杜躍進，鄭斌

阿里巴巴集團，浙江 杭州 310013

大數(shù)據(jù)安全能力實踐

杜躍進，鄭斌

阿里巴巴集團，浙江 杭州 310013

安全的目的是為了保障發(fā)展，如何衡量一個擁有數(shù)據(jù)的組織的數(shù)據(jù)安全保護能力是十分重要的。探討了擁有數(shù)據(jù)的組織面臨的數(shù)據(jù)安全問題及挑戰(zhàn)，介紹了大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全發(fā)展趨勢和完整的組織級數(shù)據(jù)安全能力框架，闡述了數(shù)據(jù)安全保護能力實現(xiàn)的路徑及實踐過程中可能遇到的難點。最后，以某互聯(lián)網(wǎng)金融企業(yè)為例，分析了利用數(shù)據(jù)安全能力成熟度模型指導企業(yè)進行數(shù)據(jù)安全保護能力建設的過程和方法。

大數(shù)據(jù)；安全能力；成熟度模型；安全管理

1 引言

數(shù)據(jù)被稱為新時代的“黃金”或者“石油”，正在成為企業(yè)的核心資產(chǎn)，成為創(chuàng)新的關鍵來源，成為國家的戰(zhàn)略資源。數(shù)據(jù)越來越值錢，自然成為違法犯罪分子的重點關注目標。他們除了直接盜取數(shù)據(jù)進行倒賣之外，也會用全面的數(shù)據(jù)構建精準詐騙活動，甚至對用戶數(shù)據(jù)進行加密，然后勒索贖金，這也成為了當今的主流攻擊行為之一。在我國，以營利為目的的網(wǎng)絡“黑灰”產(chǎn)業(yè)鏈活動從2004年底就開始了。隨著網(wǎng)絡中的應用日漸廣泛和深入，犯罪分子能夠攫取利益的地方也越來越多，因此團伙的人員規(guī)模也在不斷膨脹。在網(wǎng)絡“黑灰”產(chǎn)業(yè)鏈中，竊取用戶數(shù)據(jù)是非常重要的一環(huán)。但是，直到2016年“徐玉玉事件”的發(fā)生才真正讓我國全社會開始重視電信詐騙以及背后的數(shù)據(jù)泄露問題。隨后，從各種不斷披露的案例中可以發(fā)現(xiàn)一個現(xiàn)象：很多數(shù)據(jù)泄露都是通過買通內(nèi)部人員來實施的，這完全不同于大家想象的“黑客范兒”。

2016年4月，歐洲議會通過了《一般數(shù)據(jù)保護條例》，并將在2018年5月25日生效。該條例對歐盟公民的隱私保護做出了極為嚴格的要求，違規(guī)企業(yè)可能最高被處以罰款2000萬歐元或者前一年全球總年營業(yè)額的4%?！兑话銛?shù)據(jù)保護條例》對全球眾多企業(yè)都會產(chǎn)生非常大的影響。經(jīng)過長時間的醞釀和討論，2016年11月7日我國發(fā)布了《中華人民共和國網(wǎng)絡安全法》，該法律于2017年6月1日實施。個人信息和重要數(shù)據(jù)的安全是這部法律的重要內(nèi)容，相關的執(zhí)行細則和標準（包括個人信息如何保護、數(shù)據(jù)跨境如何評估等）也在緊鑼密鼓地制定。數(shù)據(jù)安全問題受到全世界從政府到普通消費者的各種不同角度的關注，但隨著對數(shù)據(jù)安全的關注度越來越高，人們似乎正在陷入另外一種風險之中，那就是“數(shù)據(jù)恐慌”。這種“數(shù)據(jù)恐慌”表現(xiàn)為對數(shù)據(jù)采集和使用的過度限制或者禁止，而不是通過數(shù)據(jù)保護能力的提升來改善數(shù)據(jù)安全水平。如果這種趨勢不能扼制，會導致法律法規(guī)、政策標準嚴重制約數(shù)字經(jīng)濟的發(fā)展，會使廣大消費者對新經(jīng)濟喪失信心，從而導致各種創(chuàng)業(yè)創(chuàng)新嚴重受挫，這對于數(shù)字經(jīng)濟的發(fā)展是很危險的。安全的目的是為了保障發(fā)展，在目前的大數(shù)據(jù)應用和安全的環(huán)境下，非常迫切的一項工作是衡量一個擁有數(shù)據(jù)的組織的數(shù)據(jù)安全保護能力。

