高 磊 赵章界 宋劲松 翟志佳 杨 芬 蒋 宋

1(北京市大数据中心 北京 100101)2(中电长城网际系统应用有限公司 北京 102209)3(太极计算机股份有限公司 北京 100102)(cynh1005@126.com)

随着大数据分析技术和存储能力的不断提升，数据的价值和活力日益凸显，数据已成为继土地、劳动力、资本、技术之后的第5大生产要素[1].数据利好政策的不断出台、数字经济的广泛兴起、数据交易所的陆续成立都预示着数据将成为未来最重要的战略资源之一，数据的采集和使用将深入到人们未来生活的方方面面.但也应当清醒地认识到，大数据时代个人隐私泄露、数据的滥用、数据伪造导致数据失真[2]等安全风险一直存在，数据安全管理体系不健全、人员的安全意识不足、网络系统缺乏自治能力[3]等问题突出，数据安全问题已成为制约数据开发利用、价值挖掘的主要瓶颈.解决数据安全问题最根本的途径就是对数据进行有针对性的安全治理.近年来，关于数据安全治理的研究持续升温，如基于网络安全策略[4]、基于量化评价和持续优化复合模型[5]、基于数据全生命周期安全和基础安全[6]、基于数据安全标识[7]、基于数据安全保护技术[8]，在金融数据[9]、科学数据[10]、跨境传输[11]等方面也有相关研究基础.本文将通过对大数据应用中的数据安全问题和数据安全治理过程中的常见误区进行梳理和分析，提出数据安全治理的新思路，明确数据安全治理的要点、原则和方法，以分类分级为切入点，给出数据安全治理技术架构，并以大数据平台为例，给出数据安全治理的应用实践，以期达到更好的参考效果.

1 数据安全治理现状

1.1 大数据应用中的数据安全问题

大数据由于其数据量大、数据源多、用户多、系统接口多、数据访问关系复杂等原因，存在诸多安全问题，集中体现在以下几点：

1) 敏感信息或个人隐私泄露.不便于对外公开的内部数据、个人敏感信息等因管理不善、技术防护能力不足、遭受网络攻击等而泄露给不相干的人或组织，或通过非正式渠道对外披露和共享.

2) 数据非授权访问或滥用.高权限标识数据或高级别数据被低权限用户或非授权接口访问获取，或数据被用于采集目的之外的用途以及将不必要的数据共享给指定对象.

3) 数据篡改或伪造.数据的完整性被破坏，数据内容或格式遭到恶意改变，失去数据原有价值，或采集或使用了虚假数据，导致系统出现异常情况.

4) 数据污染.高质量数据中混入低质量数据或垃圾数据，导致数据的分析结果大打折扣，尤其是在人工智能、机器学习、深度学习领域，数据污染甚至会产生极端分析结果，严重影响正常的科研工作.

此外，数据安全问题还与承载数据的系统、系统所处物理环境、系统安装的组件等因素有密切关系.

1.2 数据安全治理常见误区

数据如果治理不当非但不能达到数据安全使用效果，反而会引起其他棘手问题，数据安全治理常见误区如下：

1) 2个“极端”.针对数据安全的保护，要么过保护、要么欠保护，采用粗犷的安全管理模式，缺乏精细化、规范化考虑和分类分级保护意识，防护措施一刀切，不但花费时间和金钱，也增大了数据泄露、数据滥用等安全风险.

2) 抓不住重点.缺乏对数据安全治理的正确认识，摸不到线头，找不到“牛鼻子”，不能做到有的放矢，致使治理工作千头万绪，加上承载数据的系统自身存在诸多安全隐患，数据安全治理和系统漏洞整改混为一谈.

3) 技术和管理“两层皮”.制定的安全方针和策略浮于表面，脱离技术实际，未能形成管理和技术的有机整体，或者采取的技术手段“师出无名”，未能成为组织内部的规定动作.

4) 缺乏完整治理链条.未能通盘考虑数据治理工作，未能涵盖决策、管理、执行、监督、问责、改进等各个环节，缺乏长远规划和可持续性意识，安全保护浅尝辄止，致使数据安全事件频发.

明确数据安全治理的原则、要点和切入点，是摆脱数据安全治理困境的必由之路.

2 数据安全治理思路

2.1 数据安全治理原则

数据安全治理是一项长期、复杂、艰巨的工作，为确保有效执行，应当遵循以下原则：

1) 合规性原则.数据安全治理应首先考虑现有法律、法规及规章层面对数据安全保护的相关要求，即首先考虑开展数据安全治理的相关活动是否依法合规，并在此基础上进行调整和改进.

2) 经济性原则.数据安全治理虽然以确保数据安全使用为目标，但并不意味着为了安全而安全，采取的安全措施应充分考虑业务实际和安全防护收益，用最经济的方式达到较好的安全防护效果.

