江欣

摘 要：隨著互聯(lián)網(wǎng)+、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)興起，數(shù)據(jù)獲得了前所未有的爆炸式增長，大數(shù)據(jù)時(shí)代已經(jīng)來臨。大數(shù)據(jù)技術(shù)創(chuàng)新應(yīng)用，使我們具備了對海量數(shù)據(jù)的處理和分析能力，但與此同時(shí)，伴隨數(shù)據(jù)匯聚、數(shù)據(jù)分析而來的安全問題也給我們帶來前所未有的挑戰(zhàn)。組織應(yīng)以發(fā)展和安全并行為目標(biāo)，提出大數(shù)據(jù)安全管理對策，加強(qiáng)大數(shù)據(jù)安全分級管理，構(gòu)建大數(shù)據(jù)安全管理體系，推動(dòng)大數(shù)據(jù)的安全共享。

關(guān)鍵詞：大數(shù)據(jù) 數(shù)據(jù)安全 分級管理 大數(shù)據(jù)安全管理體系

中圖分類號：TP311.13 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2018）08（b）-0012-02

大數(shù)據(jù)是國家基礎(chǔ)性、重要的戰(zhàn)略資源，被稱為“21世紀(jì)的鉆石礦”。大數(shù)據(jù)時(shí)代，大數(shù)據(jù)在互聯(lián)網(wǎng)和社交領(lǐng)域，以及醫(yī)療衛(wèi)生、健康、金融等各行各業(yè)爆炸式增長，對國家決策、經(jīng)濟(jì)運(yùn)行、生活方式以及社會各領(lǐng)域均產(chǎn)生重要的影響，大數(shù)據(jù)成為高價(jià)值的資產(chǎn)。

大數(shù)據(jù)如同一把雙刃劍，在帶來許多便利的同時(shí)，也產(chǎn)生了前所未有的安全隱患。大數(shù)據(jù)安全是發(fā)展大數(shù)據(jù)的前提，在大數(shù)據(jù)應(yīng)用推廣過程中，要堅(jiān)持安全與發(fā)展并重的方針，在充分發(fā)揮大數(shù)據(jù)價(jià)值的同時(shí)，解決面臨的大數(shù)據(jù)安全問題，構(gòu)建大數(shù)據(jù)安全管理體系，推動(dòng)大數(shù)據(jù)的安全共享。

1 大數(shù)據(jù)安全的重要意義

大數(shù)據(jù)對國家、企業(yè)、個(gè)人具有重要的作用，具有很高的研究價(jià)值，但人們在追逐數(shù)據(jù)價(jià)值的同時(shí)，也引發(fā)了諸如個(gè)人隱私安全、企業(yè)信息安全、國家安全的問題。

在個(gè)體層面，隨著科技的進(jìn)步帶來的互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，人們的生活被深深地打上了數(shù)字化的印記。大數(shù)據(jù)存在于人們生活中的每個(gè)角落，各種大量的個(gè)人信息數(shù)據(jù)產(chǎn)生。隨著移動(dòng)互聯(lián)網(wǎng)的全面普及，社交網(wǎng)絡(luò)也成為黑客攻擊和網(wǎng)絡(luò)犯罪的新途徑，云應(yīng)用的普及大大增加了用戶信息泄露的風(fēng)險(xiǎn)，移動(dòng)支付安全和移動(dòng)終端漏洞成為安全新課題。

在企業(yè)層面，大數(shù)據(jù)引擎可以幫助和指導(dǎo)企業(yè)對業(yè)務(wù)流程進(jìn)行有效運(yùn)營，是企業(yè)實(shí)現(xiàn)創(chuàng)新發(fā)展的核心驅(qū)動(dòng)力，成為企業(yè)最重要的載體，日益取代人才成為企業(yè)的核心競爭力。然而，大數(shù)據(jù)時(shí)代的企業(yè)安全也面臨著內(nèi)部管理和外部攻擊的新型挑戰(zhàn)。這些數(shù)據(jù)在顯現(xiàn)出不可估量商業(yè)價(jià)值的同時(shí)，也存在巨大的安全隱患，影響到企業(yè)安全市場的格局。

