大数据安全能力实践

杜跃进，郑斌

阿里巴巴集团，浙江 杭州 310013

大数据安全能力实践

杜跃进，郑斌

阿里巴巴集团，浙江 杭州 310013

安全的目的是为了保障发展，如何衡量一个拥有数据的组织的数据安全保护能力是十分重要的。探讨了拥有数据的组织面临的数据安全问题及挑战，介绍了大数据环境下的数据安全发展趋势和完整的组织级数据安全能力框架，阐述了数据安全保护能力实现的路径及实践过程中可能遇到的难点。最后，以某互联网金融企业为例，分析了利用数据安全能力成熟度模型指导企业进行数据安全保护能力建设的过程和方法。

大数据；安全能力；成熟度模型；安全管理

1 引言

数据被称为新时代的“黄金”或者“石油”，正在成为企业的核心资产，成为创新的关键来源，成为国家的战略资源。数据越来越值钱，自然成为违法犯罪分子的重点关注目标。他们除了直接盗取数据进行倒卖之外，也会用全面的数据构建精准诈骗活动，甚至对用户数据进行加密，然后勒索赎金，这也成为了当今的主流攻击行为之一。在我国，以营利为目的的网络“黑灰”产业链活动从2004年底就开始了。随着网络中的应用日渐广泛和深入，犯罪分子能够攫取利益的地方也越来越多，因此团伙的人员规模也在不断膨胀。在网络“黑灰”产业链中，窃取用户数据是非常重要的一环。但是，直到2016年“徐玉玉事件”的发生才真正让我国全社会开始重视电信诈骗以及背后的数据泄露问题。随后，从各种不断披露的案例中可以发现一个现象：很多数据泄露都是通过买通内部人员来实施的，这完全不同于大家想象的“黑客范儿”。

2016年4月，欧洲议会通过了《一般数据保护条例》，并将在2018年5月25日生效。该条例对欧盟公民的隐私保护做出了极为严格的要求，违规企业可能最高被处以罚款2000万欧元或者前一年全球总年营业额的4%。《一般数据保护条例》对全球众多企业都会产生非常大的影响。经过长时间的酝酿和讨论，2016年11月7日我国发布了《中华人民共和国网络安全法》，该法律于2017年6月1日实施。个人信息和重要数据的安全是这部法律的重要内容，相关的执行细则和标准（包括个人信息如何保护、数据跨境如何评估等）也在紧锣密鼓地制定。数据安全问题受到全世界从政府到普通消费者的各种不同角度的关注，但随着对数据安全的关注度越来越高，人们似乎正在陷入另外一种风险之中，那就是“数据恐慌”。这种“数据恐慌”表现为对数据采集和使用的过度限制或者禁止，而不是通过数据保护能力的提升来改善数据安全水平。如果这种趋势不能扼制，会导致法律法规、政策标准严重制约数字经济的发展，会使广大消费者对新经济丧失信心，从而导致各种创业创新严重受挫，这对于数字经济的发展是很危险的。安全的目的是为了保障发展，在目前的大数据应用和安全的环境下，非常迫切的一项工作是衡量一个拥有数据的组织的数据安全保护能力。

2 拥有数据的组织面临的挑战

数据只有流通共享，才能促进产业间协同，优化资源配置，更好地激活生产力。可以说，大数据时代下的生产过程就是数据采集、产生、应用、流通共享的过程，这是一个以数据为中心的经济时代，以数据为中心的安全能力至关重要。

大数据环境下，各组织机构都将面临着以下的数据问题及挑战。

（1）数据无处不在

伴随着信息化的开展，各组织机构的业务被大量数据化，数据被广泛应用于组织的业务支撑、经营分析与决策、新产品研发、外部合作，数据也不再只是管理者拥有的权利，上至管理者，下至一线业务岗位，都需要使用数据。

（2）系统、组织之间数据边界模糊

组织内部的核心业务系统、内部办公系统、外部协同系统不再是竖井式的架构，数据的共享使得各系统间存在大量的数据接口，系统间呈网状结构，互为上下游，每个系统都是其他系统的一部分，同时，其他系统也是自身系统的一部分。数据的流通共享也进一步促进了组织间的协同，组织间的部分职能也互为上下游。

