余应敏 张楠 吴浩哲

【摘 要】 随着大数据产业的不断发展，数据逐渐演变成为大数据公司的一项核心资产。由于种种原因，大数据公司目前在维护数据资产安全方面存在的问题接连暴露且有愈演愈烈的趋势，引发社会各界的广泛关注和激烈讨论。基于此，文章将从管理层重视程度、数据生命周期安全、数据基础设施安全三个维度讨论当前大数据公司普遍存在的数据资产安全问题，进而以华为云针对数据资产安全而专门构建的内部控制体系为例，进行详细介绍并总结相关经验，就大数据公司针对数据资产安全如何进行内部控制系统优化提出相关策略。

【关键词】 大数据公司; 数据资产安全; 内部控制; 华为云

【中图分类号】 F233  【文献标识码】 A  【文章编号】 1004-5937（2019）24-0084-05

一、数据资产安全对大数据公司的发展至关重要

根据成立于1979年、总部设在美国斯坦福的全球最具权威的IT研究与顾问咨询公司高德纳的定义，大数据是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产;无法利用传统流程或工具处理或分析，通过运用数字分析软件、技术，采用复杂挖掘过程所获得的巨量、海量数据;需要同时进行批量处理或分析的大量信息或数据集。我国拥有庞大的消费群体和大量互联网用户，截至2019年6月网民规模和手机网民规模分别达到8.54亿和8.47亿①，在BAT（百度的网络流量数据、阿里巴巴的供应链交易数据和腾讯的社交数据）等超大型互联网公司大数据的引领下，约25%的各类企业一直在寻求大数据的价值。目前，我国大数据产业的发展逐渐进入井喷期，据统计，2017年我国大数据产业规模约为4 700亿元，同比增长超过30%，2018年达到6 000亿元。同时，大数据的应用领域不断拓展，在各领域的应用深度不断提升，各类创新型大数据公司也纷纷涌现，试图在大数据市场占领一席之地。2016年7月发布的《国家信息化发展战略纲要》，明确提出2018年要形成统一的政府数据开放平台。据国家发改委等权威部门预测，到2020年，我国的数据总量将会超过8 000亿PB，占全球数据总量的比例达到20%，我国大数据市场规模将超过8 000亿元。

大数据公司通常是指有获取大数据能力的公司，依据其业务内容的不同，可分为以下七类：数据服务、数据可视化、大数据分析、商业智能领域、数据科学、电子商务数据及社交媒体数据;国内的大数据公司主要分为两类：一类是现在已经有获取大数据能力的公司即数据型的大数据公司，如百度、腾讯、阿里巴巴等互联网巨头以及华为、浪潮、中兴等国内领军企业，这类大数据公司通常是与人们日常生活密切相关的，涵盖了数据采集、数据存储、数据分析、数据可视化以及数据资产安全等领域;另一类则是初创的大数据公司，这类公司依赖于大数据工具，针对市场需求，为市场带来创新方案并推动技术发展，属于创新型大数据公司。当前，大数据公司的业务范围主要涉及：（1）为电商企业提供个性化引擎的大数据公司，包括推荐引擎、分析引擎和营销引擎等，覆盖大数据全产业链的实现路径。通过基础引擎和智能引擎驱动智慧商业的落地。（2）大数据分析技术提供商，面向企业或者政府部门提供数据分析的结果。这类公司可以完整地实现大数据的采集、分析、处理，为各大企业提供高端信息技术咨询服务，还可通过构建一个数据资产分享和交易平台把数据或信息作为资产直接进行销售，可以面向个人提供基于数据分析结果的服务。（3）为传统企业提供大数据技术平台搭建和大数据驱动的SaaS应用的大数据公司，整合高性能的计算和存储能力，为大数据的挖掘和分析提供专业稳定的IT基础设施平台，为大数据存储实现统一管理，能够帮助企业精准预测和构建用户特征，搭建以用户为中心的大数据运营体系。大数据的运用正颠覆性地改变着经济形态、国家治理和资源配置模式，引发了巨大的经济社会变革，其影响力远超当年互联网公司崛起带来的爆发式增长。大数据是重塑未来世界发展的新动力;数据会成为推动实现巨大经济效益的“新能源”，“数据为王”时代的大幕已经开启，海量数据作为大数据公司的核心资产，只有数据分析处理能力强的公司才会在激烈的市场竞争中脱颖而出，既拥有数据又有大数据思维的大数据公司将会成为未来世界的主宰。全球互联网公司都在逐步转变为大数据公司，互联网企业对大数据阵地的争夺已经开始，并且热度持续升温。在未来，数据会成为新能源。新一代信息技术如移动互联网、物联网、社交网络、数字家庭、电子商务等的应用不断产生大数据。大数据的核心理念在于，利用数据化的理念和技术对现实世界建模，构筑一个数字化世界，基于此可构建相应的业务系统，从而实现智能化的应用。

