數(shù)據(jù)安全治理的幾個基本問題

1 引言

數(shù)據(jù)安全如今在全球受到極大的關(guān)注，大家都在討論這個話題。但對于什么是數(shù)據(jù)安全、該如何做數(shù)據(jù)安全等基本問題，大家還存在很多混亂甚至誤解。本文圍繞與當(dāng)前數(shù)據(jù)安全相關(guān)的一些基本概念進行探討。

2 為何強調(diào)“數(shù)據(jù)安全”，而非“大數(shù)據(jù)安全”

很多人在討論大數(shù)據(jù)安全這個話題的時候，會糾結(jié)于“這是不是大數(shù)據(jù)”或者“這是不是大數(shù)據(jù)系統(tǒng)”。這會讓人們忽略現(xiàn)在面臨的真正問題：在數(shù)據(jù)無處不在、無處不用的情況下，如何保證數(shù)據(jù)安全。如果用大數(shù)據(jù)的定義限定大數(shù)據(jù)安全的范圍，而忽略非大數(shù)據(jù)系統(tǒng)更加容易成為壞人得手的重災(zāi)區(qū)這一現(xiàn)實，那么就不會讓數(shù)據(jù)安全的現(xiàn)狀有任何改善。例如讓全社會開始高度重視數(shù)據(jù)安全的“徐玉玉”案件，顯然和大數(shù)據(jù)以及大數(shù)據(jù)系統(tǒng)都無關(guān)系。如果大家搞了半天所謂“大數(shù)據(jù)安全”，卻不能降低下一個“徐玉玉”事件的發(fā)生概率，那么這樣的“大數(shù)據(jù)安全”并沒有什么意義。因此當(dāng)前全社會需要關(guān)注的其實是“大數(shù)據(jù)時代下的數(shù)據(jù)安全”。當(dāng)人們今天討論數(shù)據(jù)安全問題的時候，不能用是否是“大數(shù)據(jù)”或“大數(shù)據(jù)系統(tǒng)”來限定范圍。而且，大數(shù)據(jù)時代下數(shù)據(jù)的存在形式、使用方式、流轉(zhuǎn)共享模式等都和原來極為不同，因此大數(shù)據(jù)時代下的數(shù)據(jù)安全是個新問題，而不是傳統(tǒng)的數(shù)據(jù)安全概念。

3 “數(shù)據(jù)安全”不僅僅是防竊取

現(xiàn)在很多人說的數(shù)據(jù)安全問題僅僅是實際要解決的問題的一小部分。從用戶的角度來看，當(dāng)前數(shù)據(jù)安全至少包括以下三方面問題。

一是數(shù)據(jù)被竊取，即擔(dān)心自己的數(shù)據(jù)被壞人偷走。實際上壞人可能從外面偷數(shù)據(jù)，也可能從內(nèi)部偷數(shù)據(jù)。按照以往安全行業(yè)的基本共識，來自外界的安全威脅只占三分之一左右，三分之二的安全威脅是從組織內(nèi)部發(fā)起的。根據(jù)筆者團隊的調(diào)查，在一些特定行業(yè)中，內(nèi)鬼竊取數(shù)據(jù)的比例比外界竊取數(shù)據(jù)的比例更高。然而迄今依然有很多人把防范外部數(shù)據(jù)竊取作為數(shù)據(jù)防竊取的全部內(nèi)容，而忽視對內(nèi)部攻擊的應(yīng)對。僅僅強調(diào)用戶側(cè)應(yīng)用軟件的安全、數(shù)據(jù)通信過程加密、防火墻設(shè)個大門等，以為門外管好就行了，這是遠遠不夠的。

