蔡浩淼 宋俊典 朱永佳

摘 要

在當(dāng)今社會，數(shù)據(jù)和信息非常重要，因為它包含公司和所有業(yè)務(wù)交易信息。從管理層到普通員工，每個員工都應(yīng)對數(shù)據(jù)的安全性負(fù)責(zé)。數(shù)據(jù)應(yīng)視為公司資產(chǎn)，必須妥善管理。數(shù)據(jù)治理將指導(dǎo)所有員工管理數(shù)據(jù)并確保數(shù)據(jù)的安全性，缺乏意識和不良的數(shù)據(jù)治理可能導(dǎo)致數(shù)據(jù)泄露和業(yè)務(wù)災(zāi)難。通過實施數(shù)據(jù)治理，公司中的數(shù)據(jù)將擁有所有權(quán)和訪問級別。由于訪問級別受到限制，這將使數(shù)據(jù)更加安全。本研究旨在使用文獻(xiàn)綜述和深度訪談的方式評估有關(guān)數(shù)據(jù)治理的安全性。

關(guān)鍵詞

數(shù)據(jù)治理;安全性;數(shù)據(jù)中心;文獻(xiàn)綜述;深度訪談

中圖分類號： TP311.13 ? ? ? ? ?文獻(xiàn)標(biāo)識碼： A

DOI：10.19694/j.cnki.issn2095-2457.2020.09.043

Abstract

In today's society，data and information are important because it contains information about companies and all business transactions.From management to ordinary employees，every employee is responsible for the security of data.Data should be considered company assets and must be properly managed.Data governance will guide all employees to manage data and ensure data security.Lack of awareness and poor data governance can lead to data leakage and business disaster.By implementing data governance，data in your company will have ownership and access levels. This will make data more secure due to restricted access levels.The purpose of this study is to assess the security of data governance using literature reviews and in-depth interviews.

Key Words

Data governance;Security;Data center;Literature review;In-depth interviews

0 引言

數(shù)據(jù)中心是一個存儲公司數(shù)據(jù)和信息的計算機系統(tǒng)。除此之外，所有數(shù)據(jù)傳輸和網(wǎng)絡(luò)工作流程將在數(shù)據(jù)中心內(nèi)運行。如今，隨著技術(shù)的進(jìn)步，許多公司意識到需要為數(shù)據(jù)中心做最大程度的功能準(zhǔn)備，以便公司能夠?qū)崟r地、快速地進(jìn)行數(shù)據(jù)傳輸，此時云計算技術(shù)應(yīng)運而生。根據(jù)NIST（美國國家標(biāo)準(zhǔn)與技術(shù)研究院）云的定義，云計算是“一種模型，可以方便地按需訪問網(wǎng)絡(luò)上的可配置計算資源（例如網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用程序和服務(wù)）的共享池，這些資源可以通過小型管理工作或服務(wù)提供商快速配置和發(fā)布交互”。

根據(jù)定義本身，云計算實際上是一種類似于傳統(tǒng)數(shù)據(jù)中心的網(wǎng)絡(luò)模型。但是，仍然需要物理數(shù)據(jù)中心，例如建筑物、基礎(chǔ)結(jié)構(gòu)、服務(wù)器和交換機，公司可以小規(guī)模部署它。云服務(wù)提供商需要物理數(shù)據(jù)中心，云計算有很多優(yōu)點，常見的優(yōu)點是減少維護(hù)成本，節(jié)省擴(kuò)展數(shù)據(jù)中心的需求，因為大多數(shù)操作將使用云來完成。 除此之外，如果公司要擴(kuò)展其存儲或網(wǎng)絡(luò)帶寬，則需要向提供商提出要求并支付服務(wù)費用，這稱為按使用付費。

數(shù)據(jù)治理是使用正確的方法和工具保護(hù)數(shù)據(jù)[1]。數(shù)據(jù)治理是公司管理和保護(hù)有關(guān)業(yè)務(wù)信息，公司相關(guān)信息和機密信息的數(shù)據(jù)和信息的指南。為了確保數(shù)據(jù)和信息都被分配或有權(quán)查看，編輯和進(jìn)行數(shù)據(jù)更改的人員妥善保存和管理。數(shù)據(jù)治理非常重要，公司需要將數(shù)據(jù)視為資產(chǎn)，因為它將決定業(yè)務(wù)的連續(xù)性。如果由于未正確保護(hù)數(shù)據(jù)而發(fā)生問題，則可能導(dǎo)致任何其他問題，例如數(shù)據(jù)泄露等。

