吴继英，张一凡，熊书明

（1.江苏大学财经学院；2.江苏大学计算机科学与通信工程学院，江苏镇江 212013）

党的十九届五中全会提出要加快数字化发展、坚定不移地建设数字中国，习近平总书记更是多次做出重要指示，强调要推进大数据同实体经济深度融合，做大做强数字经济。大数据作为数字经济时代的新引擎，在企业发展过程中发挥着重要作用，但企业间技术和管理水平参差不齐，使得企业大数据面临诸多安全挑战，比如数据易受攻击、企业信息或用户隐私泄露等问题，严重破坏了数字经济的发展环境。2020 年9 月8 日，我国在“抓住数字机遇，共谋合作发展”国际研讨会高级别会议上提出《全球数据安全倡议》，呼吁全球信息技术企业支持该倡议、保护数据安全。维护企业大数据安全是保障企业与用户共同利益的有效手段，通过开展科学系统的安全评价，动态监测企业大数据安全现状、及时发现数据安全隐患并加以改善，针对性提高企业大数据安全。但目前我国尚未形成系统、通用的数据安全评估体系［1］，亟需开展数据安全评价指标研究［2］。本文根据企业大数据安全特征，试图探索SHEL（Software-Hardware-Environment-Live，软件-硬件-环境-人）模型在指标体系构建方面的应用，据此构建我国企业大数据安全评价指标体系，为企业展开大数据安全管理与评价提供技术框架，为学者进行大数据安全评价研究提供相关参考。

1 文献综述

大数据时代各国政府均十分重视数据安全管理，出台的相关文件已成为各行业制定数据安全规范的主要参考标准。美国国家标准与技术研究院（National Institute of Standards and Technology，简称NIST）制定了《NIST 大数据互操作性框架》，从定义、操作、安全及隐私等方面探讨数据安全控制管理的具体内容［3］。我国为加速推进大数据安全标准研究与管理，国家信息安全标准化技术委员会相继发布了《大数据安全标准化白皮书》2017、2018 版，2019 年制定的《信息安全技术 大数据安全管理指南》（GB/T 37973—2019）从大数据安全需求、大数据安全要求、大数据安全风险等角度勾画我国大数据安全管理整体轮廓，以供各类组织展开数据安全管理或评估参考［4］。

近年来，大数据安全问题在学术界也引发了大量的思考和讨论。胡坤等［5］认为互联网、电信、金融、医疗、政府等不同行业组织均有不同程度的大数据安全需求，主要涉及数据保密、隐私保护、数据的产生、存储和分析等系列安全问题。唐彬等［6］指出金融业存在的大数据安全问题为隐私泄露风险过大、防御技术不当以及平台安全防护欠缺，解决这些大数据安全问题可以通过数据安全防范技术、数据分析技术、隐私保护技术等技术策略［7］。鉴于企业的市场主体作用，众多学者围绕企业大数据应用及安全问题展开研究，指出数据管理是企业、行业或政府成功的关键［8］。Rehman 等［9］认为大数据是企业创造价值的重要工具，也是实现企业可持续发展的重要因素，可通过保护客户数据安全、数据安全共享等方式加强企业和顾客之间的信任。此外，大数据对企业的战略决策、运营管理及商业模式也都产生巨大影响［10］。Tallon［11］提出大数据时代企业需要进行大数据管理，具体指大数据风险管理、价值管理及成本管理。刘勖钊［12］更进一步表明安全技术策略只是解决企业大数据安全问题的基础，为发挥技术策略的最大效益，企业需要制定相应的大数据安全管理策略。综合上述观点，保护企业大数据安全须是安全技术与安全管理双管齐下、相得益彰。