二是數(shù)據(jù)被濫用，即用戶對擁有數(shù)據(jù)的服務(wù)方不放心，擔(dān)心他們會濫用自己的數(shù)據(jù)。用戶的數(shù)據(jù)在服務(wù)提供方那里，他們的員工會不會濫用權(quán)限、隨便訪問用戶數(shù)據(jù)？他們會不會因為好奇或者朋友要求查看某個用戶的個人信息？他們會不會把用戶的個人信息倒賣出去？與通過內(nèi)部網(wǎng)絡(luò)攻擊竊取數(shù)據(jù)的行為不同，這里說的是服務(wù)方工作人員在授權(quán)范圍內(nèi)從事了不符合業(yè)務(wù)場景的數(shù)據(jù)訪問。例如，用戶要求客服幫忙，客服人員在這種場景下訪問該用戶的數(shù)據(jù)解決其問題，這是正常的業(yè)務(wù)場景。但是如果沒有用戶請求，客服人員擅自訪問用戶數(shù)據(jù)，就屬于濫用行為。在大數(shù)據(jù)時代，數(shù)據(jù)和業(yè)務(wù)都在高頻率地產(chǎn)生和變化，若對每一次數(shù)據(jù)訪問行為都重新進行權(quán)限申請與審核，將直接扼殺業(yè)務(wù)，用戶也無法接受這樣的效率。因此數(shù)據(jù)安全的工作需要包括對數(shù)據(jù)濫用行為的識別、報警甚至阻止，并且應(yīng)建立制度，保障對實施濫用行為的員工進行嚴厲制裁。從目前曝光的數(shù)據(jù)“黑灰產(chǎn)”案件中可以看到，大量案件是通過買通內(nèi)部人員濫用數(shù)據(jù)權(quán)限，從而進行數(shù)據(jù)倒賣的。而這些情況都是案發(fā)之后才被調(diào)查發(fā)現(xiàn)的，說明這方面能力比較欠缺。

三是數(shù)據(jù)被誤用，即在大數(shù)據(jù)加工使用的過程中會不會侵犯用戶利益，也就是很多人談之色變的“用戶畫像”“精準營銷”等。在各種描繪大數(shù)據(jù)給人類帶來美好機會的故事中，實際上都離不開精準的個性化服務(wù)。而這些故事已經(jīng)在金融、健康、醫(yī)療、教育等很多領(lǐng)域中開始切實發(fā)生，甚至在制造領(lǐng)域也在快馬加鞭地發(fā)展，未來所有的領(lǐng)域都會走到這一天。這種精準的個性化服務(wù)的背后其實就是“用戶畫像”“精準營銷”這些大數(shù)據(jù)加工技術(shù)。技術(shù)本身是中立的，關(guān)鍵在于技術(shù)被如何應(yīng)用?！熬珳薁I銷”是被用來“殺熟”還是被用來更好地滿足用戶的個性化需求？“用戶畫像”是用在支持個性化服務(wù)或者保護用戶安全，還是用在滿足其他不良動機？在大數(shù)據(jù)分析加工的過程中，有沒有人能夠從中窺探到某個特定人的個人信息或者隱私？這些是防誤用的內(nèi)容。當(dāng)前的技術(shù)和管理總體上能夠控制大數(shù)據(jù)加工過程中的誤用，使人們在享受大數(shù)據(jù)帶來的好處的同時，把危險“關(guān)在籠子里”。但是現(xiàn)實中，還有很多企業(yè)和組織在發(fā)展的過程中忽略了這個問題，讓用戶感到大數(shù)據(jù)是個“恐怖的惡魔”。數(shù)據(jù)防誤用的問題，現(xiàn)在被關(guān)注得更少。

4 數(shù)據(jù)安全為何必須“以組織為單位”

目前有一個比較常見的誤區(qū)是把手機上的移動應(yīng)用軟件（App）安全等同于數(shù)據(jù)安全，例如通過評估手機上的移動應(yīng)用軟件安全來判斷個人數(shù)據(jù)是否得到保護。手機App一直都是安全的重災(zāi)區(qū)之一，很多App確實存在不經(jīng)用戶許可秘密采集用戶數(shù)據(jù)、植入廣告、秘密產(chǎn)生費用或者自身安全做得不好導(dǎo)致其數(shù)據(jù)被竊取等情況。但是App就算不存在這些問題，也不等于用戶的數(shù)據(jù)就是安全的。