对于大数据公司而言，大数据资产类似于制造业企业的原材料或固定资产等长期资产，加强大数据的相关内控建设，其意义不亚于制造业企业加强存货等资产内部控制建设。鉴于大数据的采集、传输、存储、处理、交换乃至销毁等过程，需要考虑数据资产安全问题;大数据公司的数据资产安全对于大数据业务的开展与发展至关重要，大数据公司的内部控制建设更不可忽视数据资产安全相关内控问题。因此，本文将以此为着眼点展开论述，分析我国大数据公司在数据资产安全防护方面存在的问题，通过对华为云为维护数据安全而构建的内部控制体系的介绍，争取为大数据公司如何针对数据资产安全进行内部控制系統优化提供建设性的建议。

二、文献综述

（一）大数据普及存在的安全问题

冯伟[1]指出大数据易成为网络攻击的显著目标、加大隐私泄露风险、对现有的存储及安防措施提出挑战、成为高级可持续攻击的载体，因此要重视大数据及其信息安全体系建设、加快大数据安全技术研发、加强对重点领域敏感数据的监管、运用大数据技术应对高级可持续攻击。李新华[2]认为大数据的应用带来了数据本身安全和个人隐私泄露方面的挑战，可以通过物理隔离以及权限控制相结合、信息加密、对硬盘的有效保护、立法保障隐私不被窃取等措施来应对。郭斯兰等[3]认为大数据的普及主要存在三个隐患：数据生命周期安全问题、基础设施安全问题、个人隐私安全问题，同时号召要全面加强数据安全治理，这可以从加强数据安全管理、敏感数据管控、平台安全防护、数据安全评估四个方面开展。陈璐宇[4]针对大数据所具备的特性，尝试搭建大数据隐私的主动保护框架，包括法律法规、隐私风险的主动监测、隐私风险的主动评估、隐私的主动管理和问责系统五个部分。

（二）大数据公司的内部控制构建

刘海丽[5]认为高新技术企业内部控制管理存在的不足之处包括企业组织結构的不合理、企业管理者缺少对内部控制的重视程度、技术开发管理的落实力度不够深入等。杜鹃[6]认为高新技术企业的内部控制普遍存在管理层关注度不高和企业活动节点控制有待落实的问题，并相应提出了管理层提升对内部控制工作的重视以及加大企业活动关键节点控制力度的应对措施。王红梅等[7]认为大数据公司在发展过程中暴露出安全与道德危机、公司管理能力不足、人才匮乏危机等问题，应当根据内部控制的重点领域，采取构建适合大数据公司特点的企业发展战略、诚信的文化理念、胜任大数据业务的人力资源战略、实时风险防控和监督体系等作为大数据公司内部控制的策略。

综上所述，可以发现在大数据的安全防护问题和大数据公司的内部控制构建问题两个层面已有学者进行过研究。但至今尚未有文献从保护数据资产安全的视角切入，来详细讨论大数据公司如何构建内部控制系统以解决这一问题，这将成为本文主要的贡献点。

