理;严格与外单位合作中的个人客户信息安全管理等。
3如何进行数据治理
数据治理的四个领域:组织建设有决策层(高管、首席数据官)、管理层(数据安全管理团队)和执行层(数据安全运营、技术团队);流程制度有发展方针、组织战略、管理制度、管理规范、流程、规范、指南、标准、计划、表格、报告、日志;技术工具方面,分级分类、数据保护、泄露防护、数据标准、权限管理、流程审批;人员能力有管理能力、运营能力、技术能力和合规能力。数据治理的五大阶段:业务梳理有业务规划、IT战略、安全合规、风险评估、安全治理;分级分类有数据分类分级;策略制定有数据安全策略、用户安全策略、安全分析策略;技术管控有终端安全、网络安全、应用安全、存储安全、介质安全、云安全;优化改进有策略优化、日志分析、合规检查、培训宣贯。成功实现数据治理的方法:
(1)建立数据治理组织。数据治理研究所推荐建立一个数据治理委员会,负责评估各个数据用户的输入信息,建立覆盖全公司的数据管理策略,满足内部用户、外部用户甚至法律方面的各种需求。该委员会的成员应该囊括各个业务领域的利益相关者,确保各方需求都得到满足,所有类型的数据所有权均得到体现。安全专家也应成为委员会的一员。了解数据治理委员会的目标是什么,这一点很重要,因此,应该思考企业需要数据治理策略的原因,并清楚地加以说明。
(2)制定数据治理框架,将零零散散的数据需求容纳其中。这个框架必须确保各个部分被融合成一个整体,满足收集、存储、检索和安全要求。为此,企业必须清楚说明其端到端的数据策略,以便设计一个覆盖所有要求和必要操作的框架。必须有计划地把各个部分结合起来,彼此支持,这有很多好处,比如在高度安全的环境中执行检索要求。合规性也需要专门的设计,成为框架的一部分,这样就可以追踪和报告监管问题。这个框架还包括日常记录和其他安全措施,能够对攻击发出早期预警。在使用数据前,对其进行验证,这也是框架的一部分。数据治理委员会应该了解框架的每个部分,明确其用途,以及它如何在数据的整个生命周期中发挥作用。
(3)试点数据策略。通常来说,一个策略应该先在小范围内推行,以便发现计划、框架和基础设施的缺陷,然后才在整个公司实行。
(4)拥有一个与时俱进的数据治理组织。数据治理委员会应该与时俱进,因为随着数据治理策略延伸到新的业务领域,肯定需要对策略进行调整。而且,随着技术的发展,数据策略也应该发展,与安全形势、数据分析方法以及数据管理工具等保持同步。
(5)知道什么是成功的数据策略。确立成功标准,以便衡量进展。制定数据管理目标,有助于确定成功的重要指标,进而确保数据治理策略朝着你希望和需要的方向前进。企业无论大小,都面临着类似的数据挑战。公司越大,数据越多,而数据越多,就越需要制定有效、正式的数据治理策略。规模较小的企业也许只需要非正式的数据治理策略就能做得很好,但前提是,公司的规模必须要小,而且对数据的依赖度必须要低。即便是非正式的数据治理策略,也必须考虑客户和员工数据的收集、验证、访问以及存储。当企业规模扩大,数据需求跨越多个部门时,当数据系统和数据集太大,难以驾驭时,当业务发展需要企业级的策略时,或者当法律或监管提出需求时,就必须制定更为正式的数据治理策略。企业数据治理是应有高层领导牵头,业务部门负责,信息部门执行,企业全员的参与。在实施数据治理时需因地制宜,不论建立什么样的数据治理体系、采用什么样的数据治理技术,其目的都是实现数据治理目标,即通过有效的数据资源控制手段,对进行数据的管理和控制,以提升数据质量进而提升数据变现的能力。
参考文献:
[1]王淳,马海群.我国数据安全治理体系及路径研究[J].图书馆理论与实践,2018(01):12-16+119.
[2]王欣亮,任?,刘飞.基于精准治理的大数据安全治理体系创新[J].中国行政管理,2019(12):121-126.
[3]王世?,张亮,李娇娇.大数据时代下的数据安全防护——以数据安全治理为中心[J].信息安全与通信保密,2020(02):84-90.
作者:赵凤伟 崔鹏 张智慧 单位:北京铠撒信息技术有限公司 广东粤电启明能源有限公司 华能济宁高新区热电有限公司