如今，用戶的數(shù)據(jù)并不都是沉淀在移動應(yīng)用軟件內(nèi)部、存在用戶終端上的。移動應(yīng)用軟件背后連接的是云端，而且可能連接不同業(yè)務(wù)。因此即便是在“知情同意”“最小夠用”等原則下取得了用戶的授權(quán)，用戶數(shù)據(jù)還是會存在后端，并且在今天的社會化大協(xié)作的模式下共享使用。因此，大數(shù)據(jù)時代下數(shù)據(jù)的邊界是在產(chǎn)品、設(shè)備、業(yè)務(wù)、人員還是系統(tǒng)？顯然都不是。數(shù)據(jù)至少會在提供服務(wù)的組織內(nèi)部的不同產(chǎn)品、業(yè)務(wù)、設(shè)備、系統(tǒng)、人員中流動，甚至為了完成用戶的一個服務(wù)需求，數(shù)據(jù)還必須在產(chǎn)業(yè)鏈上的不同組織之間流動。例如，為了完成用戶的一個購物需求，數(shù)據(jù)就必須在商家、平臺、物流、獨立軟件供應(yīng)商、金融等多個環(huán)節(jié)中流動。

因此，更合理的方式是以一個組織為單位來衡量數(shù)據(jù)安全的情況。這里的“組織”指的是擁有數(shù)據(jù)、提供服務(wù)的企業(yè)或者機構(gòu)，其具有相對獨立和完整的管理，也能夠?qū)I(yè)務(wù)和安全負責(zé)。數(shù)據(jù)在一個組織內(nèi)的不同產(chǎn)品業(yè)務(wù)中形成流轉(zhuǎn)閉環(huán)，組織是數(shù)據(jù)流動的最小邊界。組織與組織之間通過可控的制度程序或者接口實現(xiàn)數(shù)據(jù)的跨組織流動、共享、交易等，這時候也可以以單個組織的數(shù)據(jù)安全能力為基礎(chǔ)，進行責(zé)任的劃分或者數(shù)據(jù)流動風(fēng)險的控制。

如今，政府在大力推動多部門數(shù)據(jù)打通和共享利用，很多企業(yè)也在進行組織變革，建立更強大的平臺能力，其原因是數(shù)據(jù)只有打通和流動起來，才能更好地發(fā)揮價值。在這個過程中，單個產(chǎn)品或者技術(shù)平臺的安全都不代表數(shù)據(jù)本身就是安全的。只有以組織為單位，才可以跳出頻繁變化的產(chǎn)品、業(yè)務(wù)、人員等帶來的困惑，尋找到支撐今天數(shù)據(jù)安全需求的方法。

5 為何傳統(tǒng)安全方法不適用于大數(shù)據(jù)時代下的數(shù)據(jù)安全

大數(shù)據(jù)時代下的數(shù)據(jù)安全是一個全新的問題，無法簡單地用原來的安全方法解決。這主要體現(xiàn)在以下兩個層面。

一是不能用“以系統(tǒng)為中心的安全”思路解決問題。以系統(tǒng)為中心的安全是大家熟悉的安全方法，例如看某個軟件、某個服務(wù)器或某個手機終端安全與否。這主要是看這些系統(tǒng)在各種人為干預(yù)下是否會出現(xiàn)與預(yù)期設(shè)計不符合的功能，從而導(dǎo)致運行狀態(tài)失控。如今，數(shù)據(jù)要在不同的系統(tǒng)之間流動，若某個系統(tǒng)出了問題，可能影響到當(dāng)時在這個系統(tǒng)中的數(shù)據(jù)（包括被竊?。?，但這些數(shù)據(jù)也可能在別的系統(tǒng)中出問題。數(shù)據(jù)本身并不存在運行狀態(tài)，數(shù)據(jù)出問題的概念和系統(tǒng)出問題的概念也不同。這兩者的關(guān)系，有點像醫(yī)院里“心血管科”和“血液科”一樣，前者解決的是血液循環(huán)系統(tǒng)本身的安全（運轉(zhuǎn)正常），后者則是要保障血液自己的安全。兩者顯然有關(guān)系，但又有很大不同。單個系統(tǒng)的安全并不等價于數(shù)據(jù)的安全，系統(tǒng)被入侵也不等于數(shù)據(jù)一定會被偷走，每個系統(tǒng)都固若金湯也不等于數(shù)據(jù)就不會被濫用或誤用。解決數(shù)據(jù)自身的安全問題，需要切換到“以數(shù)據(jù)為中心”的安全思路上來。