（3）数据关联、聚合更容易

大数据技术使得数据的采集、使用更加便利，数据的种类丰富，可被关联的数据要素大大增加，同时，运算能力的提升加大、加快了数据关联或聚合的效率和吞吐量。

（4）数据流动、处理更实时

实时数据处理技术的发展使得数据的流动和处理更加实时，在提升效率的同时，也加剧了安全的挑战。

（5）海量数据加密

组织内沉淀了大量的数据，涉敏数据量也远远超出以往的数量，传统的数据加密手段开始捉襟见肘，如何在灵活使用数据的同时，高效、安全地保护数据，也是需要解决的问题。

（6）数据的交换、交易

数据成为核心生产资料，其价值被高度重视，数据的交换、交易行为以及相关市场孕育而生，如何确保这些行为的安全，进而维护好国家、组织、个人的合法权益，是巨大的挑战。

（7）数据所有者和权利不停转换

目前行业里主流的数据相关方有数据主体、数据生产者、数据提供者、数据管理者、数据加工者、数据消费者，数据权利不停转换，而数据的所有者及相关权利的界定至今未能达成一致意见。

（8）业务的国际化

互联网化加剧了“地球村”的发展，网络虽然无国界，但是网络基础设施、网民、网络公司等实体都是有国籍的，各国虽然在网络主权的提法上各执己见，但在实践层面却无一例外对本国网络加以严厉管制，防止受到外部干涉。

3 数据安全能力框架

大数据环境下的数据安全具有五大趋势：从注重系统的防护到聚焦数据内容本身的保护、从单一组织的保障到跨组织的联动、从数据的保密到（大）数据经济秩序的保障、从技术风险+操作风险到技术风险+操作风险+商业风险+法律风险、从传统的数据技术到大数据技术。因此数据安全的能力必须充分考虑组织保障、管理政策及流程的落地、大数据治理、数据生命周期的安全、数据的风控、数据生态的安全协同六大要素。

如图1所示，数据安全能力成熟度模型（data security maturity model，DSMM）以数据生命周期为主线，聚焦数据安全相关的四大能力：组织建设、人员能力、制度流程、技术工具，对组织机构的数据安全能力进行评级，能够很好地帮助组织自身及合作伙伴评估数据安全能力，找到差距，有的放矢地提升数据安全能力，并作为数据共享的风险评判依据之一。能力成熟度等级维度组织的数据安全成熟度模型具有5个成熟度等级，分别是非正式执行（1级：随机、被动的安全过程）、计划跟踪（2级：主动、非正式的安全过程）、安全可控（3级：正式的规范的安全过程）、量化控制（4级：安全过程可控）、持续改进（5级：安全过程可调整）①。

4 实现路径与方法

（1）设立组织

为了有效保障数据安全政策的落地实施，企业应该设置专职的数据安全团队。此外，还需要设立面向全组织的数据安全委员会，委员会需要有来自业务、数据、安全、法律等领域的不同角色参与，形成专业上的互补和完整的组织视角，统筹全局的数据安全管理政策，兼顾发展与安全，推进各部门落实数据安全各项政策。数据安全是个系统工程，服务于组织的大数据战略，需要得到组织高层管理者的重视，数据安全委员会的负责人应该是组织里最高管理层里分管安全或者数据的管理者。

同时，还需要内部各相关部门的紧密配合。对于有多个业态的集团型组织，各业务的负责人应为该业态下数据安全第一责任人，与数据安全委员会、数据安全实体团队共同推动本业态下的数据安全工作。

（2）盘点现状

数据安全管理的核心是数据，需要对组织内的海量数据资产以及与数据相关的部门、业务/产品、流程、数据风险管理进行盘点。

数据资产的盘点：重点梳理数据的种类、数据量、核心的数据内容、数据来源以及数据的安全分级分类情况和流转链路。

数据相关部门的盘点：与数据相关的部门往往是数据风险的高发部门，属于高敏感岗位，需要梳理全组织与数据相关的部门数量、部门内部各岗位的职责、工作流程、数据操作环境，重点关注操作风险高的环节。

数据相关业务/产品的盘点：与数据相关的业务主要是指以数据为核心生产要素的业务，这类业务高度依赖数据，是组织对外提供数据服务的业务，在产品研发、测试和对外服务的过程中都需要对数据进行梳理，需要梳理数据在业务/产品中的应用原理、交互的系统接口、相关的责任人，此过程同样重点关注高风险的环节。同时，由于对外提供的是数据服务，提供的数据内容也需要进行合格性的盘点梳理。

图1 数据安全能力成熟度模型

数据相关流程的盘点：数据相关流程指数据的采集、存储、授权、内部使用、传输、对外披露、销毁等过程，这些环节构成了数据在组织内部的主要流程，需要梳理所有线上线下的流程。

数据相关风险管理盘点：梳理数据风险的识别、风险评估及判定、风险跟踪及改进情况，包括基础性的治理，例如风险的日志数据、风险的定级机制、风险的响应机制。

（3）运用DSMM进行评估

如图2所示，DSMM包含32个安全域，涵盖组织的数据全生命周期过程，每个安全域含有相应的评估点和评估标准，由数据安全实体团队针对评估点参照评估标准进行安全能力评估。