建立管理体系是企业战略管理的核心方法，为建立健全大数据时代企业信息安全管理体系，可在云平台基础上，从物理安全管理、接入安全管理、应用安全管理或是基于数据安全管理、身份安全管理、人员安全管理等角度构建企业信息安全管理体系［12-13］，其中数据管理安全、网络系统安全普遍被纳入管理体系范围。王欣亮等［14］基于精准治理理念，从治理主体、数据流程、危害处置、动态保障4 个方面建立精准定位、精准防范、精准识别且精准提升的大数据安全治理体系，虽然这些学者没有直接构建指标体系，但实际也为指标体系的搭建确定了基本框架。由于大数据系统在数据结构、框架结构等方面与传统信息体系存在差异，因此构建通用的大数据安全评价指标体系，需要充分考虑大数据安全特性，从动态、静态和状态类指标进行构建［15］，根据大数据安全保障的层次，可以建立包含建设情况、运行能力、安全态势指标的大数据安全评价指标体系［16］。但是现有安全管理体系通常是数据安全管理范围的归纳综合［12-13］，指标体系中也未明确指出各指标的具体使用方法［15-16］，通常难以准确反映现实状况，进而达不到预期管理效果。

综上所述，学者们从各自学科角度出发围绕大数据安全展开了丰富的研究，但针对大数据安全评价框架的研究还处于探索阶段，企业大数据安全评价指标方面的研究成果仍然较少，且指标大多是难以度量的定性指标［17］，指标含义不够明晰，可操作性不强。鉴于此，本文在明确大数据安全内涵的基础上，从技术层、管理层和应用层分析企业大数据安全要素，运用SHEL 模型并参考《信息安全技术 大数据安全管理指南》（GB/T 37973—2019）从大数据基础安全、管理安全、应用安全维度建立“三维一体”的企业大数据安全评价指标体系，重点阐述指标含义。研究成果对于科学评价企业大数据安全状况、加强企业大数据管理、推进大数据应用具有重要意义，也为进一步构建企业大数据安全实时监测体系奠定有价值的基础。

2 大数据安全内涵及要素

2.1 大数据安全内涵

《大数据白皮书（2014）》指出“大数据是具有体量大、结构多样、时效性强等特征的数据，是新资源、新工具和新应用的综合体”。从新资源角度看，大数据是一种新型资源，与国家管理、经济发展以及人们的生活息息相关；新工具是指大数据处理需要新型计算技术和智能算法；新应用强调以大数据驱动创新、辅助决策、发现知识、优化业务等［18］。“安全”一词被广泛用于生活、生产等各个方面，吴超等［19］根据安全的外延概念认为安全应以人为核心，指人在进行某项活动时，其身心免受外界危害的状态。叶晓俊等［2］指出大数据安全中安全一词可有两层解释，一是作为名词，安全是指大数据具有可用性、完整性和保密性；二是作为形容词，安全是指大数据应用的整个动态过程中不会遭受外界侵略而造成损失。大数据安全涉及计算机技术、互联网技术、通讯技术、密码学以及管理学等众多学科门类，所以大数据安全的界定比较模糊，暂未形成统一定义。本文研究的大数据安全是指在各类技术支持下，使数据系统、平台、业务等不受外界侵害、免受内界干扰，充分保护大数据完整性、保密性及共享性，与此同时保证人们在参与数据活动时身、心、财产不受危害，实现数据为人服务的价值。

2.2 企业大数据安全要素

数据安全贯穿数据采集、存储、处理、分析、销毁整个数据生命周期，为深入了解企业大数据安全，结合大数据安全内涵及大数据特征，企业大数据安全涉及的要素可归纳为大数据技术、大数据管理和大数据应用3 个维度，具体见图1。技术与管理是大数据安全体系内相辅相成的有机组成部分［13］，因此在企业大数据安全建设中，以大数据技术为基础策略［12］，大数据管理为机制屏障，大数据应用为终极目标，三维要素紧密关联、相互支撑。

