![]()
自己做数据20多年,经历了数据仓库、大数据、数据中台、数据治理等各个时期。无论是在哪个时期,我一直以数据驱动业务为使命,认为只要业务发展了,我数据就做到位了。至于数据安全,以前我认为自己是被监管的对象,专业的安全部门自然会把安全搞定,在发展和安全的博弈中,我应该尽可能的维护业务方的利益,同时,那个时候自己也有一股大无畏的精神,认为为了数据驱动业务就要往前冲,否则怎么干成事呢。特别是在做大数据变现的时候,会碰触到一些模糊的边界地带,比如有些业务没有人做过,也没有明确的规范,但自己还是想主动往前探一步。今年数据治理的工作重点是数据安全,在我们的数据治理体系中,数据安全是重要一员,如下所示:
![]()
这段治理历程让我对数据安全也有了新的认识,并给出以下8点实践心得,供各位参考。
无论是业务、安全,还是 IT 部门,从长远看都是为了公司更健康地发展,这是大家能一起坐下来“谈判”的基础。加强数据安全在短期内可能会降低部分效率,但这是必要的变革成本。回到根本,没有人会真正反对公司基业长青,所以当分歧难以调和时,不妨退回到这个初心来衡量。20年前,数据治理的概念都没有,为啥,因为数据很少,对业务的价值不大,更没有黑色产业链,因此,那个时候,没有什么数据治理,更没人提什么数据安全。我们往往已经习惯了无拘束的使用数据,一旦有了约束,就会觉得不适应,不合理,抱怨连连。但此一时彼一时,现在不做数据安全的代价已经很难承受。这本账,国家算过,行业算过,公司算过,可能就你没算过。因此还是要加强安全法律法规和专业技术的学习,不要成为数据安全领域的“法盲”。比如大家对脱敏概念可能了解,但一旦问你公司哪些字段数据展现需要脱敏,可能就卡壳了,这就是学习没到位。不要把数据安全的责任甩给安全部门,数据安全的责任其实是分层级的,一个都逃不掉。一般来讲,安全部门承担统筹职责,业务部门承担管理职责,一线部门承担执行职责。建章立制,做监督和审计,那是安全部门的事情;在制度指导下,制定管理细则,明确安全流程和规则,这是管理部门的责任,IT等一线部门则要确保这些流程和规则运行得良好。哪个环节出了问题,谁就要承担相应的责任。比如国家有了法律法规,企业没理解到位,那一旦出了事,企业就要承担责任。以此类推,公司制定了规范,IT没执行好,就要承担责任,管你知不知道。这一点,往往为我们所忽视,平时不学习,可能就要承担不学习的代价。很多时候,国家和企业的法律法规只是明确了原则,到实操环节可以有不同的解读,这就要秉承责权利对等的原则,把这些模糊的地方明确出来,“谁管业务,谁管业务数据,谁管业务数据安全”就是一种处理方式。比如数据中台的数据来源于各个领域,各个领域都要为自己的数据开放负责,但数据中台加工出来的融合数据到底谁来为其开放负责,那就要规范清楚,否则出了事,往往是谁离的近就谁负责。业务中的大量数据安全保护存在模糊地带,意味着企业一定要依托于企业级的数据治理体系,构建出数据安全的常态化运营机制,定期组织各个部门召开数据安全专班会议是公司当前采取的方法。在会议上,我们会讨论数据开放的流程是否合理,对外供数的职责到底是谁,数据操作平台的脱敏规则到底是啥(比如具体哪些字段要脱敏),自动化审计策略如何制定等等。最懂业务和数据的人,最可能做出兼顾多方的数据安全解决方案,因此,一定要把相关组织和人员组织起来,大家能在同一张桌子上说话。安全和业务的矛盾,往往是拍脑袋,不对等的沟通模式造成的。没有绝对的安全,核心在于如何以有限资源守住数据安全的底线。我建议的策略是:基于数据分层分级的思想,精准的识别涉敏数据并针对性保护涉敏数据,将80%的资源投入到最关键的20%核心数据的保护上,然后根据重要性分配其余资源。比如,先找出哪些数据一旦泄露会造成不可承受的损失,再顺藤摸瓜,基于血缘关系逐一标记并重点保护。这种“有的放矢”的方法比盲目堆技术和大模型有效得多。数据安全与网络安全的一个本质区别在于,涉数人员在企业内是可识别的。基于这一特点,可以采取更多有效的措施,包括控制涉数人员规模、设立专门的操作区域、对涉数人员的操作进行实时提醒、定期开展安全教育等等。要承认一个事实,系统再完善,技术再牛逼,漏洞也不可避免。但如果我们能够"治心",就能大大降低风险。比如近期我们决定在数据操作门户上做个功能,用户每次登录时,会看到自己上一次的部分操作日志,显式提醒监控无处不在,其对不法分子的威慑,可能比一般的技防手段有效的多。就好比城市安装的安防摄像头,近些年已经让小偷近乎绝迹。数据中台是公司核心敏感数据的汇聚地,除了常规防护手段,我尝试在管理和技术上做进一步的提升:第一,数据开发和生产的完全分离,最大程度的降低涉数人员,这个会带来很大代价,比如稽核效率的降低,希望能通过DataOps来补偿。第二,数据操作平台表、字段级别的角色精细控制,这对管理与技术都提出很高要求,但能更好的遵循最小权限原则。第三,考虑到事前的数据分类分级会有漏洞,需要建立一个基于大模型的实时敏感表的扫描、预警及修复体系。第四,研究数据安全管理办法,为数据 PaaS 平台制定相应的安全管理细则,规范业务人员的使用,更好地保护团队自身。![]()
公众号推送规则变了,如果您想及时收到推送,麻烦右下角点个在看或者把本号置顶!