（4）制定风险修复与短板提升计划

DSMM不但能够评估出数据安全能力，也能反映数据安全的风险，总体评估完成后，需要得到两部分的改进计划：一部分是风险修复计划，一部分是数据安全能力短板提升计划。

图2 DSMM的安全域

5 实践中的难点与挑战

在实践过程中，通常会遇到如下挑战。

（1）高层重视度不足

负责人的层级不够，难以协调；提供的资源投入有限，力度不够；仅仅作为合规需求，响应被动；缺乏前瞻性的布局，前瞻性的数据安全技术研究与投入缺乏或者不足。

（2）业务部门配合意愿度低

其他业务部门认为是安全部门的事情，主动性不强，业务要素的输入不足，导致数据安全政策不够贴近业务，既影响落地，又可能造成数据安全一刀切的局面，影响业务的发展。

（3）内部系统繁多，数据庞杂

业务的IT化促成了大量的系统产生，沉淀了大量的数据，应用系统的梳理、系统间的数据接口以及数据的盘点成为了基础治理工作的重中之重，日常实践中，基础治理工作往往得不到应有的重视，管理者往往急功近利，忽视基础治理工作的重要性。

（4）政策落地难

由于历史因素，组织里存在着大量的历史业务，大数据环境下的数据安全政策难免与现有业务流程产生冲突，冲突发生时的取舍容易导致数据安全为业务让路，造成数据安全政策落地难的局面。

（5）业务快速发展

“互联网+”或“大数据+”引发业务创新的加速，业务出现快速发展的势头，频繁迭代升级，数据安全政策及技术手段更新容易滞后。

（6）组织的关联公司多

大数据环境下，组织间的业务合作促进了数据的共享，如何安全可控地分享数据是大型组织常见的挑战。

6 案例分析：某互联网金融企业

6.1 企业概况

该企业融合“互联网+金融+汽车”，以互联网为主要渠道，为借款人与出借人实现直接借贷提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务。车贷作为该企业的核心产品，其业务模式已经具备一套标准的流程，从自建工具实现贷款的线上操作管理，到自建车辆评估和全球定位系统（global positioning system，GPS）管理系统，实现数据化分析管理。在深耕车贷细分市场的同时，开启信用贷款、汽车消费金融、供应链金融等多个领域的持续性深度探索，逐步搭建以数据为核心生产资料的产品体系，有效提升了行业竞争力。

6.2 企业数据概况

主营业务中借款人与出借人的基本数据、车辆信息、与信用相关的数据、借还款行为数据、债权数据成为了业务的核心数据，数据概况见表1。

6.3 数据安全最紧迫的问题

该企业拥有几百万借款人和几十万投资人信息，近年来安全法律法规相继出台，监管日益趋严，满足监管及合规、保护个人隐私尤为重要，同时该企业虽然部署了很多信息系统安全设备和产品，但对于数据泄露仍然十分担心。

表1 某互联网金融企业的数据概况

企业缺乏数据安全管理组织：运维团队兼职网络安全、主机安全、系统安全等工作；IT团队负责工作电脑终端管理、上网行为管理；人力资源部部分工作覆盖到人力资源安全；法务部负责合规工作，督导监察部负责各主管部门的制度落地执行、监督和违规处罚等工作；数据库管理员和各级主管承担了权限审批职责。安全团队职能分散，缺乏统一的管理和协同，没有整体负责数据安全的专职团队，数据安全工作缺乏组织持续跟进执行。

企业数据安全制度流程缺失：企业内部相关制度中有部分数据安全相关内容，数据安全策略及规范、数据分类分级规范、数据对外披露流程细则等缺乏，没有权限申请的流程，数据安全缺乏制度保障。

外部合规缺乏持续跟进：目前企业内部缺乏专职人员跟进数据安全相关法律法规，合规风险极大。

6.4 数据安全评估过程

基于数据安全能力成熟度模型的内容，考虑该企业的业务需求，以成熟度等级的2级作为一年内数据安全能力的基础目标进行评估。通过梳理数据生命周期各阶段的数据安全控制现状，整体评估数据安全能力现状，识别出在2级的要求下有待提升的数据安全领域，并给出提升相关数据安全能力的建议。

评估过程：由双方召集相关人员进行整体项目介绍，明确评估项目目标、项目时间计划、双方的职责分工和协作方式、项目沟通机制、数据安全成熟度模型、评估方法及项目交付成果等。