2 擁有數(shù)據(jù)的組織面臨的挑戰(zhàn)

數(shù)據(jù)只有流通共享，才能促進產(chǎn)業(yè)間協(xié)同，優(yōu)化資源配置，更好地激活生產(chǎn)力。可以說，大數(shù)據(jù)時代下的生產(chǎn)過程就是數(shù)據(jù)采集、產(chǎn)生、應用、流通共享的過程，這是一個以數(shù)據(jù)為中心的經(jīng)濟時代，以數(shù)據(jù)為中心的安全能力至關重要。

大數(shù)據(jù)環(huán)境下，各組織機構都將面臨著以下的數(shù)據(jù)問題及挑戰(zhàn)。

（1）數(shù)據(jù)無處不在

伴隨著信息化的開展，各組織機構的業(yè)務被大量數(shù)據(jù)化，數(shù)據(jù)被廣泛應用于組織的業(yè)務支撐、經(jīng)營分析與決策、新產(chǎn)品研發(fā)、外部合作，數(shù)據(jù)也不再只是管理者擁有的權利，上至管理者，下至一線業(yè)務崗位，都需要使用數(shù)據(jù)。

（2）系統(tǒng)、組織之間數(shù)據(jù)邊界模糊

組織內(nèi)部的核心業(yè)務系統(tǒng)、內(nèi)部辦公系統(tǒng)、外部協(xié)同系統(tǒng)不再是豎井式的架構，數(shù)據(jù)的共享使得各系統(tǒng)間存在大量的數(shù)據(jù)接口，系統(tǒng)間呈網(wǎng)狀結構，互為上下游，每個系統(tǒng)都是其他系統(tǒng)的一部分，同時，其他系統(tǒng)也是自身系統(tǒng)的一部分。數(shù)據(jù)的流通共享也進一步促進了組織間的協(xié)同，組織間的部分職能也互為上下游。

（3）數(shù)據(jù)關聯(lián)、聚合更容易

大數(shù)據(jù)技術使得數(shù)據(jù)的采集、使用更加便利，數(shù)據(jù)的種類豐富，可被關聯(lián)的數(shù)據(jù)要素大大增加，同時，運算能力的提升加大、加快了數(shù)據(jù)關聯(lián)或聚合的效率和吞吐量。

（4）數(shù)據(jù)流動、處理更實時

實時數(shù)據(jù)處理技術的發(fā)展使得數(shù)據(jù)的流動和處理更加實時，在提升效率的同時，也加劇了安全的挑戰(zhàn)。

（5）海量數(shù)據(jù)加密

組織內(nèi)沉淀了大量的數(shù)據(jù)，涉敏數(shù)據(jù)量也遠遠超出以往的數(shù)量，傳統(tǒng)的數(shù)據(jù)加密手段開始捉襟見肘，如何在靈活使用數(shù)據(jù)的同時，高效、安全地保護數(shù)據(jù)，也是需要解決的問題。

（6）數(shù)據(jù)的交換、交易

數(shù)據(jù)成為核心生產(chǎn)資料，其價值被高度重視，數(shù)據(jù)的交換、交易行為以及相關市場孕育而生，如何確保這些行為的安全，進而維護好國家、組織、個人的合法權益，是巨大的挑戰(zhàn)。