图1 企业大数据安全三维要素

2.2.1 大数据技术安全

近几年大数据飞速发展，新型数据基础设施不断涌现，包括数据开放平台、数据中心、云计算、物联网、智能终端和APP 应用等，这些设施主要与计算机应用及网络技术密切相关，是企业发展大数据应用的基础。从大数据特征角度考虑，首先企业数据来源甚广，个人信息数据通过各类渠道被企业获取，如全球定位系统、浏览器搜索、APP 使用权限等，企业应具备基础的数据安全采集技术；其次数据关联甚广，数据之间关联性较强，通过将匿名化数据集与公共数据库进行关联能够推断个人身份，数据安全风险较高，因此隐私保护技术也是大数据基础安全技术。另外与传统结构化数据不同，大数据多为非结构化数据，例如图片、音频、视频等数据资料，数据安全存储技术需要提高；同时相较于传统数据时代的静态集中处理方式，大数据的高时效性给数据处理带来了更高的挑战，数据处理方法需要变革以实现大数据实时动态处理分析。

2.2.2 大数据管理安全

大数据给企业带来丰富利益的同时也带来诸多安全管理挑战。目前多数大中型企业已展开大数据应用，常通过技术措施保护大数据安全，较容易忽视企业管理策略，也未形成行业统一的安全管理规范，这也是企业大数据容易受到攻击的主要原因。而企业管理不规范常导致以下数据问题：一是数据丢失、被窃取，现阶段企业数据安全隐患中因内部员工的疏忽造成数据丢失是较为严重的问题，调查显示近30%的数据非法窃取、安全威胁来自内部数据管理不当；二是数据资源浪费，各企业数据资源主要分布在大数据团队的各个部门内，若企业缺乏系统的数据管理规划，数据资源不能充分整合共享，便会形成数据壁垒引发数据孤岛效应，数据潜在价值得不到充分的挖掘和利用，导致数据资产闲置。

2.2.3 大数据应用安全

不同行业对大数据的应用方式各有不同，一般而言企业运营大数据主要有以下目的：（1）以客户为中心，展开用户行为分析、需求分析以此了解已有客户、定位潜在客户，从而挖掘企业商机。（2）以业务为中心，分析海量数据探索事物发展规律并进行发展预测，根据预测结果进行业务规划、制定企业决策。（3）以管理为中心，企业管理层可以通过数据平台实时掌握企业业绩，也可以通过大数据系统优化工作流程［20］，保证工作高效性。无论何种用途，大数据应用最重要的是通过数据挖掘或文本分析技术从数据中挖取有用的数据信息为企业所用，数据挖掘是对数据进行深入分析，例如构建预测模型，首先需要从企业数据库中选择数据子集进行数据分析，然后建立预测模型，最后将预测模型部署于数据库中，当新数据到达时便可快速应用，但数据的移动或数据挖掘引擎的性能原因可能会引发关键数据丢失、隐私数据泄露等安全问题，因此未来数据分析的趋势是“In-database analytics”（数据库分析），将数据挖掘功能集成到数据库中［8］。对企业来说，从原始数据到数据处理、挖掘与应用的整个过程中，企业需要具备相对完善的技术支持及资金支撑，加强客户数据和业务数据的保护力度，以此提高大数据安全应用能力。

3 企业大数据安全评价指标体系设计

指标体系是综合评价研究的重要工具，指标体系构建是通过系统把握研究内容、灵活运用科学理论，将所研究的问题概念化—概念指标化，并提出科学合理的指标权重。基于前文企业大数据安全要素的分析，相较于指标体系构建常用的PSR“压力—状态—响应”模型或是企业管理中的“六西格玛”理论，企业大数据安全评价指标体系更适合采用以“人”为核心的SHEL 模型。

3.1 SHEL 模型简介与应用

SHEL 模型最初由英国学者Edwards 教授提出，以人为核心探讨“人”在安全事件中的作用，广泛用于航空安全领域的研究。模型名称由Software（软件）、Hardware（硬件）、Environment（环境）以及 Liveware（人件）的首字母组成［21］，形成模型的4 个界面：人—软件、人—硬件、人—环境、人—人件，见图2。