數(shù)據(jù)治理的一個主要問題是非基于筒倉式的治理。信息技術(shù)中的筒倉是一種與其他系統(tǒng)分開工作或運行的管理系統(tǒng)[2]。當(dāng)今，信息孤島不是一種好的信息保存方式，因為這會導(dǎo)致業(yè)務(wù)發(fā)展和流程的冗余和無效。許多公司試圖將數(shù)據(jù)管理從孤島工作的舊系統(tǒng)更改為更加一致、高效和易于其他系統(tǒng)訪問的新系統(tǒng)。但是，如果沒有適當(dāng)?shù)脑L問方式將導(dǎo)致另一個問題，即安全性。使數(shù)據(jù)可以在任何地方和任何級別訪問將使攻擊者有機會輕松獲得數(shù)據(jù)。攻擊者僅攻擊一個安全級別較低的系統(tǒng)，即可訪問其他系統(tǒng)或級別。這需要進(jìn)行數(shù)據(jù)治理，以確保每個數(shù)據(jù)都具有可以批準(zhǔn)用于讀取和編輯目的，并賦予管理人員具有特定訪問級別。

不良的數(shù)據(jù)治理可能導(dǎo)致數(shù)據(jù)泄露[3]。一個例子是2014年12月索尼影業(yè)黑客事件，其中一個名為“和平衛(wèi)士”的組織侵入了索尼影業(yè)服務(wù)器。他們刪除、竊取和公開許多信息，包括未發(fā)行的電影、演員的薪水、名人的別名、史蒂夫·喬布斯的戲劇、奧巴馬的種族主義、情緒低落、醫(yī)療文件和圣誕節(jié)禮物[4]。該小組刪除了該公司6797臺個人計算機中的3262臺和1555臺服務(wù)器中的837臺中存儲的所有內(nèi)容[5]。索尼影業(yè)的首席執(zhí)行官將這次攻擊稱為“美國歷史上最嚴(yán)重的網(wǎng)絡(luò)攻擊”。得出結(jié)論，該事件的發(fā)生是由于缺乏數(shù)據(jù)安全性以及公司的政策實施不力所致[6]。

UBM進(jìn)行的一項調(diào)查顯示[7]，沒有受訪者可以準(zhǔn)確定義數(shù)據(jù)治理。問題之一是實施數(shù)據(jù)治理時的困難，42%的受訪者回答了對數(shù)據(jù)治理的理解。報告中提到，在10個受訪者的企業(yè)中，只有三分之一的組織專門成立數(shù)據(jù)治理團(tuán)隊。另一項研究發(fā)現(xiàn)表明[8]，中小企業(yè)對數(shù)據(jù)治理缺乏全面了解成為導(dǎo)致實施數(shù)據(jù)治理失敗的因素之一。一些中小型企業(yè)缺乏數(shù)據(jù)管理知識，也無法定義其數(shù)據(jù)生命周期。

在數(shù)據(jù)治理中執(zhí)行力度不夠可能會導(dǎo)致數(shù)據(jù)管理混亂[9]。當(dāng)數(shù)據(jù)所有者不確定時，企業(yè)如何知道誰可以訪問、誰可以對其進(jìn)行更改，這可能會導(dǎo)致未知方的非法訪問，從而可能損壞數(shù)據(jù)。

1 文獻(xiàn)評論

數(shù)據(jù)治理是企業(yè)信息管理中的新興趨勢[10]。數(shù)據(jù)治理被認(rèn)為是管理公司的所有數(shù)據(jù)和信息的最佳實踐，因此，它規(guī)定了滿足公司需求的所有業(yè)務(wù)價值[1][11-12]。數(shù)據(jù)治理可以滿足業(yè)務(wù)需求，將數(shù)據(jù)作為對公司有價值的資產(chǎn)進(jìn)行保護(hù)，并能夠降低管理數(shù)據(jù)的成本[12]。系統(tǒng)地管理數(shù)據(jù)和集中式數(shù)據(jù)治理有助于提高數(shù)據(jù)的質(zhì)量，并使組織能夠進(jìn)行有效的管理并與公司治理、IT治理和企業(yè)體系結(jié)構(gòu)保持一致[1]。數(shù)據(jù)治理實踐通過在風(fēng)險和回報之間取得平衡來幫助企業(yè)管理數(shù)據(jù)本身的價值和成本[11]。建立政策、流程、標(biāo)準(zhǔn)和指南以確保數(shù)據(jù)可訪問性、可用性、質(zhì)量、一致性、安全性等非常重要[12]。