（7）數(shù)據(jù)所有者和權利不停轉換

目前行業(yè)里主流的數(shù)據(jù)相關方有數(shù)據(jù)主體、數(shù)據(jù)生產(chǎn)者、數(shù)據(jù)提供者、數(shù)據(jù)管理者、數(shù)據(jù)加工者、數(shù)據(jù)消費者，數(shù)據(jù)權利不停轉換，而數(shù)據(jù)的所有者及相關權利的界定至今未能達成一致意見。

（8）業(yè)務的國際化

互聯(lián)網(wǎng)化加劇了“地球村”的發(fā)展，網(wǎng)絡雖然無國界，但是網(wǎng)絡基礎設施、網(wǎng)民、網(wǎng)絡公司等實體都是有國籍的，各國雖然在網(wǎng)絡主權的提法上各執(zhí)己見，但在實踐層面卻無一例外對本國網(wǎng)絡加以嚴厲管制，防止受到外部干涉。

3 數(shù)據(jù)安全能力框架

大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全具有五大趨勢：從注重系統(tǒng)的防護到聚焦數(shù)據(jù)內(nèi)容本身的保護、從單一組織的保障到跨組織的聯(lián)動、從數(shù)據(jù)的保密到（大）數(shù)據(jù)經(jīng)濟秩序的保障、從技術風險+操作風險到技術風險+操作風險+商業(yè)風險+法律風險、從傳統(tǒng)的數(shù)據(jù)技術到大數(shù)據(jù)技術。因此數(shù)據(jù)安全的能力必須充分考慮組織保障、管理政策及流程的落地、大數(shù)據(jù)治理、數(shù)據(jù)生命周期的安全、數(shù)據(jù)的風控、數(shù)據(jù)生態(tài)的安全協(xié)同六大要素。

如圖1所示，數(shù)據(jù)安全能力成熟度模型（data security maturity model，DSMM）以數(shù)據(jù)生命周期為主線，聚焦數(shù)據(jù)安全相關的四大能力：組織建設、人員能力、制度流程、技術工具，對組織機構的數(shù)據(jù)安全能力進行評級，能夠很好地幫助組織自身及合作伙伴評估數(shù)據(jù)安全能力，找到差距，有的放矢地提升數(shù)據(jù)安全能力，并作為數(shù)據(jù)共享的風險評判依據(jù)之一。能力成熟度等級維度組織的數(shù)據(jù)安全成熟度模型具有5個成熟度等級，分別是非正式執(zhí)行（1級：隨機、被動的安全過程）、計劃跟蹤（2級：主動、非正式的安全過程）、安全可控（3級：正式的規(guī)范的安全過程）、量化控制（4級：安全過程可控）、持續(xù)改進（5級：安全過程可調(diào)整）①。

4 實現(xiàn)路徑與方法

（1）設立組織

為了有效保障數(shù)據(jù)安全政策的落地實施，企業(yè)應該設置專職的數(shù)據(jù)安全團隊。此外，還需要設立面向全組織的數(shù)據(jù)安全委員會，委員會需要有來自業(yè)務、數(shù)據(jù)、安全、法律等領域的不同角色參與，形成專業(yè)上的互補和完整的組織視角，統(tǒng)籌全局的數(shù)據(jù)安全管理政策，兼顧發(fā)展與安全，推進各部門落實數(shù)據(jù)安全各項政策。數(shù)據(jù)安全是個系統(tǒng)工程，服務于組織的大數(shù)據(jù)戰(zhàn)略，需要得到組織高層管理者的重視，數(shù)據(jù)安全委員會的負責人應該是組織里最高管理層里分管安全或者數(shù)據(jù)的管理者。

同時，還需要內(nèi)部各相關部門的緊密配合。對于有多個業(yè)態(tài)的集團型組織，各業(yè)務的負責人應為該業(yè)態(tài)下數(shù)據(jù)安全第一責任人，與數(shù)據(jù)安全委員會、數(shù)據(jù)安全實體團隊共同推動本業(yè)態(tài)下的數(shù)據(jù)安全工作。