三、我国大数据公司的数据资产安全内控面临挑战

随着大数据业务的不断快速发展，大数据公司的数据资产内部控制缺陷也随之暴露，数据资产的爆发式增长和大规模利用而引致的安全危机最令人关注和担忧，传统的内控手段与程序需要进行相应优化。目前，大数据公司的数据资产安全问题主要集中体现在管理层重视程度、数据生命周期安全和数据资产基础设施安全三个方面。

（一）管理层重视程度

由于大数据公司本身主要依赖数据分析能力、数据应用能力得以发展，因此大数据公司的管理层很容易会将注意力集中在技术研发方面，而往往会忽视大数据的数据资产安全方面可能存在的问题。据统计，2014年我国信息安全投入占总体IT投入仅为2%左右，远低于欧美成熟市场10%左右的水平②。加之，由于互联网技术的不断革新，海量数据资产的大量涌现甚至部分数据已泛滥成灾，大数据公司的数据资产安全问题已处于一种无孔不入、日新月异的状态，管理层即便对其有所关注，其关注程度也可能难以达到足以防范数据资产安全风险所需的高度，因此更加剧了数据资产安全风险给大数据公司发展带来的可能威胁。

（二）数据生命周期安全

大数据生命周期是指大数据的收集—传输—处理环节所需经历的各阶段。在整个大数据生命周期中，大数据公司的大数据资产安全主要存在非法利用数据变现、信息传输安全风险以及员工舞弊等内控问题或缺陷，需要强化或优化相应的内控机制。

1.非法利用数据变现。大数据公司不经过客户同意，将收集到的数据非法变现，从中牟取利益已经是当前社会上一种较为普遍的现象。比如2017年的“快啊答题”打码平台非法获取贩卖公民信息案[8]，利用搭建的答题平台和与之对接的晒密软件，把大批账号和密码进行自动匹配，突破互联网公司的验证码安全防护策略，获取了大量的网站后台数据和公民个人信息并分类销售给多个下游诈骗团伙。最终骗取全国20余个省（自治区、直辖市）受害人的财产金额达2 000余万元。

2.信息传输安全风险。数据信息在传输过程中可能因遭受黑客攻击或者传输渠道不严密而被篡改，导致在传输过程中逐步失真，失去其原本价值;或因如商业信息等的泄露或被盗用，也会给客户造成巨大的损失，从而易使大数据公司面临法律风险。典型的例子是“撞库”，利用用户在不同场景中倾向使用同一账户与密码的行为习惯，以泄露的用户个人信息为数据样本，通过计算机系统批量尝试登录其他网站，从而获取其他网站账户信息。据相关网站统计，黑产从业者仅通过某网络平台的招聘网站登录入口就有约100万/天的撞库攻击量，其中撞库成功的账号约为23%左右，按照每天100万条撞库账号预估，每天约有23万账户被撞库成功③。

3.员工舞弊。大数据公司内部员工在处理数据时，可能会利用职务之便，非经授权盗用客户的数据为自己牟取私利，既会给客户造成损失，也会进一步引发大数据公司的声誉与信任危机，加剧经营风险。

（三）数据资产基础设施安全

随着科学技术的不断进步，大数据的技术处理手段日新月异，任何一家大数据公司都难以保证拥有或控制的计算机设备与信息网络环境的绝对先进与安全。大数据公司的基础设施即其“云平台”，存放着大数据公司的所有数据资产。2018年，根据对领英（LinkedIn）上400 000名信息安全社区网络安全专业人员的在线调查显示，43%的网络安全专业人员担心云基础架构安全性，38%的人员担心云平台的合规性，35%的人员担心云环境中的一致性问题。云平台作为数据资产的重要载体，其存在的安全威胁将危及整个大数据公司各项业务的开展，更会让大数据公司经营面临更多的数据资产安全风险。

综上所述，大数据公司由于发展阶段、自身技术等方面的限制，内部控制的构建在保障数据资产安全方面还存在着许多不容忽视的问题。本文以深圳华为技术有限公司的“华为云”为例，探讨大数据公司应当如何建立健全内部控制框架体系以应对数据资产安全问题。

