官喻波

大數(shù)據(jù)時(shí)代和傳統(tǒng)的信息化時(shí)代有什么不同？傳統(tǒng)信息化發(fā)展初期其實(shí)并沒(méi)有形成真正的信息化，而現(xiàn)在我們利用信息技術(shù)將現(xiàn)有的業(yè)務(wù)進(jìn)行處理，同時(shí)提高業(yè)務(wù)處理效率。那么我們?nèi)绾侮P(guān)注數(shù)據(jù)特點(diǎn)？因?yàn)樗邢到y(tǒng)都是按照自洽的方式運(yùn)行，所以產(chǎn)生數(shù)據(jù)的環(huán)境比較單一。隨著系統(tǒng)的建立，數(shù)據(jù)量逐漸增大，就會(huì)出現(xiàn)兩個(gè)趨勢(shì)：第一企業(yè)自身的數(shù)據(jù)無(wú)法支撐企業(yè)的業(yè)務(wù)發(fā)展，第二企業(yè)無(wú)法發(fā)現(xiàn)數(shù)據(jù)價(jià)值。所以系統(tǒng)的變化不能依靠單系統(tǒng)，而需要的是數(shù)據(jù)驅(qū)動(dòng)。

以安全的角度來(lái)看，在傳統(tǒng)的單系統(tǒng)情況下，數(shù)據(jù)資產(chǎn)更關(guān)注的是某些載體中的靜態(tài)安全。所謂靜態(tài)安全就是數(shù)據(jù)采集、存儲(chǔ)、傳輸處理等技術(shù)，都在企業(yè)自己系統(tǒng)里運(yùn)行，企業(yè)只需要管理好自身的數(shù)據(jù)庫(kù)和終端即可。而在大數(shù)據(jù)時(shí)代，所有系統(tǒng)之間都是交互的，當(dāng)企業(yè)采集完數(shù)據(jù)后，不一定存儲(chǔ)在自己的數(shù)據(jù)庫(kù)中。而這些數(shù)據(jù)可能會(huì)被其他企業(yè)進(jìn)行處理，企業(yè)與企業(yè)之間甚至?xí)迅鱾€(gè)系統(tǒng)融合起來(lái)，存放在大數(shù)據(jù)中心，并進(jìn)行模型計(jì)算產(chǎn)生出新的數(shù)據(jù)。所以，只有數(shù)據(jù)流動(dòng)起來(lái)才會(huì)產(chǎn)生價(jià)值，而我們所關(guān)注的重點(diǎn)，就是數(shù)據(jù)資產(chǎn)在整個(gè)業(yè)務(wù)流動(dòng)過(guò)程中的動(dòng)態(tài)安全。

我們面臨的挑戰(zhàn)是什么？從安全的角度上來(lái)講，企業(yè)建立一個(gè)正常運(yùn)行的系統(tǒng)很容易，若要對(duì)其進(jìn)行破壞也相對(duì)簡(jiǎn)單，安全風(fēng)險(xiǎn)可能來(lái)自方方面面，因?yàn)闊o(wú)論是網(wǎng)絡(luò)層、應(yīng)用層、運(yùn)維、開(kāi)發(fā)都有可能出現(xiàn)問(wèn)題。我們將安全風(fēng)險(xiǎn)管控歸為三類：第一，如何發(fā)現(xiàn)哪些數(shù)據(jù)需要管控。第二，如何分析管控發(fā)現(xiàn)的數(shù)據(jù)。第三，如何客觀評(píng)價(jià)管控的效果。我們認(rèn)為在大數(shù)據(jù)時(shí)代，數(shù)據(jù)安全并不是數(shù)據(jù)問(wèn)題，而是數(shù)據(jù)安全治理。而數(shù)據(jù)安全治理的第一步，就要保證數(shù)據(jù)本身的保密性和完整性。數(shù)據(jù)安全治理需要建立一個(gè)框架，然后進(jìn)行要素評(píng)估，預(yù)測(cè)在商業(yè)策略中是否存在風(fēng)險(xiǎn)。第二步對(duì)數(shù)據(jù)進(jìn)行分類。第三步要制定數(shù)據(jù)策略和企業(yè)策略。第四步基于數(shù)據(jù)審計(jì)和策略，進(jìn)行加密和身份認(rèn)證等工作，防止數(shù)據(jù)泄露。第五步將所有策略全部集中管理起來(lái)，并作用到企業(yè)傳統(tǒng)的數(shù)據(jù)庫(kù)、大數(shù)據(jù)處理平臺(tái)，以及云端的軟件等。