（2）盤點現(xiàn)狀

數(shù)據(jù)安全管理的核心是數(shù)據(jù)，需要對組織內(nèi)的海量數(shù)據(jù)資產(chǎn)以及與數(shù)據(jù)相關的部門、業(yè)務/產(chǎn)品、流程、數(shù)據(jù)風險管理進行盤點。

數(shù)據(jù)資產(chǎn)的盤點：重點梳理數(shù)據(jù)的種類、數(shù)據(jù)量、核心的數(shù)據(jù)內(nèi)容、數(shù)據(jù)來源以及數(shù)據(jù)的安全分級分類情況和流轉鏈路。

數(shù)據(jù)相關部門的盤點：與數(shù)據(jù)相關的部門往往是數(shù)據(jù)風險的高發(fā)部門，屬于高敏感崗位，需要梳理全組織與數(shù)據(jù)相關的部門數(shù)量、部門內(nèi)部各崗位的職責、工作流程、數(shù)據(jù)操作環(huán)境，重點關注操作風險高的環(huán)節(jié)。

數(shù)據(jù)相關業(yè)務/產(chǎn)品的盤點：與數(shù)據(jù)相關的業(yè)務主要是指以數(shù)據(jù)為核心生產(chǎn)要素的業(yè)務，這類業(yè)務高度依賴數(shù)據(jù)，是組織對外提供數(shù)據(jù)服務的業(yè)務，在產(chǎn)品研發(fā)、測試和對外服務的過程中都需要對數(shù)據(jù)進行梳理，需要梳理數(shù)據(jù)在業(yè)務/產(chǎn)品中的應用原理、交互的系統(tǒng)接口、相關的責任人，此過程同樣重點關注高風險的環(huán)節(jié)。同時，由于對外提供的是數(shù)據(jù)服務，提供的數(shù)據(jù)內(nèi)容也需要進行合格性的盤點梳理。

圖1 數(shù)據(jù)安全能力成熟度模型

數(shù)據(jù)相關流程的盤點：數(shù)據(jù)相關流程指數(shù)據(jù)的采集、存儲、授權、內(nèi)部使用、傳輸、對外披露、銷毀等過程，這些環(huán)節(jié)構成了數(shù)據(jù)在組織內(nèi)部的主要流程，需要梳理所有線上線下的流程。

數(shù)據(jù)相關風險管理盤點：梳理數(shù)據(jù)風險的識別、風險評估及判定、風險跟蹤及改進情況，包括基礎性的治理，例如風險的日志數(shù)據(jù)、風險的定級機制、風險的響應機制。

（3）運用DSMM進行評估

如圖2所示，DSMM包含32個安全域，涵蓋組織的數(shù)據(jù)全生命周期過程，每個安全域含有相應的評估點和評估標準，由數(shù)據(jù)安全實體團隊針對評估點參照評估標準進行安全能力評估。

（4）制定風險修復與短板提升計劃

DSMM不但能夠評估出數(shù)據(jù)安全能力，也能反映數(shù)據(jù)安全的風險，總體評估完成后，需要得到兩部分的改進計劃：一部分是風險修復計劃，一部分是數(shù)據(jù)安全能力短板提升計劃。

圖2 DSMM的安全域

5 實踐中的難點與挑戰(zhàn)

在實踐過程中，通常會遇到如下挑戰(zhàn)。

（1）高層重視度不足

負責人的層級不夠，難以協(xié)調(diào)；提供的資源投入有限，力度不夠；僅僅作為合規(guī)需求，響應被動；缺乏前瞻性的布局，前瞻性的數(shù)據(jù)安全技術研究與投入缺乏或者不足。

（2）業(yè)務部門配合意愿度低

其他業(yè)務部門認為是安全部門的事情，主動性不強，業(yè)務要素的輸入不足，導致數(shù)據(jù)安全政策不夠貼近業(yè)務，既影響落地，又可能造成數(shù)據(jù)安全一刀切的局面，影響業(yè)務的發(fā)展。