四、“华为云”优化数据资产安全内控可资借鉴[9]

“华为云”是华为公有云品牌，致力于提供专业的公有云服务，提供弹性云服务器、对象存储服务、软件开发云等云计算服务，以“可信、开放、全球服务”三大核心优势服务全球用户。2017年8月，华为集团宣布“华为云”正式升级成为华为集团的一级部门。2017年9月，“华为云”随即发布《华为云安全白皮书》，分享其关于构建云安全体系的经验，也表明了其对于维护数据资产安全的重视程度。“华为云”在大数据行业内属于佼佼者，其内部控制体系的构建具有一定的参考性。因此本文以“华为云”为例，通过分析“华为云”针对维护数据资产安全而建立的内部控制系统，试图为大数据公司在有关数据资产安全的内部控制构建方面存在的问题提出建设性的建议。由于华为技术有限公司的内部控制体系是基于COSO模型而设计，包括控制环境、风险评估、控制活动、信息与沟通、监督五个部分，因此本文的分析也从这五个方面展开。

（一）控制环境

1.组织架构。“华为云”针对数据资产安全问题构建了一个自上而下的治理结构。单独设置“全球网络安全与隐私保护委员会”作为最高网络安全管理机构，决策和批准公司总体网络安全战略。全球网络安全与隐私保护官及其办公室负责制定华为端到端网络安全保障体系，并在研发、供应链、市场与销售、工程交付及技术服务等方面执行，并直接向公司CEO汇报。

2.发展战略。“华为云”的发展战略之一：以数据保护为核心，以云安全能力为基石，以法律法规、业界标准遵从为城墙，以安全生态圈为护城河，依托华为独有的软硬件优势，打造业界领先的竞争力，构建起面向不同区域、不同行业的完善云服务安全保障体系。“华为云”将自身定位为中立的云服务提供商，任务是搭建数据平台，坚持“不碰数据”的原则，即华为不提供数据，也不会强迫客户将数据交给华为，只是让客户将数据放到“华为云”上，通过技术开发和应用数据，帮助客户最大程度地发挥数据的价值。简言之，“华为云”的变现是通过“技术和服务”来达成，而不是依靠“应用和数据”[10]。

3.企业文化。华为在发展历程中形成了内涵丰富、独树一帜的企业文化，本文将重点分析华为的“诚信文化”。华为并未把“诚信”作为一项硬性要求，但华为在日常业务运营中的方方面面都在践行“诚信”二字，以此规范企业和员工的道德价值观念，并达到了良好的效果。“华为云”在提供云产品和服务过程中始终坚持“三不”政策，言出必行、坚守底线，不做应用，不碰数据，不做股权投资。这也使得华为在经营过程中更能坚守本心，保持一种中立的姿态，大大提高了华为在供应商和客户面前的话语权[11]。

4.人力资源。“华为云”将数据资产安全的理念渗透到人员招聘、培训、管理的方方面面，打造一个完善的人力资源管理体系。公司定期开展网络安全意识教育普及活动，宣传员工行为准则并要求员工签署承诺书;根据员工的资历、岗位等分别举办网络安全基础培训、精准培训、实战演练、安全能力任职资格牵引;针对重点岗位实施重点管理，进行上岗背景审查、上岗资格管理、在岗赋能培训，做好员工离岗后的权限清理工作;践行安全违规问责制度，要求每个员工对自己的工作负责，既要承担技术与服务方面的责任，也要承担可能引起的法律后果。

（二）风险评估

“华为云”拥有一支专门的安全审计队伍，每年至少对“华为云”的安全运营开展一次审计活动，以识别和评估“华为云”在数据资产安全方面可能存在的风险，并直接将结果向公司董事会和管理层通报。此外，在具体业务层面，“华为云”已经建立了成熟的漏洞管理机制，能够有效地感知和对外披露漏洞，及时响应并防范漏洞可能造成的数据泄露、侵犯隐私的风险。