图2 SHEL 模型

人—软件（L-S）：人与工作中各类支持系统之间的关系，如各类平台系统、程序文件等。人—硬件（L-H）：人与工作中物理设备之间的关系，通常指各种操作设备、通讯设施、工具与机械。人—环境（L-E）：人与工作中环境之间的关系，主要包括自然环境、文化环境、管理制度、经济环境等。人—人件（L-L）：在工作中人与人之间的关系，如团队成员之间的团结合作、交接协调等［22］。

基于企业大数据技术安全、管理安全、应用安全3 个要素，认为企业大数据安全通常需要建立在硬件设施安全、软件系统安全、工作环境安全、人为安全的基础上。据权威调查显示，高于70%的企业信息安全威胁来自企业内部的管理者或员工［12］，人为疏忽或泄露是最大的安全隐患，同时企业数据的安全防护与管理更是离不开人的作用，“人”成为企业大数据安全建设的关键。因此，基于SHEL模型将企业大数据安全评价指标初步锁定在人—软件、人—硬件、人—环境、人—人件4 个方面。表1 中，在“人—软件”界面，企业大数据平台容纳各种用途的系统软件，为保证大数据安全需要使软件使用安全、系统配置合理，还需要掌握系统的安全技术，因此在人与软件界面应充分考虑人对系统平台的管理、技术的掌握。“人—硬件”界面中，计算机相关设备、网络通信线路是企业大数据安全最基础的硬件设施，是人在大数据安全工作中较为依赖的设备，硬件设施的缺陷对数据安全工作会产生一定的影响。企业大数据安全的“人—环境”界面具体包括企业周边的工作环境、内部的数据安全文化意识以及企业自身的财力状况等，这些是影响企业大数据安全和员工行为比较重要的环境因素，例如，企业缺乏良好的数据安全文化环境，导致员工的安全意识薄弱，使其不能从根源上意识到数据安全对企业发展的价值性、风险问题的危害性，又或是企业缺乏规范有效的安全管理，均会直接引发各类数据安全问题。在“人—人件”界面，专业的大数据团队是企业大数据安全的主力军，团队内部的人员流动速率，团队成员的任务交接、合作交流以及员工职责的合理分配是人与人界面的核心。

表1 企业大数据安全的SHEL 模型界面和因素

3.2 指标体系总体框架

在企业大数据安全建设中，借助科学完整的安全体系指导，才能使企业技术策略、管理策略和设备材料等发挥各自真正效力。基于表1 中SHEL 模型4 个界面的具体因素，遵循科学性、可操作性等原则遴选企业大数据安全评价指标，将“人—软件”、“人—硬件”界面的具体因素归为大数据基础安全指标，根据“人—环境”、“人—人件”界面遴选企业管理、人员流动速率等指标并归纳为大数据管理安全指标；考虑到“人”这一因素在企业大数据安全建设的核心地位，充分识别无心泄露、故意泄露或恶意攻击等人员行为造成的数据泄露风险，以《信息安全技术 大数据安全管理指南》（GB/T 37973—2019）为参考［4］，遵循系统性、完整性等原则遴选大数据应用安全维度的指标。由此从大数据基础安全、管理安全和应用安全3 个维度，系统评价企业大数据安全建设过程中硬件设施的完备性、安全管理的有效性、应用过程中数据隐私的保护强度，最终构建了一套由3 个一级指标、8 个二级指标和24 个三级指标组成的“三维一体”企业大数据安全评价指标体系，总体框架见图3。

图3 “三维一体”的企业大数据安全评价指标体系总体框架

为能客观、准确评价企业大数据安全保护状况，评价指标应具有较强的代表性与现实可操作性，因此邀请包括高校企业管理、信息安全、统计学等相关领域专家以及企业相关人员，运用德尔菲法就指标合理性及权重进行函询讨论，并对指标进行科学定义。根据指标定义，部分指标可直接获得量化数值，例如基础网络运行安全（A22）根据国家互联网应急中心的网络安全指标进行评价获得安全指数，数据人员流动速率（B13）选用较为合理且引用较多的参考公式直接计算指标数值。其他指标如数据销毁（B25）、数据匿名化程度（C21）可根据定义参考李克特量表对指标分级打分赋值，使大数据安全评价指标量化过程科学、可操作。综合专家意见并考虑到3 个一级指标对于评估企业大数据安全几乎同等重要，对一级指标进行了等权设置，二、三级指标权重见表2，其中三级指标的设计相对灵活，企业可以针对自身发展实际和评价目的，对三级评价指标进行删减或补充。