（3）內(nèi)部系統(tǒng)繁多，數(shù)據(jù)龐雜

業(yè)務的IT化促成了大量的系統(tǒng)產(chǎn)生，沉淀了大量的數(shù)據(jù)，應用系統(tǒng)的梳理、系統(tǒng)間的數(shù)據(jù)接口以及數(shù)據(jù)的盤點成為了基礎治理工作的重中之重，日常實踐中，基礎治理工作往往得不到應有的重視，管理者往往急功近利，忽視基礎治理工作的重要性。

（4）政策落地難

由于歷史因素，組織里存在著大量的歷史業(yè)務，大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全政策難免與現(xiàn)有業(yè)務流程產(chǎn)生沖突，沖突發(fā)生時的取舍容易導致數(shù)據(jù)安全為業(yè)務讓路，造成數(shù)據(jù)安全政策落地難的局面。

（5）業(yè)務快速發(fā)展

“互聯(lián)網(wǎng)+”或“大數(shù)據(jù)+”引發(fā)業(yè)務創(chuàng)新的加速，業(yè)務出現(xiàn)快速發(fā)展的勢頭，頻繁迭代升級，數(shù)據(jù)安全政策及技術手段更新容易滯后。

（6）組織的關聯(lián)公司多

大數(shù)據(jù)環(huán)境下，組織間的業(yè)務合作促進了數(shù)據(jù)的共享，如何安全可控地分享數(shù)據(jù)是大型組織常見的挑戰(zhàn)。

6 案例分析：某互聯(lián)網(wǎng)金融企業(yè)

6.1 企業(yè)概況

該企業(yè)融合“互聯(lián)網(wǎng)+金融+汽車”，以互聯(lián)網(wǎng)為主要渠道，為借款人與出借人實現(xiàn)直接借貸提供信息搜集、信息公布、資信評估、信息交互、借貸撮合等服務。車貸作為該企業(yè)的核心產(chǎn)品，其業(yè)務模式已經(jīng)具備一套標準的流程，從自建工具實現(xiàn)貸款的線上操作管理，到自建車輛評估和全球定位系統(tǒng)（global positioning system，GPS）管理系統(tǒng)，實現(xiàn)數(shù)據(jù)化分析管理。在深耕車貸細分市場的同時，開啟信用貸款、汽車消費金融、供應鏈金融等多個領域的持續(xù)性深度探索，逐步搭建以數(shù)據(jù)為核心生產(chǎn)資料的產(chǎn)品體系，有效提升了行業(yè)競爭力。

6.2 企業(yè)數(shù)據(jù)概況

主營業(yè)務中借款人與出借人的基本數(shù)據(jù)、車輛信息、與信用相關的數(shù)據(jù)、借還款行為數(shù)據(jù)、債權數(shù)據(jù)成為了業(yè)務的核心數(shù)據(jù)，數(shù)據(jù)概況見表1。

6.3 數(shù)據(jù)安全最緊迫的問題

該企業(yè)擁有幾百萬借款人和幾十萬投資人信息，近年來安全法律法規(guī)相繼出臺，監(jiān)管日益趨嚴，滿足監(jiān)管及合規(guī)、保護個人隱私尤為重要，同時該企業(yè)雖然部署了很多信息系統(tǒng)安全設備和產(chǎn)品，但對于數(shù)據(jù)泄露仍然十分擔心。

表1 某互聯(lián)網(wǎng)金融企業(yè)的數(shù)據(jù)概況

企業(yè)缺乏數(shù)據(jù)安全管理組織：運維團隊兼職網(wǎng)絡安全、主機安全、系統(tǒng)安全等工作；IT團隊負責工作電腦終端管理、上網(wǎng)行為管理；人力資源部部分工作覆蓋到人力資源安全；法務部負責合規(guī)工作，督導監(jiān)察部負責各主管部門的制度落地執(zhí)行、監(jiān)督和違規(guī)處罰等工作；數(shù)據(jù)庫管理員和各級主管承擔了權限審批職責。安全團隊職能分散，缺乏統(tǒng)一的管理和協(xié)同，沒有整體負責數(shù)據(jù)安全的專職團隊，數(shù)據(jù)安全工作缺乏組織持續(xù)跟進執(zhí)行。