（三）控制活动

“华为云”通过建立安全责任共担模型，明确区分在服务过程中“华为云”和租户各自应当承担的责任，在自身责任范围内建立应对机制、承担责任。在基础设施方面，“华为云”严格执行访问控制、安保措施、例行监控审计、应急响应等措施，以确保“华为云”数据中心的物理和环境安全。在具体的产品与服务方面，“华为云”针对工程研发安全和运维运营安全，分别完善了相关的内部控制机制：在工程研发方面，“华为云”通过规范设计流程、进行威胁分析、制定消减措施来确保基础设计的安全性，并通过质量门限及时评估编码质量，在服务发布前进行多轮安全测试。云平台版本、云服务上线前，还要进行上线安全审批，中低风险的云服务自检后即可上线，而对于高风险的云服务，自检结果还要提交给华为全球网络安全与用户隐私保护官与首席法务官评审，确保即将上线的产品或服务符合安全隐私规范要求。此外，“华为云”也高度重视使用第三方软件的安全性，对其实施安全增强措施，并将识别出的与其有关的风险及时反馈给社区。在整个研发过程中，“华为云”的配置经理对所有的业务单元进行配置管理并承担责任;“华为云”同时也建立了变更委员会，对“华为云”的变更申请进行评审和授权。在运维方面，公司采用统一账号、统一接入、统一认证、统一授权，确保操作行为可以定位到个人，以便问责;通过成熟的漏洞管理机制，对运营过程中识别出的漏洞，及时响应、修复，并在规定时间内向租户披露风险与修复方案;建立专业安全事件响应团队以及对应的安全专家资源池来应对发生的云安全事件，并建立安全日志;对于业务灾难事件，强化云基础设施建设，制订灾难恢复计划、提供灾备复制，确保业务连续性和可靠性。

（四）信息与沟通

“华为云”安全团队内部的组织结构趋于扁平化，以便实现组织内部信息的快速流动，满足云服务快速持续集成、交付与部署的进度要求，形成灵活的互联互通机制。同时，由于云安全对于“华为云”的特殊性，因此云安全团队将有关信息直接向“华为云”总裁汇报。

（五）监督

1.内部监督。“华为云”对控制的内部监督主要通过内部审计进行。华为云针对业务流程中所有会对系统产生影响的用户活动、操作指令建立相应的安全日志以备审计。比如，华为数据中心对于人员和设备的进出进行了严格的控制，建立数据中心访问记录，并由内部审计人员进行不定期审计，关注可能存在的异常访问迹象。

2.外部监督。外部监督主要依靠第三方机构安全认证以及用户反馈，如果涉及向境外国家和地区提供云服务，华为云还要接受他国政府安全部门的审查监督。

目前，“华为云”已经建立了完善的用户反馈机制：发现安全漏洞的用户可以通过邮件向华为云提交发现的安全漏洞和相关的支持性材料。“华为云”服务将跟踪每一个反馈报告，并在一个工作日内向用户发送确认邮件。对于受到华为云认证的漏洞，“华为云”将及时采取修复措施并向用户披露修复进展。

五、优化内控机制，确保大数据公司数据资产安全

（一）樹立前瞻风险意识，消除数据资产安全隐患

基于企业利益角度考虑，由于目前很多大数据公司仍处于初创阶段，对于大数据资产的分析和运用仍处于摸索期，行业发展前景并不十分明晰，管理层往往将精力集中于拓展业务范围、抢占新兴市场、提高研发能力方面，这本身无可厚非，也符合企业短期的利益需求。但是，如果管理层从一开始就忽略了有关数据资产安全内部控制体系的建设，长此以往，未来企业的发展会存在诸如内部权责混乱、数据权限划分不明等更多的问题，从而使企业面临更大的道德风险和法律风险，这会为以后企业的持续发展埋下祸根。因此，管理层应当树立前瞻意识，在业务开展之初便应考虑有关数据资产安全问题的方方面面，并设计适当的内部控制系统以持续地识别、评估、应对风险，而不是等到日后发生了数据资产安全问题才采取补救措施，到那时，公司或许将背负更为严重的法律责任并遭受更大的损失。