在國家層面，在信息時(shí)代，國家安全的含義發(fā)生了質(zhì)的變化。即使在和平年代，一個(gè)國家的各種信息設(shè)施、重要機(jī)構(gòu)也可以成為攻擊目標(biāo)。石油、天然氣、水、電、交通、金融、商業(yè)和軍事等關(guān)系到國計(jì)民生的重要行業(yè)也都依賴網(wǎng)絡(luò)與信息系統(tǒng)，極易遭受信息武器的攻擊，國家安全受到嚴(yán)峻挑戰(zhàn)。

2 大數(shù)據(jù)安全管理的內(nèi)涵和特征

大數(shù)據(jù)安全管理不能簡單地定義為對組織的全部數(shù)據(jù)進(jìn)行防護(hù)，對龐大的數(shù)據(jù)量進(jìn)行統(tǒng)一標(biāo)準(zhǔn)的安全防護(hù)也不現(xiàn)實(shí)。大數(shù)據(jù)安全管理可包含如下內(nèi)容：第一，明確大數(shù)據(jù)安全管理需求。分析大數(shù)據(jù)環(huán)境下大數(shù)據(jù)的保密性、完整性和可用性等問題以及可能引發(fā)的各個(gè)層面的問題，據(jù)此明確解決相關(guān)問題和影響的數(shù)據(jù)安全需求。第二，對大數(shù)據(jù)資產(chǎn)進(jìn)行分類分級管理，對不同級別的數(shù)據(jù)選擇不同安全措施。第三，組織應(yīng)根據(jù)大數(shù)據(jù)活動(dòng)的特點(diǎn)，以及相應(yīng)的數(shù)據(jù)操作，從而確定相關(guān)的安全要求。第四，組織從系統(tǒng)的脆弱點(diǎn)、惡意利用的后果與應(yīng)急措施等方面評估大數(shù)據(jù)安全風(fēng)險(xiǎn)。

大數(shù)據(jù)要充分流動(dòng)、共享和交換，在保證安全的情況下發(fā)揮最大的價(jià)值。因此，加強(qiáng)大數(shù)據(jù)安全管理，既要明確大數(shù)據(jù)安全合規(guī)的邊界，保證數(shù)據(jù)的合法利用；也要盡可能地促進(jìn)大數(shù)據(jù)的發(fā)展，讓大數(shù)據(jù)這座金礦發(fā)揮更大價(jià)值。

3 數(shù)據(jù)安全管理的路徑與對策

大數(shù)據(jù)安全管理可以從管理、技術(shù)措施兩個(gè)方面進(jìn)行實(shí)踐，構(gòu)建科學(xué)合理、覆蓋全局的大數(shù)據(jù)安全管理體系，促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)的可持續(xù)性發(fā)展。

3.1 管理措施與建議

主要涵蓋組織的大數(shù)據(jù)安全管理架構(gòu)及崗位設(shè)置，管理制度及規(guī)程、人員管理等方面。

3.1.1 建立適應(yīng)需求的安全管理組織

大數(shù)據(jù)安全管理的首要環(huán)節(jié)是大數(shù)據(jù)安全組織管理。在機(jī)構(gòu)及崗位設(shè)置上，建立起自上而下的大數(shù)據(jù)安全管理組織架構(gòu)。不同類別角色賦予不同權(quán)限，可包含3個(gè)層次：明確大數(shù)據(jù)安全職能范圍，制定大數(shù)據(jù)安全管理策略；制定大數(shù)據(jù)安全管理流程及制度，負(fù)責(zé)監(jiān)督落地實(shí)踐和日常數(shù)據(jù)安全運(yùn)營；實(shí)際操作和落地實(shí)施。此外，相關(guān)業(yè)務(wù)部門要做好與大數(shù)據(jù)安全管理部門的溝通與協(xié)作，保證大數(shù)據(jù)安全管理策略、制度有效施行，確保組織體系的正常運(yùn)行。

