数据中心中的数据治理安全性评估方式
2020-05-18蔡浩淼宋俊典朱永佳
蔡浩淼 宋俊典 朱永佳
摘 要
在当今社会,数据和信息非常重要,因为它包含公司和所有业务交易信息。从管理层到普通员工,每个员工都应对数据的安全性负责。数据应视为公司资产,必须妥善管理。数据治理将指导所有员工管理数据并确保数据的安全性,缺乏意识和不良的数据治理可能导致数据泄露和业务灾难。通过实施数据治理,公司中的数据将拥有所有权和访问级别。由于访问级别受到限制,这将使数据更加安全。本研究旨在使用文献综述和深度访谈的方式评估有关数据治理的安全性。
关键词
数据治理;安全性;数据中心;文献综述;深度访谈
中图分类号: TP311.13 文献标识码: A
DOI:10.19694/j.cnki.issn2095-2457.2020.09.043
Abstract
In today's society,data and information are important because it contains information about companies and all business transactions.From management to ordinary employees,every employee is responsible for the security of data.Data should be considered company assets and must be properly managed.Data governance will guide all employees to manage data and ensure data security.Lack of awareness and poor data governance can lead to data leakage and business disaster.By implementing data governance,data in your company will have ownership and access levels. This will make data more secure due to restricted access levels.The purpose of this study is to assess the security of data governance using literature reviews and in-depth interviews.
Key Words
Data governance;Security;Data center;Literature review;In-depth interviews
0 引言
数据中心是一个存储公司数据和信息的计算机系统。除此之外,所有数据传输和网络工作流程将在数据中心内运行。如今,随着技术的进步,许多公司意识到需要为数据中心做最大程度的功能准备,以便公司能够实时地、快速地进行数据传输,此时云计算技术应运而生。根据NIST(美国国家标准与技术研究院)云的定义,云计算是“一种模型,可以方便地按需访问网络上的可配置计算资源(例如网络、服务器、存储、应用程序和服务)的共享池,这些资源可以通过小型管理工作或服务提供商快速配置和发布交互”。
根據定义本身,云计算实际上是一种类似于传统数据中心的网络模型。但是,仍然需要物理数据中心,例如建筑物、基础结构、服务器和交换机,公司可以小规模部署它。云服务提供商需要物理数据中心,云计算有很多优点,常见的优点是减少维护成本,节省扩展数据中心的需求,因为大多数操作将使用云来完成。 除此之外,如果公司要扩展其存储或网络带宽,则需要向提供商提出要求并支付服务费用,这称为按使用付费。
数据治理是使用正确的方法和工具保护数据[1]。数据治理是公司管理和保护有关业务信息,公司相关信息和机密信息的数据和信息的指南。为了确保数据和信息都被分配或有权查看,编辑和进行数据更改的人员妥善保存和管理。数据治理非常重要,公司需要将数据视为资产,因为它将决定业务的连续性。如果由于未正确保护数据而发生问题,则可能导致任何其他问题,例如数据泄露等。
数据治理的一个主要问题是非基于筒仓式的治理。信息技术中的筒仓是一种与其他系统分开工作或运行的管理系统[2]。当今,信息孤岛不是一种好的信息保存方式,因为这会导致业务发展和流程的冗余和无效。许多公司试图将数据管理从孤岛工作的旧系统更改为更加一致、高效和易于其他系统访问的新系统。但是,如果没有适当的访问方式将导致另一个问题,即安全性。使数据可以在任何地方和任何级别访问将使攻击者有机会轻松获得数据。攻击者仅攻击一个安全级别较低的系统,即可访问其他系统或级别。这需要进行数据治理,以确保每个数据都具有可以批准用于读取和编辑目的,并赋予管理人员具有特定访问级别。