二是不能用傳統(tǒng)的“數(shù)據(jù)安全”方法解決問題。數(shù)據(jù)安全是最古老的安全概念。從古代戰(zhàn)場上就產(chǎn)生了數(shù)據(jù)安全的需求，并推動了相關(guān)技術(shù)的不斷發(fā)展。對一個文件、一個數(shù)據(jù)庫的記錄的保護等都是數(shù)據(jù)安全的概念。但是，如今的數(shù)據(jù)安全的概念和方法已經(jīng)和過去完全不一樣了，數(shù)據(jù)的存在形式、使用方式和共享模式與過去有了極大的變化，數(shù)據(jù)的權(quán)屬也不都是數(shù)據(jù)處理者的。數(shù)據(jù)可能以文件、記錄、字段等方式在不同的環(huán)節(jié)中被快速打散、重組、流動，在這個過程中還會源源不斷地產(chǎn)生新的數(shù)據(jù)。在一個業(yè)務(wù)里，數(shù)據(jù)可能涉及很多設(shè)備、服務(wù)器、產(chǎn)品、用戶和不同部門的人的信息，然而真正需要回答的是數(shù)據(jù)在這么復(fù)雜的全過程中，從用戶的角度來說安全不安全？顯然，這和傳統(tǒng)的“數(shù)據(jù)安全”概念有很大區(qū)別。

6 數(shù)據(jù)安全為什么需要強調(diào)治理而非管理

這里說的管理，指的是根據(jù)事務(wù)的規(guī)律制定一整套規(guī)則，然后自上而下地進行規(guī)則的執(zhí)行落地，控制系統(tǒng)達到預(yù)期狀態(tài)。而治理指的是找到若干關(guān)鍵抓手和基本邏輯，調(diào)動多方力量和資源形成某種協(xié)同或者生態(tài)，通過社會協(xié)同引導(dǎo)整個系統(tǒng)達到預(yù)期狀態(tài)。大數(shù)據(jù)時代下的數(shù)據(jù)安全治理無法使用傳統(tǒng)的管理模式達到目標，必須走協(xié)同治理的道路。

全社會所有的行業(yè)都在進行數(shù)字化轉(zhuǎn)型，一切都將步入數(shù)據(jù)驅(qū)動，數(shù)據(jù)將成為所有領(lǐng)域的基本生產(chǎn)資料。因此數(shù)據(jù)安全問題也將涉及所有行業(yè)，并且涉及產(chǎn)品、業(yè)務(wù)、人員、共享機制等，并不是某個垂直領(lǐng)域的知識或者某個層面的單一方法就可以解決的。如果按照過去管理某個垂直特定行業(yè)的方式，設(shè)立若干部門，自上而下進行管理，不但成本無法承擔(dān)，效率也無法適應(yīng)今天的實際情況。因此，政府、行業(yè)、企業(yè)、第三方機構(gòu)、安全等需要發(fā)揮各自的優(yōu)勢形成有效的配合，才能建立適應(yīng)當(dāng)今數(shù)字時代的協(xié)同治理模式，共同提升全社會的數(shù)據(jù)安全水平。

7 數(shù)據(jù)安全治理的關(guān)鍵目標是讓安全成為競爭力

人們不希望數(shù)據(jù)安全工作堵住所有行業(yè)的“血管”，阻礙大數(shù)據(jù)時代的創(chuàng)新和發(fā)展。如果簡單化地看如何“消除數(shù)據(jù)安全問題”的話，那么不要有數(shù)據(jù)、不要有數(shù)據(jù)流動和應(yīng)用是最安全的。數(shù)據(jù)安全治理的最終目標是實現(xiàn)數(shù)據(jù)安全和數(shù)字經(jīng)濟發(fā)展之間的平衡，甚至是二者的相互促進。人們通過法律法規(guī)、政策標準、技術(shù)產(chǎn)品、產(chǎn)業(yè)發(fā)展、測評培訓(xùn)、監(jiān)督機制等進行綜合數(shù)據(jù)安全治理模式設(shè)計的時候，如果能夠瞄準以下兩個關(guān)鍵目標，就可以推動數(shù)據(jù)安全治理最終目標的實現(xiàn)。