3) 完备性原则.数据自身以及承载数据的系统、系统用户和权限、发生的数据安全事件均具有各自的生命周期和必要环节，数据安全治理工作应涵盖全生命周期和全环节，使得治理工作形成闭环.

4) 可操作性原则.数据安全治理工作的各项活动提出的安全要求、采取的安全措施应具有较好的可操作性，不影响系统正常的业务运行，且安全要求不能浮于表面，应能有效落地.

5) 可追溯性原则.数据安全治理工作开展的各项工作能够利用技术手段或管理措施进行追溯，包括但不限于人员操作行为的追溯、数据流转情况的追溯、安全事件的追溯等.

6) 可问责性原则.明确安全责任是开展数据安全治理工作的前提，建立问责机制是确保数据安全治理工作有效执行的基础，没有问责就没有自觉性和威慑力.

2.2 数据安全治理要点

根据对大数据应用中数据安全突出问题和数据治理过程中常见误区的梳理和分析，结合数据安全治理原则，数据安全治理应从人员、数据、系统、事件4个关注要点进行展开，各要点描述如表1所示：

表1 数据安全治理要点及其描述

俗话说“三分技术、七分管理”，管理的重要性不言而喻，而管理的本质是对人的管理，只要管好人，安全工作就会事半功倍，因此在数据安全治理中人是最关键的因素；数据作为数据安全治理的主要对象，一切工作围绕数据展开，因此数据是数据安全治理工作的核心；数据需要依托于特定系统才能发挥作用，系统的安全防护是数据安全保护的基础，因此系统是数据安全治理的依托；事件是安全问题的外在表象，是驱动数据安全工作不断改进完善的外部力量，因此事件是数据安全治理工作的牵引.数据安全治理应建立“以人员为关键、以数据为核心、以系统为依托、以事件为牵引”的治理模式，综合采用相适应的安全技术和管控机制才能有效保障数据安全治理工作的顺利开展.

2.3 数据安全治理分类分级关系

根据数据安全治理原则，结合关注要点可知，采用分类分级的治理思想是摆脱治理困境的关键所在，在开展所有治理工作之前，首要工作是梳理各关注要点之间的分类分级关系.

如图1所示，数据安全治理中的人员、数据、系统和事件的关注要点均具有相应的分类分级方法：

图1 数据安全治理中的分类分级关系示例

1) 人员分为5类4级：一般用户(1级)、操作员(2级)、审计员(2级)、2级管理员(3级)、超级管理员(4级)，人员的级别体现的是访问权限的级别，级别越高权限越大；

2) 数据按照敏感属性分为4级：1级数据(不敏感)、2级数据(较敏感)、3级数据(敏感)、4级数据(高敏感)，级别越高越敏感，安全保护要求也越高；

3) 系统按照等保级别分为3级：第1级、第2级、第3级，级别越高安全保护要求越高；

4) 事件按照严重程度分为4级：4级事件、3级事件、2级事件、1级事件，级别越小事件越重大、越严重.

人员和数据之间存在访问关系；数据和系统之间存在被承载关系；系统和事件之间存在触发关系.即：根据用户角色和权限设定，结合数据敏感属性，一般用户(1级)仅能访问1级数据，操作员(2级)、审计员(2级)能够访问1,2级数据，但不能访问3级及以上数据，2级管理员(3级)能够访问1～3级数据，但不能访问4级数据，超级管理员能够访问所有级别的数据；根据安全保护要求，1～3级数据能够被第3级系统承载，但第1级系统不能承载2级及以上数据，第2级系统不能承载3级及以上数据；根据安全事件处置流程，第1级系统发生中断(或1级数据发生泄露或破坏等)能够触发4级事件、3级事件，第2级系统发生中断(或2级数据发生泄露或破坏等)能够触发3级事件、2级事件，第3级系统发生中断(或3,4级数据发生泄露或破坏等)能够触发2级事件、1级事件.

通过对数据安全治理各关注要点之间分类分级关系的梳理和分析可知，以分类分级为切入点，可以将数据安全治理各环节、各链条应当采取的技术手段和管控措施紧密关联在一起，形成有机统一的技术架构.

3 数据安全治理技术架构

根据对数据安全治理原则、要点的梳理和分析，结合数据安全治理分类分级关系，可知数据安全治理涵盖人员、数据、系统、事件等各个处理环节，各环节均具有相应的技术管控措施，具体架构如图2所示：

图2 数据安全治理技术架构

如图2所示，数据安全治理技术架构分为4个组件：

1) 人员安全管控.针对人员(用户)进行统一的认证和授权，对其可访问的系统文件、数据库表依据安全级别和敏感属性进行访问关系映射，对其操作行为(增、删、改、查等)进行审计记录，对违规操作行为(异地登录、非授权访问等)进行告警.