3.3 指标体系内容

3.3.1 大数据基础安全指标

一级指标大数据基础安全（A）主要通过企业人力财力保障、物理安全和逻辑安全3 个二级指标体现，三级指标详见下表2。

表2 “三维一体”的企业大数据安全评价指标体系

（1）人力财力保障指标（A1）。具体指大数据资金投入指标（A11）和大数据建设人员比重指标（A12）。大数据资金投入包括企业大数据平台建设费用、新技术引进费用、网络安全维护费用、大数据工作人员工资等方面，A11 从资金投入角度反映企业对大数据建设的重视程度，资金状况是区分企业能否采用大数据新技术、展开大数据创新的重要因素［23］。A12 是大数据团队工作人员占企业总人数的比重，从人员配置的角度反映大数据建设人力资源状况，数据团队工作人员包括数据工程师、数据处理技术人员、数据管理人员等。

（2）物理安全指标（A2）。该指标度量企业大数据的物理安全（Safety），也即大数据相关的设备在物理上是否有损坏，是企业数据保护的基础。主要从环境建设安全（A21）、基础网络运行安全（A22）、大数据系统平台安全（A23）3 个角度进行评价，也是信息管理学科数据保护的基本管理范围。其中A21 通过物理环境状况评价大数据安全，具体指通过对数据进行物理保护使企业的硬件设施、通信线路、场地环境等不受自然灾害影响、不受人为故意破坏，是所有安全保护的基础。指标A22 可以通过网络安全指数进行量化，网络安全指数是各国考核网络环境安全状况的常用指标，安全指数越高表明基础网络运行环境越安全［24］，企业网络运行安全主要通过防火墙、入侵检测、容忍入侵检测展开网络防御保护，使企业IP 网络安全、域名系统安全、网络无漏洞。大数据平台是各类系统和程序的运行支撑，指标A23 可以反映企业大数据系统运行状况，为避免企业业务被干扰或阻断，数据管理员可以使用软件定期进行大数据系统扫描，发现系统漏洞或病毒及时修补查杀，企业也可以给应用平台建立相应的日志系统，保障数据平台安全。

（3）逻辑安全指标（A3）。数据科学理论强调技术辅助数据发展，技术是数据安全保护的核心，该指标评价企业大数据逻辑安全（Security），也即企业是否掌握相应技术以保证大数据在采集、传输、存储和处理等过程中安全可控，避免出现未经许可、未经授权的访问行为。其中，指标A31 用来判断企业是否能够以多种方式、不同技术安全、准确、完整地获取数据，企业可以借助API、数据爬虫技术从网络采集数据，也可通过服务器日志、传感器、监控或二维码等服务器设施进行数据收集［25］，但在此过程中攻击方可能通过ID 克隆攻击篡改数据或伪造数据等方式扰乱数据采集。A32 反映企业数据存储安全能力，大数据体量巨大且类型多样，在存储时不同类型数据选择恰当的存储方式是确保大数据存储安全的关键，如非结构化数据存储适用分布式文件系统、无模式半结构化数据常存储于NOSQL数据库、结构化数据常保存在分布式并行数据库系统，云存储也成为现有大数据存储的重点发展方向。若大数据不能安全传输共享便无法实现数据的整合与增值，但在数据传输过程中数据可能会被攻击方破坏、拦截甚至泄露［26］，因此数据传输共享技术（A33）也是企业大数据安全中至关重要的一部分，可以在网络层、传输层及链路层采用网络传输加密技术或使用安全传输层协议确保数据传输安全［1］。除此之外，数据处理分析技术（A34）作为大数据核心技术，从数据处理能力反映企业大数据安全运行状况，如何通过技术处理从海量数据中挖掘有价值的信息为企业所用，是企业展开大数据应用的价值体现，常见的数据处理分析技术有可视化分析、数据挖掘、预测分析等［27］。