企業(yè)數(shù)據(jù)安全制度流程缺失：企業(yè)內(nèi)部相關制度中有部分數(shù)據(jù)安全相關內(nèi)容，數(shù)據(jù)安全策略及規(guī)范、數(shù)據(jù)分類分級規(guī)范、數(shù)據(jù)對外披露流程細則等缺乏，沒有權限申請的流程，數(shù)據(jù)安全缺乏制度保障。

外部合規(guī)缺乏持續(xù)跟進：目前企業(yè)內(nèi)部缺乏專職人員跟進數(shù)據(jù)安全相關法律法規(guī)，合規(guī)風險極大。

6.4 數(shù)據(jù)安全評估過程

基于數(shù)據(jù)安全能力成熟度模型的內(nèi)容，考慮該企業(yè)的業(yè)務需求，以成熟度等級的2級作為一年內(nèi)數(shù)據(jù)安全能力的基礎目標進行評估。通過梳理數(shù)據(jù)生命周期各階段的數(shù)據(jù)安全控制現(xiàn)狀，整體評估數(shù)據(jù)安全能力現(xiàn)狀，識別出在2級的要求下有待提升的數(shù)據(jù)安全領域，并給出提升相關數(shù)據(jù)安全能力的建議。

評估過程：由雙方召集相關人員進行整體項目介紹，明確評估項目目標、項目時間計劃、雙方的職責分工和協(xié)作方式、項目溝通機制、數(shù)據(jù)安全成熟度模型、評估方法及項目交付成果等。

總體摸底：全面了解業(yè)務及業(yè)務系統(tǒng)、人員和組織情況，準備評估所需的相關資料，確定評估范圍，制定詳細評估計劃，確?，F(xiàn)場評估工作順利開展，消除業(yè)務障礙，確保訪談時高效進行。

現(xiàn)場評估：一般包括人員訪談、文檔審核、配置檢查、工具測試和旁站式驗證5種方式，并將獲得的各項結果記錄在檢查表中，保存相關的證據(jù)。

報告輸出：基于現(xiàn)場評估記錄的檢查表和相關證據(jù)，由評估人員負責編寫數(shù)據(jù)安全能力成熟度評估報告，期間可能會要求業(yè)務方補充材料或證據(jù)。

結果確認：由雙方人員共同確認評估結果是否符合業(yè)務方的現(xiàn)狀，評估結果準確，內(nèi)容描述無誤。

6.5 改進建議

該企業(yè)擁有大量個人信息，涉及身份信息、銀行卡信息、資金信息等十分敏感的數(shù)據(jù)，個人隱私保護將是其長期的工作重點，以《中華人民共和國網(wǎng)絡安全法》和個人信息保護為切入點，成立由副總裁負責的獨立的專職團隊，3個月內(nèi)制定出個人信息保護策略，細化個人信息在采集、存儲、使用、共享、傳輸和銷毀過程中的各種安全細則，并盡快執(zhí)行。同時，不斷擴展企業(yè)數(shù)據(jù)安全策略、組織和人員，逐步引入數(shù)據(jù)安全能力成熟度模型。

7 結束語

本文重點探討了擁有數(shù)據(jù)的組織的數(shù)據(jù)安全保護能力建設和評估問題，分析了我國大數(shù)據(jù)安全面臨的問題和挑戰(zhàn)，介紹了數(shù)據(jù)安全能力成熟度模型和數(shù)據(jù)安全能力建設的實踐方法及難點，并以某互聯(lián)網(wǎng)金融企業(yè)為例，詳細分析了利用數(shù)據(jù)安全能力成熟度模型指導企業(yè)進行數(shù)據(jù)安全保護能力建設的實踐過程，為其他擁有數(shù)據(jù)的組織提供了一定的參考。

[1] 杜躍進. 數(shù)據(jù)安全能力將成為大數(shù)據(jù)時代的重要競爭力[J]. 中國信息安全, 2017(5): 72-75.DU Y J. Data security capability will become an important competitiveness in the era of big data[J]. China Information Security, 2017(5): 72-75.