那么數(shù)據(jù)治理框架，需要經(jīng)歷哪些步驟？第一步，針對(duì)數(shù)據(jù)安全進(jìn)行統(tǒng)籌規(guī)劃，并根據(jù)不同行業(yè)的數(shù)據(jù)建立法規(guī)。第二步，根據(jù)企業(yè)自身的業(yè)務(wù)，梳理出數(shù)據(jù)安全的要求。第三步，分析面臨的風(fēng)險(xiǎn)，形成威脅和同步清單。第四步，建立宏觀的管理策略和制度。以這四步為基礎(chǔ)來(lái)設(shè)計(jì)數(shù)據(jù)安全治理體系，在這個(gè)體系中，我們將技術(shù)支撐分為三部分。第一是感知體系。所謂感知體系我們可以理解為傳感器，通過(guò)該體系可得知數(shù)據(jù)的類型和存放地點(diǎn)。第二是分析和管控體系。當(dāng)?shù)玫綌?shù)據(jù)后，該體系可以告知用戶如何對(duì)數(shù)據(jù)進(jìn)行分析和管理。第三是評(píng)估體系，該體系用來(lái)評(píng)估整體效果。

基于上述體系我們就可以分步驟建設(shè)框架，包括體系設(shè)計(jì)、構(gòu)建、實(shí)踐驗(yàn)證、應(yīng)用推廣等。我們認(rèn)為數(shù)據(jù)安全并不是靜態(tài)策略，而是動(dòng)態(tài)的完善過(guò)程。首先感知體系會(huì)發(fā)現(xiàn)企業(yè)業(yè)務(wù)中的重要數(shù)據(jù)，之后數(shù)據(jù)會(huì)轉(zhuǎn)移到分析管控體系中進(jìn)行分析管控。數(shù)據(jù)通過(guò)管控后可以繼續(xù)優(yōu)化管控體系，來(lái)發(fā)現(xiàn)被遺漏的數(shù)據(jù)，同時(shí)增加到感知體系中。最后依靠評(píng)估體系評(píng)估管控效果，根據(jù)管控效果來(lái)調(diào)整分析管控體系，形成動(dòng)態(tài)過(guò)程。

介紹一下我們?cè)诟鳝h(huán)節(jié)中的安全實(shí)踐。我們認(rèn)為感知體系是保證數(shù)據(jù)安全最重要的環(huán)節(jié)，我們?cè)谠擉w系中創(chuàng)建了兩個(gè)模型，數(shù)據(jù)分類模型和數(shù)據(jù)分級(jí)模型。數(shù)據(jù)分類、分級(jí)模型從某種意義上來(lái)講是業(yè)務(wù)部門需求，比如我們根據(jù)銀行不同業(yè)務(wù)類型和業(yè)務(wù)種類，分出不同的數(shù)據(jù)進(jìn)行分類。首先我們將數(shù)據(jù)進(jìn)行分類，然后將數(shù)據(jù)的使用范圍進(jìn)行分級(jí)，此外監(jiān)控?cái)?shù)據(jù)的使用時(shí)間和使用時(shí)長(zhǎng)，最后針對(duì)數(shù)據(jù)的使用用途進(jìn)行技術(shù)落地。

提起資產(chǎn)識(shí)別大家就會(huì)想到通過(guò)數(shù)據(jù)載體、內(nèi)容、環(huán)境進(jìn)行靜態(tài)的資產(chǎn)識(shí)別，但是我們更加強(qiáng)調(diào)的是動(dòng)態(tài)資產(chǎn)識(shí)別，因?yàn)榇髷?shù)據(jù)在流通的過(guò)程中會(huì)產(chǎn)生價(jià)值。在流通過(guò)程中，我們可通過(guò)識(shí)別系統(tǒng)得知數(shù)據(jù)怎樣進(jìn)行流通，流通到哪些地方，包括數(shù)據(jù)與數(shù)據(jù)之間的關(guān)系等。

分析管控體系是一個(gè)相對(duì)傳統(tǒng)的體系，我們要在整個(gè)數(shù)據(jù)生命周期，包括采集、存儲(chǔ)、傳輸、處理、交換過(guò)程中進(jìn)行分析。比如在整個(gè)分析管控體系中，我們對(duì)人的行為進(jìn)行分析。我們就會(huì)根據(jù)該人物的過(guò)往的數(shù)據(jù)，建立兩個(gè)基線：第一，用戶歷史行為基線。第二，同部門同職位人員的歷史基線。以這兩條基線為基礎(chǔ)，識(shí)別出數(shù)據(jù)安全的問(wèn)題。

我們認(rèn)為最難建立的體系是評(píng)估體系，評(píng)估體系主要分為兩部分：第一，我們需要找出那些數(shù)據(jù)和指數(shù)，能夠真正反映出數(shù)據(jù)安全態(tài)勢(shì)。第二，在整個(gè)評(píng)估的過(guò)程中，如何將數(shù)據(jù)規(guī)劃、數(shù)據(jù)收集、數(shù)據(jù)風(fēng)險(xiǎn)分析進(jìn)行反饋。那么評(píng)估指數(shù)應(yīng)當(dāng)怎么做？這就要從數(shù)據(jù)價(jià)值和企業(yè)的管理意圖著手，包括整個(gè)大數(shù)據(jù)體系任務(wù)的規(guī)劃。比如企業(yè)的數(shù)據(jù)資產(chǎn)分布指數(shù)和重要的資產(chǎn)流通指數(shù)，這些指數(shù)都與數(shù)據(jù)安全相關(guān)，所以我們就會(huì)把這些指數(shù)全部建立起來(lái)。

（根據(jù)演講內(nèi)容整理，未經(jīng)本人審核）