3.3.2 大数据管理安全指标

大数据建设的安全运行离不开完善的企业管理，是企业大数据安全保护较为核心的一环。大数据管理安全（B）具体从企业人员管理、企业数据管理以及企业风险管理3 个管理角度进行评价。

（1）企业人员管理指标（B1）。大多数企业信息安全事件由内部人员而非外部攻击者造成，企业内部因素引发的信息安全威胁连锁效应比外部因素的安全威胁影响更为严重［29］，接触企业数据信息机密的高层管理人员及数据工作人员均是信息泄露的高危人群［12］，因此将B1 作为大数据管理安全的第一个指标。首先企业大数据员工的职责分配必须合理明确，B11 反映了企业各部门及员工数据管理范围及权限的明确程度，在企业内从管理层到职员层都应在职责范围内做好数据安全工作，上层制定管理下层依责执行，确保企业数据安全管理执行效率。B12 指标评价企业员工的数据安全意识，现代战略管理理论的高阶理论指出，在企业数字化转型中高层管理者的贡献发挥着不可替代的作用，高层管理者必须在企业信息化进程中提供相关支持［30］，先前较多研究已经表明企业可以通过安全意识培训，提高员工的安全意识以此减少企业信息安全威胁［31］，所以B12 从企业管理层对员工安全意识培养的支持程度体现，企业可以建立数据安全培训体系，定期邀请大数据专家进行数据技术或数据安全培训，提升员工的职业素养及数据安全威胁的识别能力，逐渐培养员工的数据安全意识，使员工充分认识自己在企业大数据安全建设中的重要性。B13 从企业数据员工流动速率考查数据泄露风险，若大数据团队人员流动较快，企业相关数据信息可能会被离职员工带走，增加泄露风险，新进员工需要熟悉工作流程和工作方法，不利于数据安全工作接管，因此在员工流动较大时，企业要不断加强内部监管，按照数据管理流程做好身份验证、访问限制、数据审计等工作，从企业内部杜绝数据泄露行为。

（2）企业数据管理指标（B2）。企业数据管理首先需要完善的数据管理政策，制定数据管理机制并真正落实实施，指标B21 衡量企业数据管理基础。数据备份管理能够有效弥补因计算机系统崩溃或网络故障造成的数据丢失问题，防范于未然。同时，做好访问记录及记录监控便于在发生数据泄露问题辅助找到问题源头，指标B22 和B23 都从容灾基础反映企业大数据安全管理能力。企业数据信息包括用户身份信息、业务信息、合作信息以及企业核心机密，数据涉及广泛、信息类型繁多，分类分级便于数据管理，指标B24 评价数据安全管理的便捷度。数据销毁（B25）反映了企业是否具有完善的数据删除机制，数据销毁需要遵守审计原则，建立销毁策略，保证数据销毁全程详细记录：包括操作人员、销毁时间、销毁方式以及销毁内容，同时确保数据安全销毁而不是简单的删除处理，避免攻击方通过技术处理使数据复原。

（3）数据风险管理指标（B3）。早在20世纪中期，学术界便对风险管理进行系统研究，并将其纳入企业管理的范畴［32］，大数据安全的影响因素较多且数据管理的参与主体较广，即便企业拥有系统完整的管理机制和技术手段，仍难以精准预测或阻止突发数据安全问题，所以指标B3 侧重于体现企业数据风险管理情况。风险监测检查指标（B31）衡量数据安全基础检查措施完善程度，通过日常监测工作查看数据安全管理措施是否合理有效、是否需要更改，也可以开展大数据系统平台监测、大数据隐私保护评估、网络实时安全监测等检查，并记录检查结果，及时发现隐患及时进行加固。指标B32 评价企业风险预警机制完备性，针对可能发生的大数据安全问题，评估各类风险发生概率以及可能造成的损失，并制定相应的弥补措施形成一套完整的风险预警机制，有效应对突发状况，降低企业数据安全风险。