[2] 杜躍進. 以數(shù)據(jù)為中心的安全[J]. 網(wǎng)絡安全技術與應用, 2016(10): 10.DU Y J. Data centric security[J]. Network Security Technology & Application,2016(10): 10.

[3] 李克鵬, 梅婧婷, 鄭斌, 等. 大數(shù)據(jù)安全能力成熟度模型標準研究[J]. 信息技術與標準化,2016(7): 59-61.L I K P, M E I J T, Z H E N G B, e t a l.Research on security capability maturity model standard of big data[J]. Information Technology & Standardization, 2016(7):59-61.

Security capability practice of big data

DU Yuejin, ZHENG Bin
Alibaba Group, Hangzhou 310013, China

The purpose of security is to ensure development, and it is important to measure the data security capability of an organization. The security problems and challenges of data organization were discussed. The development trend of big data and data security capability framework were introduced. The path of data security capability implementation and difficulties in the process of practice were expounded. Take an internet financial enterprise as an example, the process and method of building data security capability by using data security capability maturity model were analyzed.

big data, security capability, maturity model, security management

TP309

A

10.11959/j.issn.2096-0271.2017049

杜躍進（1972-），男，博士，阿里巴巴集團安全部技術副總裁、首席安全專家，曾擔任網(wǎng)絡安全應急技術國家工程實驗室主任、國家網(wǎng)絡信息安全技術研究所所長、國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心副總工程師等職務。中國網(wǎng)絡空間安全協(xié)會副理事長，中國保密協(xié)會個人隱私保護專家委員會副主任，中國計算機學會計算機安全專業(yè)委員會常務委員，中國互聯(lián)網(wǎng)協(xié)會網(wǎng)絡與信息安全工作委員會副主任委員。擁有18年互聯(lián)網(wǎng)安全經(jīng)驗，在我國最早開展國家級網(wǎng)絡安全事件的監(jiān)測分析和應急響應，推動了我國互聯(lián)網(wǎng)應急體系建設與國際合作，完成多項國家級科研項目，并作為主要負責人完成了國家級互聯(lián)網(wǎng)安全基礎設施的研制。曾獲得國家科技進步獎一等獎兩項、新世紀百千萬人才工程國家級人選、全國青年崗位能手、信息產(chǎn)業(yè)十大杰出青年等榮譽稱號，獲得國務院特殊津貼。

鄭斌（1978-），男，阿里巴巴集團數(shù)據(jù)安全總監(jiān)，于2011年加入阿里巴巴，2013年加入阿里巴巴數(shù)據(jù)委員會，負責組建阿里巴巴集團數(shù)據(jù)安全工作小組，該小組專注于阿里巴巴集團業(yè)務數(shù)據(jù)化和數(shù)據(jù)業(yè)務化過程中產(chǎn)生的數(shù)據(jù)安全風險研究與改進，推動了阿里巴巴集團內(nèi)部數(shù)據(jù)安全管理能力的提升和生態(tài)圈數(shù)據(jù)共享/開放安全秩序的建立。擁有17年大型企業(yè)數(shù)據(jù)應用體系建設和數(shù)據(jù)安全管理經(jīng)驗，服務的客戶覆蓋互聯(lián)網(wǎng)、金融、電信、能源、制造等多個行業(yè)的領先企業(yè)。近年來專注于大數(shù)據(jù)、云計算環(huán)境下的數(shù)據(jù)安全、用戶隱私保護、數(shù)據(jù)跨境保護及前沿技術研究和實踐。發(fā)起并主導了國家數(shù)據(jù)安全標準《大數(shù)據(jù)安全能力成熟度模型》的建設和產(chǎn)業(yè)落地。

2017-08-12