不良的数据治理可能导致数据泄露[3]。一个例子是2014年12月索尼影业黑客事件,其中一个名为“和平卫士”的组织侵入了索尼影业服务器。他们删除、窃取和公开许多信息,包括未发行的电影、演员的薪水、名人的别名、史蒂夫·乔布斯的戏剧、奥巴马的种族主义、情绪低落、医疗文件和圣诞节礼物[4]。该小组删除了该公司6797台个人计算机中的3262台和1555台服务器中的837台中存储的所有内容[5]。索尼影业的首席执行官将这次攻击称为“美国历史上最严重的网络攻击”。得出结论,该事件的发生是由于缺乏数据安全性以及公司的政策实施不力所致[6]。
UBM进行的一项调查显示[7],没有受访者可以准确定义数据治理。问题之一是实施数据治理时的困难,42%的受访者回答了对数据治理的理解。报告中提到,在10个受访者的企业中,只有三分之一的组织专门成立数据治理团队。另一项研究发现表明[8],中小企业对数据治理缺乏全面了解成为导致实施数据治理失败的因素之一。一些中小型企业缺乏数据管理知识,也无法定义其数据生命周期。
在数据治理中执行力度不够可能会导致数据管理混乱[9]。当数据所有者不确定时,企业如何知道谁可以访问、谁可以对其进行更改,这可能会导致未知方的非法访问,从而可能损坏数据。
1 文献评论
数据治理是企业信息管理中的新兴趋势[10]。数据治理被认为是管理公司的所有数据和信息的最佳实践,因此,它规定了满足公司需求的所有业务价值[1][11-12]。数据治理可以满足业务需求,将数据作为对公司有价值的资产进行保护,并能够降低管理数据的成本[12]。系统地管理数据和集中式数据治理有助于提高数据的质量,并使组织能够进行有效的管理并与公司治理、IT治理和企业体系结构保持一致[1]。数据治理实践通过在风险和回报之间取得平衡来帮助企业管理数据本身的价值和成本[11]。建立政策、流程、标准和指南以确保数据可访问性、可用性、质量、一致性、安全性等非常重要[12]。
治理是对数据的数量和级别的控制,以及它能够有效管理数据本身的能力[13]。随着大数据时代的到来,应该有效的管理数据并且保持透明,以最大限度地降低公司运营和决策风险。同时,避免孤岛问题,团结业务部门,制定技术计划、政策、标准、指南,并确保每个版本的数据管理都是真实和透明的。其次,需要建设与外部行业数据的通道,打开第三方的数据接入,并保证公司内部数据与行业标准的一致性和关联性。数据治理能够通过确定流程、决策权限、角色和职责来帮助公司平稳地开展业务。
2 方法
对于本研究,将使用两种典型的方法,即广泛的文献综述法和深度的访谈法。
2.1 广泛的文献综述
文献综述是研究中要讨论的相关问题的摘要。在文献综述中还包含许多以前研究相关主题的研究人员的讨论。这是为了支持研究陈述或讨论研究中很少的问题。它还将帮助研究人员进一步讨论与研究项目相关的问题和解决方案。
对该研究进行了广泛的查阅文献,以提供与云数据中心中的数据治理安全问题有关的信息,尤其是在数据安全方面。可以使研究人员了解未进行数据治理所产生的问题,使用大量的文献综述将有助于研究人员与可用的数据治理安全指南进行比较,并给出合适的指南。这种方法可以研究其他方法的优缺点,以便在自己的研究中采用或改进它们。
从查阅文献中,收集的信息有:
●云数据中心的安全问题。
●建议解決问题的方法。
●已制定的可用数据治理安全准则。
2.2 深度访谈
深度访谈是适合用于定性研究的许多方法之一。深度访谈是指与受访者进行广泛访谈以从他们那里获取数据的过程。正常访谈可以通过向受访者提问几个问题来获得信息,但是,深入访谈需要与参与者进行广泛的交流,以获取信息以及他们的详细解释。
使用深度访谈作为数据收集方法的好处是访谈者可以从参与者那里获得直接信息。如果有任何需要进一步解释的问题,他们可以直接询问参与者。采访者可以监视参与者是否真的知道所问问题的信息。当访谈单独举行时,与会人员可以随意发表评论或以自己的方式进行解释,而不必担心信息是否会给其他与会人员带来伤害。
因此,在这项研究中,选择参与者有特定的标准。选择参与者的抽样方法称为专家抽样,这项研究涉及数据收集的两个阶段,其中第一阶段是采访高等教育机构,因为它与案例研究相关。第二阶段是工业,这是为了从行业角度获得实施安全准则的反馈。
1)受访者
受访者是根据专家抽样选择的。受访者应该是直接管理和维护云系统的人员或技术人员,他们知道系统中发生的情况以及如何应对系统中存在的威胁。
2)问题指南
将使用视频记录器或语音记录器记录会话,以确保不会丢失所有重要和相关数据。问题要事先准备,但随着会议的进行和更多问题的出现,相关的问题将在访谈过程中提出。
对于本研究,将要问的问题类型是开放式问题。这将为受访者提供更多机会,以更多地解释与云数据中心数据治理安全相关的问题。它将为研究人员设计数据治理提供更多思路。提出的问题与组织中提供的当前服务以及已实施的当前数据治理有关。总体而言,如果需要受访者提供任何其他信息,将收集多个问题来收集数据,并在会议中提出更多问题。问题的例子有:
●什么是数据访问标准和程序
●如何持续进行风险评估
●如何传播安全意识和教育
3 结论
通过文献综述和深度访谈得出,缺乏对数据安全的认识和不良的数据治理实施,会导致企业发生灾难性错误,造成财务损失和业务灾难。开发数据治理将使公司全体员工共同负责保护公司的数据和信息,利用大数据治理来提升竞争力是未来所有企业都要面临的问题。大数据的作用将不再是目前数据的产生、存储、管理、分析、利用,它将在一种新的处理模式下做出决策并洞察未来发展趋势。大数据治理对企业管理问题的影响不仅是企业管理的技术问题,还是一种管理决策的方式。面对诸多挑战,企业必须意识到大数据治理对企业管理的重要性,顺应时代做出改变。
参考文献
[1]C.I.Forum,“Data governance in the cloud.”
[2]V.Beal,“Information Silo,”2017.[Online].Available:http://www.webopedia.com/ TERM/I/information_silo.html.[Accessed:06-Oct-2017].
[3]R.A.Wahid and P.D.D.N.B.Idris,“Factors Influencing Data Governance Imple mentation in a Private University College:A Descriptive Analysis.”
[4]E.Betters,“Sony Pictures hack:Heres everything we know about the massive attack so far,”Pocket Lint,2015.[Online].Available: http://www.pocket-lint.com/news/13 1937-sonypictures-hack-here-s-everything-we-know-about-the-massiveattack -so-far. [Accessed: 05-Oct-2017].
[5]P.Elkind,“Inside the Hack of the Century,”Fortune.com, pp.66,89,2015.
[6]A.Borgschulte,“the Risks of Improper Data Governance,”Gimmal,2016.[Online]. Available:http://blog.gimmal.com/2016/03/22/the-risks-of-improper-datagoverna nce.
[7]UBM,“The state of data quality,”2018.
[8]C.Begg and T.Caira,“Exploring the SME Quandary:Data.Governance in Practise in the Small to Medium-Sized Enterprise Sector,”Electron.J.Inf.Syst.Eval.,vol.15,no.1, pp.3,13,2012.
[9]S.Frazier,“Is Poor Data Governance Putting Your Digital Transformation at Risk? -Blazent,”2017.[Online].Available:http://www.blazent.com/poor-data-governance -putting- digitaltransformation-risk/. [Accessed: 29-Jun-2018].
[10]L.L.K.Cheong and V.Chang,“The need for data governance: a case study,”Pap. Present.18th Australas.Conf.Inf.Syst.Toowoomba,Aust.,vol.18,no.2005,pp.999,1008, 2007.
[11]P.P.Tallon,“Corporate governance of big data:Perspectives on value,risk,and cost,”Computer (Long.Beach.Calif).,vol.46,no.6,pp.32,38,2013.
[12]S.Pande,“The Theoretical Framework for Corporate Governance,”Indian J.Corp. Gov.,vol.7,no.1,pp.56,72,2014.
[13]Z.Panian,“Some Practical Experiences in Data Governance,”World Acad.Sci.Eng.Technol.,pp.939,946,2010.