3.1.2 制定數(shù)據(jù)安全管理流程及制度

大數(shù)據(jù)安全管理流程及制度是大數(shù)據(jù)安全管理的制度保障。大數(shù)據(jù)的安全管理要有規(guī)范的流程，參照法律法規(guī)、國家/行業(yè)標(biāo)準(zhǔn)等合規(guī)要求，在大數(shù)據(jù)安全能力成熟度模型的基礎(chǔ)上，科學(xué)評估數(shù)據(jù)使用過程中可能會遭遇的風(fēng)險(xiǎn)，結(jié)合目前及未來需要的大數(shù)據(jù)安全能力等級，制定數(shù)據(jù)管理制度和流程。同時(shí)，與時(shí)俱進(jìn)，及時(shí)動(dòng)態(tài)調(diào)整，更有效地應(yīng)對不斷變化的新風(fēng)險(xiǎn)和新隱患的威脅。

3.1.3 對相關(guān)人員的有效管控

在大數(shù)據(jù)安全管理過程中，還要對接觸到相關(guān)數(shù)據(jù)的人員進(jìn)行管控。人員管理包括數(shù)據(jù)部門內(nèi)部人員管控和第三方管理。

（1）內(nèi)部人員管控。內(nèi)部人員安全管控是維護(hù)和保障數(shù)據(jù)安全的關(guān)鍵因素。通過采取入職前個(gè)人背景調(diào)查，入職后簽訂保密協(xié)議、崗位安全技能培訓(xùn)、更新和調(diào)整賬號與權(quán)限，離職后停用賬號與關(guān)閉權(quán)限等措施，提高人員的數(shù)據(jù)保護(hù)意識，強(qiáng)化敏感信息的保護(hù)職責(zé)。建立面向全體員工的數(shù)據(jù)安全教育培訓(xùn)機(jī)制。

（2）第三方管理。主要是針對外部人員的管理，包括對第三方技術(shù)開發(fā)人員、系統(tǒng)運(yùn)維員和訪問數(shù)據(jù)人員。根據(jù)第三方運(yùn)維單位在維護(hù)過程的分工和安全職責(zé)界定，提出安全操作指南，風(fēng)險(xiǎn)識別，以及在合作前、合作中、合作終止或變更后3個(gè)階段分別進(jìn)行背景調(diào)查和責(zé)任說明、定期安全檢查服務(wù)及保密措施管理等。

3.2 技術(shù)措施建議

技術(shù)手段是大數(shù)據(jù)安全管理的保障條件，為大數(shù)據(jù)安全管理總體目標(biāo)提供技術(shù)支持，按照安全狀況摸底、數(shù)據(jù)流動(dòng)管控、數(shù)據(jù)治理稽核3個(gè)步驟開展實(shí)施，為大數(shù)據(jù)處理各流程提供安全保障，確保管理制度要求在實(shí)際工作中能夠得到切實(shí)執(zhí)行。

3.2.1 資產(chǎn)梳理和數(shù)據(jù)分級分類

運(yùn)用大數(shù)據(jù)資產(chǎn)梳理工具，進(jìn)行資產(chǎn)底賬梳理，找出大數(shù)據(jù)平臺自身的安全問題。從隱私安全與保護(hù)成本的角度出發(fā)，根據(jù)梳理結(jié)果對大數(shù)據(jù)資產(chǎn)進(jìn)行分類和等級劃分，在此過程中確定哪些是需要保護(hù)的敏感數(shù)據(jù)，敏感數(shù)據(jù)應(yīng)如何被使用，確定數(shù)據(jù)保護(hù)責(zé)任人，根據(jù)不同需要對大數(shù)據(jù)資產(chǎn)進(jìn)行管理。

3.2.2 針對生命周期采取相應(yīng)技術(shù)措施

在數(shù)據(jù)產(chǎn)生、采集環(huán)節(jié)，主要采用元數(shù)據(jù)安全管理、數(shù)據(jù)類型和安全等級達(dá)標(biāo)，在后臺運(yùn)維管理系統(tǒng)嵌入相應(yīng)功能，保證各類大數(shù)據(jù)安全制度能夠有效實(shí)施。