2) 数据全生命周期安全治理.数据全生命周期涵盖数据采集、数据传输、数据存储、数据处理、数据使用、数据销毁等各个环节，各环节应采取的技术管控措施如下:①数据采集.针对数据来源的合法性进行验证，对数据质量的合规性进行核对，对采集数据的数据项和数据项集合根据级别判定规则进行标签设置.②数据传输.在数据传输过程中确保数据不被篡改和窃取，采用https，SFTP等加密协议防止敏感信息泄露，采用摘要算法确保数据传输过程中的完整性，如存在导入导出过程，则对导入导出的数据提供者、接收者、来源、去向、数据量等进行溯源管理.③数据存储.针对敏感数据和非敏感数据进行分离存储，不同级别的数据存储在不同的分区，采用SM4等密码技术对敏感数据进行加密存储，定期对存储数据进行全/增量备份和恢复测试.④数据处理.针对数据加工等处理操作进行严格的授权，仅允许特定个人进行相关操作，在处理过程中确保敏感数据进行脱敏或去标识化处理，防止敏感信息泄露，若加工处理后的数据的敏感性发生变化，应及时进行标签重置，标记合理级别.⑤数据使用.针对数据的使用进行授权管理，仅允许符合安全级别的角色或用户进行访问和相关操作，在数据共享、开放过程中进行必要的数据脱敏处理，必要时采用隐私计算等技术对数据进行可用不可见的共享和开放.⑥数据销毁.数据不再使用应及时销毁，使用正规工具对数据及数据副本进行销毁操作，确保安全性和有效性，防止敏感信息泄露和数据复现，必要时进行物理销毁，实现数据的彻底销毁.

此外，个人信息保护(明示同意、信息处理、对外披露、信息共享等各环节安全管控)、数据分类分级(级别判定、级别标签、级别变更等)、数据溯源监测(数据资产梳理、数据接口监测、日志采集分析、异常情况告警等)3项工作贯穿数据全生命周期，环环相扣，密不可分.

3) 系统安全防护.根据网络安全等级保护要求，对系统用户进行身份鉴别和访问控制，通过开发接口管控工具等技术措施对系统外联接口进行统一管控；通过建立集中审计平台等技术措施对系统层、应用层、数据层产生的日志进行集中审计；对系统层、应用层、数据层存在的安全漏洞进行专项治理(内部测试通过后安装系统补丁).

4) 事件分析与处置.根据事件分级规则和预警机制，建立统一监测预警平台(网络流量、系统状态、访问日志、操作日志等)、统一风险管控平台(风险计分、风险展示、风险控制等)、安全态势分析平台(态势感知、安全状态展示、安全事件预测等)，3个平台可统一建设，并对监测发现的安全事件依据应急预案流程进行应急处置.

4 数据安全治理实践

本文以通用的大数据平台为例，结合本文提出的数据治理技术架构，针对人员、数据、系统、事件的关注要点采用了相应的技术管控措施.

如图3所示，大数据平台及其相关应用系统的人员(用户)访问各系统首先要经过统一认证模块的验证(通过CA验证)，验证通过可赋予相应系统的权限信息，然后才能执行相应访问及操作.大数据平台中的数据经过共享交换模块(外部数据源通过前置机推送信息)、数据治理模块(通过接口调用加解密和时间戳等安全服务)、生产库、服务库、应用系统整个链条的数据库表操作信息、数据流向信息反馈给统一溯源监测模块，并通过标签体系对数据进行分类分级标识.云平台流量信息(云服务商提供)、监控预警平台告警信息(安全服务商提供)、系统日志信息(日志分析设备提供)以及统一认证授权模块的用户登录信息、统一溯源监测模块的预警信息反馈给统一风险管控模块进行处理和分析，对人员操作行为进行稽核，对数据异常使用情况进行告警，并及时阻断违规行为.

图3 数据安全治理技术应用示例

此外，除技术措施外，还应建立人员台账、数据分类分级台账、系统台账、安全事件台账等管理手段，形成技术和管理相结合的管控机制，相关管理措施本文不再赘述.

5 结束语

在大数据应用中，数据安全治理十分必要，需要充分谋划，精准实施，如此才能达到数据安全使用的最终目的.本文通过梳理和分析大数据应用中突出的数据安全问题和数据安全治理过程中的常见误区，提出数据安全治理的新思路，给出数据安全治理的原则和要点，以分类分级为基础给出数据安全治理的技术架构，并给出大数据平台数据安全治理技术应用实践，对各行业落地实施数据安全治理工作能够起到一定的指导作用.