3.3.3 大数据应用安全指标

大数据应用是将数据提取为具有价值性信息的过程，包括处理分析、挖掘预测等环节，常用的基础数据多为业务数据和客户数据，一旦泄露危害性极高，企业需要充分做好数据隐私保护工作。鉴于此，从数据脱敏（C1）和隐私保护程度（C2）两方面衡量企业大数据应用安全（C），具体评价应用过程中的隐私保护状况。

（1）数据脱敏保护（C1）。数据脱敏处理是对数据信息进行模糊化处理，避免信息泄露。常用的据脱敏方式有数据替换、数据加密、数据偏移等方法［1］，其中数据加密使用较为广泛，脱敏方法多样性指标（C11）从企业掌握数据脱敏方法的数量评价企业数据脱敏保护能力。另外，等级保护也是一种有效的数据保护技术，企业每天产生的不同类型数据具有不同价值意义，根据保护对象按不同级别分类并进行等级脱敏保护，能够有效降低保护成本、保护核心数据，指标C12 体现了企业数据脱敏管理责任度。

（2）隐私保护程度（C2）。指标C21 用来评价由匿名化数据推测出原始数据的难易程度，为避免企业敏感信息恶意泄露或者个人数据被盗取使用，企业会对数据进行匿名化处理，数据匿名化程度越高，用户数据信息和企业内部信息越不容易被泄露。数据泄露风险度（C22）反映出特定数据信息与个人关联的风险度，可以用从处理后的数据集发现敏感信息的百分比表示［7］，数据泄露风险度越高，企业的隐私保护程度越低，若个人信息、商业机密或企业内部数据因保护不当被泄露，不仅会对客户造成危害，还会对企业造成不可估量损失，严重影响企业大数据安全建设。指标C23 用来衡量企业数据不被随意访问的程度，企业数据管理平台可采用数据访问身份验证、粗粒度访问控制、细粒度数据授权、属性基等多种访问限制，或引用合适的访问控制引擎或借助第三方数据加固安全组件［2］，保证数据管理平台不被轻易进入、随意访问。

4 总结

数字经济时代国家和企业都十分重视数据安全问题，企业大数据安全是一个复杂、动态的系统，也是一项极具挑战性的任务。建立大数据安全评价指标体系有助于企业集团及社会大众系统了解企业数据安全评价方向、为企业数据安全防御提供理论参考。首先在文献梳理的基础上界定大数据安全内涵，明确企业大数据安全的要素包括技术安全、管理安全及应用安全。本文的主要贡献在于拓展了SHEL 模型在指标体系构建领域的应用，基于该模型将企业大数据安全评价指标的选择范围初步控制在人—软件、人—硬件、人—环境、人—人件4 个界面，强调了“人”的因素在企业大数据安全建设中的作用。进一步参考《信息安全技术 大数据安全管理指南》（GB/T 37973—2019）及现有研究成果，最终从大数据基础安全、管理安全、应用安全3 个维度构建“三维一体”的企业大数据安全评价指标体系，详细论述每个指标的定义并运用德尔菲法确定指标权重，增强了指标体系的现实可操作性。具体包括3 个一级指标、8 个二级指标和24 个三级指标，没有局限于物理环境安全、网络环境安全、数据加密等传统数据安全指标，还针对大数据特征设置了存储安全技术、处理分析技术等评价指标，考虑到企业大数据中受到密切关注的个人隐私设置了隐私保护程度指标，从用户角度体现评价企业大数据安全的价值与意义。

随着科学研究的不断深入，大数据安全保护措施不断更新，大数据安全评价指标也不断开阔与丰富，本文构建的企业大数据安全评价指标体系，是对目前企业大数据安全评价的重要探索，能够为企业信息安全及大数据安全领域的相关研究提供有价值的参考。