在數(shù)據(jù)存儲環(huán)節(jié)，主要采用數(shù)據(jù)加密技術(shù)，防范數(shù)據(jù)泄密風(fēng)險(xiǎn)；對內(nèi)，運(yùn)用數(shù)據(jù)運(yùn)維管控工具進(jìn)行訪問控制和審批管理；對外，使用數(shù)據(jù)庫防火墻技術(shù)阻止黑客攻擊。

在數(shù)據(jù)傳輸環(huán)節(jié)，利用數(shù)據(jù)水印技術(shù)、密碼技術(shù)實(shí)現(xiàn)數(shù)據(jù)庫數(shù)據(jù)外發(fā)溯源，通過建立不同安全域間的加密傳輸鏈路，或直接對數(shù)據(jù)進(jìn)行加密，保障數(shù)據(jù)傳輸安全。

在數(shù)據(jù)存儲環(huán)節(jié)，一般采取數(shù)據(jù)和硬盤加密等方式保障數(shù)據(jù)存儲安全。

在數(shù)據(jù)處理環(huán)節(jié)，采用數(shù)據(jù)靜態(tài)和動(dòng)態(tài)脫敏技術(shù)對數(shù)據(jù)進(jìn)行去隱私化脫敏處理，保障在開發(fā)、測試、分析等場景下的數(shù)據(jù)安全。

在數(shù)據(jù)使用環(huán)節(jié)，采用賬號權(quán)限管理、數(shù)據(jù)安全域、日志管理和審計(jì)、異常行為實(shí)時(shí)監(jiān)控與終端數(shù)據(jù)防泄露等方式保障數(shù)據(jù)使用安全。

在數(shù)據(jù)共享環(huán)節(jié)，通過與數(shù)據(jù)安全域技術(shù)結(jié)合，建設(shè)統(tǒng)一數(shù)據(jù)分發(fā)平臺，對數(shù)據(jù)共享行為進(jìn)行有效管理。

在數(shù)據(jù)銷毀環(huán)節(jié)，通過數(shù)據(jù)銷毀軟件多次填充垃圾信息等原理或硬盤消磁機(jī)、硬盤粉碎機(jī)、硬盤折彎機(jī)等硬件設(shè)備的物理方式徹底毀壞硬盤，實(shí)現(xiàn)磁盤中存儲數(shù)據(jù)的永久刪除。

3.2.3 數(shù)據(jù)稽核

利用數(shù)據(jù)庫審計(jì)產(chǎn)品和數(shù)據(jù)態(tài)勢感知進(jìn)行大數(shù)據(jù)安全稽核與風(fēng)險(xiǎn)預(yù)警，使大數(shù)據(jù)安全治理的策略、規(guī)范、制度能夠有效實(shí)施，實(shí)現(xiàn)全流程的大數(shù)據(jù)安全管理閉環(huán)。

4 結(jié)語

大數(shù)據(jù)時(shí)代已然到來，隨之而來的也有一些不可避免的機(jī)遇和挑戰(zhàn)。在進(jìn)攻和防守永不停歇的大數(shù)據(jù)安全領(lǐng)域，只有不斷地進(jìn)行管理和技術(shù)創(chuàng)新，加強(qiáng)大數(shù)據(jù)安全管理，實(shí)現(xiàn)大數(shù)據(jù)安全共享，才能有效促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展。

參考文獻(xiàn)

[1] 徐陽東，周勝利，史進(jìn)，等.大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全管理體系建設(shè)[J].信息與電腦，2018（12）：224-226.

[2] 李靜.大數(shù)據(jù)安全管理規(guī)范及關(guān)鍵技術(shù)[J].信息與電腦，2016（16）：114-115.

[3] 范艷.大數(shù)據(jù)安全與隱私保護(hù)[J].電子技術(shù)與軟件工程，2016（1）：227.