（二）整合业务流程，构筑信息内控防线

“华为云”有关数据资产安全的内部控制体系是受其发展战略指引、基于其自身的商业模式而建立，全面贴合其业务流程的各个关键控制节点，才能达到理想的控制效果。大数据公司在构建自己的内部控制框架体系时，也应当从实际出发，有针对性地考虑整个数据生命周期中可能存在风险的节点，并设计适当的监测、评估、管理及问责系统以及时识别、评估并应对这些风险节点。大数据公司对于收集到的数据应当建立专门的数据中心用以存储，并严格限制对于这些数据的接触和使用。公司应当采取加密措施、定期检查并维护更新软件或证书版本等措施来保证信息传输过程中的安全可靠。同时，企业应当建立灵活的沟通机制，及时了解员工在工作过程中发现的安全风险，鼓励员工互相监督，并向员工及时传达有关数据资产安全技术、数据资产安全问题解决等方面的最新动态，在公司内部形成良好的互动机制。

（三）持续优化完善，保障数据平台安全

在数据基础设施方面，大数据公司应当从整体上尽快建立自身的防火墙边界以抵御外界不法分子的攻击盗用，并委任安全审计团队定期进行检查维护，及时处理并披露发现的安全问题，以保证整个网络环境的安全。对于存储在云平台上的数据，应当划清各类数据的存储界限、访问权限并严格进行区域隔离，同时采取一定的边界防护措施，以防止数据的流窜及泄露。此外，大数据公司应当加强技术方面的学习培训，保持其在技术层面的先进性，以游刃有余地面对可能存在的安全挑战。大数据公司应及时识别、科学分析与评价影响内部控制目标实现的各种不确定因素，采取有效的应对策略，构筑实时风险监控系统与实时风险防控系统，健全安全保障机制，以加密的方式实施大数据的传输与处理，制定数据资产安全保护规则与监管条例，确保遵守且不断更新，实时监测信息安全，做好等级保护、风险评估、漏洞发现等基础性工作，完善网络安全监测预警和网络安全重大事件应急处置机制，公司安全体系应达到中高级应用标准，增强防范公司数据资产安全风险的能力;建立开放的信息与沟通体制，形成及时迅捷的内外部的有效沟通渠道，设立监察员对公司内控控制进行监督检查，保障公司发展壮大，规范大数据公司的数据资产应用。

【参考文献】

[1] 冯伟.大数据时代面临的信息安全机遇和挑战[J].中国科技投资，2012（34）：49-53.

[2] 李新华.浅谈大数据时代的机遇和挑战[J].通讯世界，2013（6）：60-61.

[3] 郭斯兰，揭建成，祝利锋，等.破解大数据安全现实课题[N].浙江日报，2017-07-17（011）.

[4] 陈璐宇.大数据隐私的主动保护技术研究[J].信息与电脑（理论版），2016（2）：24-26.

[5] 刘海丽.试论高新技术企业内部控制管理中存在的问题及对策[J].财会学习，2017（15）：244-245.

[6] 杜鹃.高新技术企业内部控制存在的问题及对策[J].现代营销，2018（9）：154.

[7] 王红梅，谷强，刘胜花.大数据公司内部控制构建问题初探[J].会计之友，2018（9）：126-128.

[8] 王硕.國内最大打码网站用人工智能窃取个人信息 一起网络黑产案拷问AI犯罪责任边界[N].法治周末，2017-12-14.

[9] 华为技术有限公司.华为云安全白皮书[R].2017.

[10] 孙杰贤.全球5朵云，华为云要占其一[J].中国信息化，2017（9）：29-30.

[11] 黄海峰.对话华为轮值董事长徐直军：云服务为中国软件带来新希望[J].通信世界，2018（19）：35-36.