治理是對數(shù)據(jù)的數(shù)量和級別的控制，以及它能夠有效管理數(shù)據(jù)本身的能力[13]。隨著大數(shù)據(jù)時代的到來，應(yīng)該有效的管理數(shù)據(jù)并且保持透明，以最大限度地降低公司運營和決策風(fēng)險。同時，避免孤島問題，團(tuán)結(jié)業(yè)務(wù)部門，制定技術(shù)計劃、政策、標(biāo)準(zhǔn)、指南，并確保每個版本的數(shù)據(jù)管理都是真實和透明的。其次，需要建設(shè)與外部行業(yè)數(shù)據(jù)的通道，打開第三方的數(shù)據(jù)接入，并保證公司內(nèi)部數(shù)據(jù)與行業(yè)標(biāo)準(zhǔn)的一致性和關(guān)聯(lián)性。數(shù)據(jù)治理能夠通過確定流程、決策權(quán)限、角色和職責(zé)來幫助公司平穩(wěn)地開展業(yè)務(wù)。

2 方法

對于本研究，將使用兩種典型的方法，即廣泛的文獻(xiàn)綜述法和深度的訪談法。

2.1 廣泛的文獻(xiàn)綜述

文獻(xiàn)綜述是研究中要討論的相關(guān)問題的摘要。在文獻(xiàn)綜述中還包含許多以前研究相關(guān)主題的研究人員的討論。這是為了支持研究陳述或討論研究中很少的問題。它還將幫助研究人員進(jìn)一步討論與研究項目相關(guān)的問題和解決方案。

對該研究進(jìn)行了廣泛的查閱文獻(xiàn)，以提供與云數(shù)據(jù)中心中的數(shù)據(jù)治理安全問題有關(guān)的信息，尤其是在數(shù)據(jù)安全方面?？梢允寡芯咳藛T了解未進(jìn)行數(shù)據(jù)治理所產(chǎn)生的問題，使用大量的文獻(xiàn)綜述將有助于研究人員與可用的數(shù)據(jù)治理安全指南進(jìn)行比較，并給出合適的指南。這種方法可以研究其他方法的優(yōu)缺點，以便在自己的研究中采用或改進(jìn)它們。

從查閱文獻(xiàn)中，收集的信息有：

●云數(shù)據(jù)中心的安全問題。

●建議解決問題的方法。

●已制定的可用數(shù)據(jù)治理安全準(zhǔn)則。

2.2 深度訪談

深度訪談是適合用于定性研究的許多方法之一。深度訪談是指與受訪者進(jìn)行廣泛訪談以從他們那里獲取數(shù)據(jù)的過程。正常訪談可以通過向受訪者提問幾個問題來獲得信息，但是，深入訪談需要與參與者進(jìn)行廣泛的交流，以獲取信息以及他們的詳細(xì)解釋。

使用深度訪談作為數(shù)據(jù)收集方法的好處是訪談?wù)呖梢詮膮⑴c者那里獲得直接信息。如果有任何需要進(jìn)一步解釋的問題，他們可以直接詢問參與者。采訪者可以監(jiān)視參與者是否真的知道所問問題的信息。當(dāng)訪談單獨舉行時，與會人員可以隨意發(fā)表評論或以自己的方式進(jìn)行解釋，而不必?fù)?dān)心信息是否會給其他與會人員帶來傷害。

因此，在這項研究中，選擇參與者有特定的標(biāo)準(zhǔn)。選擇參與者的抽樣方法稱為專家抽樣，這項研究涉及數(shù)據(jù)收集的兩個階段，其中第一階段是采訪高等教育機構(gòu)，因為它與案例研究相關(guān)。第二階段是工業(yè)，這是為了從行業(yè)角度獲得實施安全準(zhǔn)則的反饋。

1）受訪者

受訪者是根據(jù)專家抽樣選擇的。受訪者應(yīng)該是直接管理和維護(hù)云系統(tǒng)的人員或技術(shù)人員，他們知道系統(tǒng)中發(fā)生的情況以及如何應(yīng)對系統(tǒng)中存在的威脅。

2）問題指南

將使用視頻記錄器或語音記錄器記錄會話，以確保不會丟失所有重要和相關(guān)數(shù)據(jù)。問題要事先準(zhǔn)備，但隨著會議的進(jìn)行和更多問題的出現(xiàn)，相關(guān)的問題將在訪談過程中提出。