一是讓數(shù)據(jù)安全成為組織的競爭力而不是成本，實現(xiàn)“能者多得”，即數(shù)據(jù)安全做得好，意味著有資格得到更多的業(yè)務(wù)機會。安全在過去一直是成本，因此幾乎毫無例外，每一個創(chuàng)新業(yè)務(wù)、每一個創(chuàng)業(yè)公司、每一個創(chuàng)新產(chǎn)品一開始都不愿意做安全，因為大家首先考慮的是活下來的問題，沒有精力和資源管活得好不好的問題，而且若對安全進行投入，可能在競爭中由于開發(fā)速度更慢、開發(fā)成本更高而失敗。甚至很多大型項目系統(tǒng)的建設(shè)也不愿意做安全。于是等產(chǎn)品逐漸成熟、業(yè)務(wù)逐漸做大、工程項目投入運行之后，慢慢發(fā)現(xiàn)很多安全的坑已經(jīng)難以填補了。

誰不做安全或者少做安全，誰就更可能贏得競爭，從安全的角度來說，這就是“劣幣驅(qū)逐良幣”。在數(shù)據(jù)安全領(lǐng)域通過建立科學(xué)的治理模式可以改變這個現(xiàn)象，要點是讓一個組織能處理數(shù)據(jù)的類型和規(guī)模與其數(shù)據(jù)安全能力水平掛鉤。例如健康醫(yī)療行業(yè)迫切需要利用大數(shù)據(jù)技術(shù)大幅提升技術(shù)和業(yè)務(wù)水平，造福百姓，但是這類數(shù)據(jù)又非常敏感，那么行業(yè)主管部門可以規(guī)定：處理哪些類型或多大數(shù)量的數(shù)據(jù)的組織必須證明其達到相應(yīng)的數(shù)據(jù)安全能力級別要求。這樣，當(dāng)一個組織想要使用健康醫(yī)療數(shù)據(jù)開展研究或業(yè)務(wù)之前，就需要先具備足夠的數(shù)據(jù)安全能力。于是數(shù)據(jù)安全能力越高的企業(yè)，意味著有權(quán)處理更多類型和數(shù)量的數(shù)據(jù)。這樣企業(yè)才會積極而且認真地提升自己的數(shù)據(jù)安全能力，實現(xiàn)業(yè)務(wù)競爭力與安全的正向掛鉤，這樣才會帶動整個數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展。

二是讓提升數(shù)據(jù)安全水平成為自發(fā)需求，而不是被動合規(guī)。2015年講數(shù)據(jù)安全的人還不多，今天忽然全世界都在講數(shù)據(jù)安全了。這主要是由很多相關(guān)法律出臺帶來的合規(guī)要求導(dǎo)致的。滿足合規(guī)的要求是一種被動需求，即便做到合規(guī)要求，也不代表一個組織能夠很好地應(yīng)對不斷變化的新風(fēng)險。而真正從自身內(nèi)在需求出發(fā)，不斷提升數(shù)據(jù)安全能力的組織，才能夠更好地應(yīng)對不斷變化的風(fēng)險。如今，越來越多的企業(yè)開始認識到了數(shù)據(jù)安全的重要性，意識到這是數(shù)字經(jīng)濟時代保護企業(yè)自身利益以及建立用戶對企業(yè)信任的重要工作，從而形成了內(nèi)生需求。如果數(shù)據(jù)安全治理能讓更多組織產(chǎn)生內(nèi)生的、實實在在提升數(shù)據(jù)安全能力的動力，而不僅僅是被動滿足安全檢查時的合規(guī)要求，才會讓大家真正直面數(shù)據(jù)安全威脅，降低數(shù)據(jù)安全風(fēng)險。