总体摸底：全面了解业务及业务系统、人员和组织情况，准备评估所需的相关资料，确定评估范围，制定详细评估计划，确保现场评估工作顺利开展，消除业务障碍，确保访谈时高效进行。

现场评估：一般包括人员访谈、文档审核、配置检查、工具测试和旁站式验证5种方式，并将获得的各项结果记录在检查表中，保存相关的证据。

报告输出：基于现场评估记录的检查表和相关证据，由评估人员负责编写数据安全能力成熟度评估报告，期间可能会要求业务方补充材料或证据。

结果确认：由双方人员共同确认评估结果是否符合业务方的现状，评估结果准确，内容描述无误。

6.5 改进建议

该企业拥有大量个人信息，涉及身份信息、银行卡信息、资金信息等十分敏感的数据，个人隐私保护将是其长期的工作重点，以《中华人民共和国网络安全法》和个人信息保护为切入点，成立由副总裁负责的独立的专职团队，3个月内制定出个人信息保护策略，细化个人信息在采集、存储、使用、共享、传输和销毁过程中的各种安全细则，并尽快执行。同时，不断扩展企业数据安全策略、组织和人员，逐步引入数据安全能力成熟度模型。

7 结束语

本文重点探讨了拥有数据的组织的数据安全保护能力建设和评估问题，分析了我国大数据安全面临的问题和挑战，介绍了数据安全能力成熟度模型和数据安全能力建设的实践方法及难点，并以某互联网金融企业为例，详细分析了利用数据安全能力成熟度模型指导企业进行数据安全保护能力建设的实践过程，为其他拥有数据的组织提供了一定的参考。

[1] 杜跃进. 数据安全能力将成为大数据时代的重要竞争力[J]. 中国信息安全, 2017(5): 72-75.DU Y J. Data security capability will become an important competitiveness in the era of big data[J]. China Information Security, 2017(5): 72-75.

[2] 杜跃进. 以数据为中心的安全[J]. 网络安全技术与应用, 2016(10): 10.DU Y J. Data centric security[J]. Network Security Technology & Application,2016(10): 10.

[3] 李克鹏, 梅婧婷, 郑斌, 等. 大数据安全能力成熟度模型标准研究[J]. 信息技术与标准化,2016(7): 59-61.L I K P, M E I J T, Z H E N G B, e t a l.Research on security capability maturity model standard of big data[J]. Information Technology & Standardization, 2016(7):59-61.

Security capability practice of big data

DU Yuejin, ZHENG Bin
Alibaba Group, Hangzhou 310013, China

The purpose of security is to ensure development, and it is important to measure the data security capability of an organization. The security problems and challenges of data organization were discussed. The development trend of big data and data security capability framework were introduced. The path of data security capability implementation and difficulties in the process of practice were expounded. Take an internet financial enterprise as an example, the process and method of building data security capability by using data security capability maturity model were analyzed.

big data, security capability, maturity model, security management

TP309

A

10.11959/j.issn.2096-0271.2017049

杜跃进（1972-），男，博士，阿里巴巴集团安全部技术副总裁、首席安全专家，曾担任网络安全应急技术国家工程实验室主任、国家网络信息安全技术研究所所长、国家计算机网络应急技术处理协调中心副总工程师等职务。中国网络空间安全协会副理事长，中国保密协会个人隐私保护专家委员会副主任，中国计算机学会计算机安全专业委员会常务委员，中国互联网协会网络与信息安全工作委员会副主任委员。拥有18年互联网安全经验，在我国最早开展国家级网络安全事件的监测分析和应急响应，推动了我国互联网应急体系建设与国际合作，完成多项国家级科研项目，并作为主要负责人完成了国家级互联网安全基础设施的研制。曾获得国家科技进步奖一等奖两项、新世纪百千万人才工程国家级人选、全国青年岗位能手、信息产业十大杰出青年等荣誉称号，获得国务院特殊津贴。

郑斌（1978-），男，阿里巴巴集团数据安全总监，于2011年加入阿里巴巴，2013年加入阿里巴巴数据委员会，负责组建阿里巴巴集团数据安全工作小组，该小组专注于阿里巴巴集团业务数据化和数据业务化过程中产生的数据安全风险研究与改进，推动了阿里巴巴集团内部数据安全管理能力的提升和生态圈数据共享/开放安全秩序的建立。拥有17年大型企业数据应用体系建设和数据安全管理经验，服务的客户覆盖互联网、金融、电信、能源、制造等多个行业的领先企业。近年来专注于大数据、云计算环境下的数据安全、用户隐私保护、数据跨境保护及前沿技术研究和实践。发起并主导了国家数据安全标准《大数据安全能力成熟度模型》的建设和产业落地。

2017-08-12