對于本研究，將要問的問題類型是開放式問題。這將為受訪者提供更多機會，以更多地解釋與云數(shù)據(jù)中心數(shù)據(jù)治理安全相關(guān)的問題。它將為研究人員設(shè)計數(shù)據(jù)治理提供更多思路。提出的問題與組織中提供的當(dāng)前服務(wù)以及已實施的當(dāng)前數(shù)據(jù)治理有關(guān)。總體而言，如果需要受訪者提供任何其他信息，將收集多個問題來收集數(shù)據(jù)，并在會議中提出更多問題。問題的例子有：

●什么是數(shù)據(jù)訪問標(biāo)準(zhǔn)和程序

●如何持續(xù)進(jìn)行風(fēng)險評估

●如何傳播安全意識和教育

3 結(jié)論

通過文獻(xiàn)綜述和深度訪談得出，缺乏對數(shù)據(jù)安全的認(rèn)識和不良的數(shù)據(jù)治理實施，會導(dǎo)致企業(yè)發(fā)生災(zāi)難性錯誤，造成財務(wù)損失和業(yè)務(wù)災(zāi)難。開發(fā)數(shù)據(jù)治理將使公司全體員工共同負(fù)責(zé)保護(hù)公司的數(shù)據(jù)和信息，利用大數(shù)據(jù)治理來提升競爭力是未來所有企業(yè)都要面臨的問題。大數(shù)據(jù)的作用將不再是目前數(shù)據(jù)的產(chǎn)生、存儲、管理、分析、利用，它將在一種新的處理模式下做出決策并洞察未來發(fā)展趨勢。大數(shù)據(jù)治理對企業(yè)管理問題的影響不僅是企業(yè)管理的技術(shù)問題，還是一種管理決策的方式。面對諸多挑戰(zhàn)，企業(yè)必須意識到大數(shù)據(jù)治理對企業(yè)管理的重要性，順應(yīng)時代做出改變。

參考文獻(xiàn)

[1]C.I.Forum，“Data governance in the cloud.”

[2]V.Beal，“Information Silo，”2017.[Online].Available：http：//www.webopedia.com/ TERM/I/information_silo.html.[Accessed：06-Oct-2017].

[3]R.A.Wahid and P.D.D.N.B.Idris，“Factors Influencing Data Governance Imple mentation in a Private University College：A Descriptive Analysis.”

[4]E.Betters，“Sony Pictures hack：Heres everything we know about the massive attack so far，”Pocket Lint，2015.[Online].Available： http：//www.pocket-lint.com/news/13 1937-sonypictures-hack-here-s-everything-we-know-about-the-massiveattack -so-far. [Accessed： 05-Oct-2017].

[5]P.Elkind，“Inside the Hack of the Century，”Fortune.com， pp.66，89，2015.

[6]A.Borgschulte，“the Risks of Improper Data Governance，”Gimmal，2016.[Online]. Available：http：//blog.gimmal.com/2016/03/22/the-risks-of-improper-datagoverna nce.

[7]UBM，“The state of data quality，”2018.

[8]C.Begg and T.Caira，“Exploring the SME Quandary：Data.Governance in Practise in the Small to Medium-Sized Enterprise Sector，”Electron.J.Inf.Syst.Eval.，vol.15，no.1， pp.3，13，2012.

[9]S.Frazier，“Is Poor Data Governance Putting Your Digital Transformation at Risk？ -Blazent，”2017.[Online].Available：http：//www.blazent.com/poor-data-governance -putting- digitaltransformation-risk/. [Accessed： 29-Jun-2018].

[10]L.L.K.Cheong and V.Chang，“The need for data governance： a case study，”Pap. Present.18th Australas.Conf.Inf.Syst.Toowoomba，Aust.，vol.18，no.2005，pp.999，1008， 2007.

[11]P.P.Tallon，“Corporate governance of big data：Perspectives on value，risk，and cost，”Computer （Long.Beach.Calif）.，vol.46，no.6，pp.32，38，2013.

[12]S.Pande，“The Theoretical Framework for Corporate Governance，”Indian J.Corp. Gov.，vol.7，no.1，pp.56，72，2014.

[13]Z.Panian，“Some Practical Experiences in Data Governance，”World Acad.Sci.Eng.Technol.，pp.939，946，2010.