8 數(shù)據(jù)安全治理的基本抓手是數(shù)據(jù)安全能力成熟度

用數(shù)據(jù)安全的“能力成熟度”而不是安全風(fēng)險衡量一個組織的數(shù)據(jù)安全能力，能夠更好地適應(yīng)風(fēng)險的變化情況。如果能力不夠，即便今天做到了合規(guī)或解決了已知風(fēng)險，若明天出現(xiàn)新規(guī)或者產(chǎn)品或威脅手段發(fā)生變化，還是會導(dǎo)致不合規(guī)或風(fēng)險失控。因此，能力成熟度是更加內(nèi)在的指標。通過科學(xué)的方法衡量一個組織的數(shù)據(jù)安全能力成熟度等級，用這個等級決定一個組織能夠做什么、不能夠做什么。當(dāng)用戶選擇一個服務(wù)的時候，可以根據(jù)服務(wù)方數(shù)據(jù)安全能力的等級，判斷把自己的數(shù)據(jù)給到對方的風(fēng)險大小，在可以獲得同樣功能的情況下，用戶會更愿意選擇數(shù)據(jù)安全能力成熟度等級更高的服務(wù)方。在數(shù)據(jù)共享、交換、交易、流通的過程中，可以通過雙方數(shù)據(jù)安全能力成熟度等級的情況分析數(shù)據(jù)風(fēng)險的變化，發(fā)起方可以據(jù)此決定是否要繼續(xù)與對方進行數(shù)據(jù)流動。政府建立多部門數(shù)據(jù)共享流通促進大數(shù)據(jù)利用的機制時，可以通過組織的數(shù)據(jù)安全能力成熟度級別決定允許數(shù)據(jù)流動的方向，從而實現(xiàn)總體數(shù)據(jù)安全風(fēng)險可控。

能力成熟度的概念如今在很多領(lǐng)域中被使用，而數(shù)據(jù)安全能力成熟度模型（data security maturity model，DSMM）標準已經(jīng)是國家標準化管理委員會的報批稿，并且也在ITU、ISO等國際標準化組織中通過或者立項。

9 結(jié)束語

大數(shù)據(jù)時代的數(shù)據(jù)安全是“舊瓶裝新酒”?？瓷先ナ且粋€老的概念，但實際上是完全不同的東西。因此不能用過去的經(jīng)驗解決今天的數(shù)據(jù)安全問題，需要創(chuàng)新。

今天數(shù)據(jù)安全的基本思想是，技術(shù)上以數(shù)據(jù)為中心，管理上以組織為單位，治理的基本抓手是能力成熟度。數(shù)據(jù)安全治理的關(guān)鍵是讓數(shù)據(jù)安全能力和組織所能處理的數(shù)據(jù)類型和規(guī)模掛鉤，讓數(shù)據(jù)安全成為競爭力而不是成本，讓數(shù)據(jù)安全成為內(nèi)生需求而不是被動合規(guī)。

數(shù)據(jù)安全需要多方面工作的協(xié)同。僅僅靠法律法規(guī)解決不了數(shù)據(jù)安全問題，因為無論怎么樣都會有數(shù)據(jù)進入服務(wù)方，法律能解決數(shù)據(jù)來源的合法性問題，但不能解決這些合法獲得的數(shù)據(jù)是否會被安全保存或安全使用的問題，過去的信息安全行業(yè)管理經(jīng)驗不適用。今天的數(shù)據(jù)安全是全社會、全行業(yè)的事，過去把安全行業(yè)當(dāng)作特種行業(yè)進行管理的思路是行不通的，很多數(shù)據(jù)安全前沿技術(shù)還有待突破。

數(shù)據(jù)安全需要政策、技術(shù)、學(xué)術(shù)的結(jié)合，需要多方參與，形成治理模式。另外，這個領(lǐng)域才剛起步，需要創(chuàng)新和持續(xù)改進。在今天的發(fā)展速度下，沒有辦法在給出一個完美的方案以后再執(zhí)行，只能是小步快跑，不斷迭代。DSMM中最高能力級別要求的也是持續(xù)改進的能力，即不斷發(fā)現(xiàn)新的問題，不斷調(diào)整自己的能力。