一、數(shù)據(jù)泄露亂象頻發(fā)

前不久剛發(fā)生了Facebook數(shù)據(jù)泄露事件，F(xiàn)acebook首席執(zhí)行官馬克·扎克伯格在長達10個小時里接受了近百名美國議員的拷問，回答了關(guān)于數(shù)據(jù)隱私、虛假信息、監(jiān)管等共計600個問題。

[[227443]]

今年5月25日，歐盟《通用數(shù)據(jù)保護條例》(GDPR)將會生效，該條例包含了263頁共99條詳細規(guī)范，其核心目標是讓企業(yè)真正將用戶個人數(shù)據(jù)保護起來，真正將嚷嚷多年的數(shù)據(jù)安全保護理論轉(zhuǎn)化為行為實踐。該條例還規(guī)定了嚴苛的處罰條款，對于違反條例的企業(yè)，“處以2千萬歐元或者企業(yè)上一年度全球營業(yè)收入的4%，兩者取其高。”

據(jù)新京報4月23日消息，外賣平臺用戶信息泄露，賣家、網(wǎng)絡(luò)運營公司以及外賣騎手參與其中，泄露的信息包括姓名、電話、性別和地址等。據(jù)記者調(diào)查，報價甚至可以低至1萬條個人隱私僅需800元。特別可怕的是，這些數(shù)據(jù)每天更新4萬條左右。

根據(jù)2015年11月1日起施行的刑法修正案九：“違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。”

規(guī)定懲罰不可謂不嚴厲，火中取栗者依然絡(luò)繹不絕。

據(jù)黑奇士訂閱號從中國裁判文書網(wǎng)上查到，3月22日公開的一份判決書顯示：某外賣平臺網(wǎng)陽江地區(qū)銷售主管方某指示藍某，在2017年7月27日至8月2日期間，通過方某的外賣平臺賬號密碼竊取了大量商戶客戶個人信息，未來得及出售。2017年12月1日，法院宣判，因為侵犯公民個人信息罪，方某被判6個月有期徒刑，緩刑一年;藍某被判7個月有期徒刑，緩刑一年。

而新京報報道的是已經(jīng)或正在發(fā)生的已經(jīng)出售和正在泄露的數(shù)據(jù)。“專家表示，類似外賣平臺外泄這樣的數(shù)據(jù)，是黑產(chǎn)界的原油，通過這些數(shù)據(jù)，可以衍生出很多安全問題。”如果參照GDPR的懲罰標準，外賣平臺2017年營收330億，懲罰4%將是13.2億人民幣。

無獨有偶，在英國，2017年有近一半的企業(yè)報告至少發(fā)生一次數(shù)據(jù)泄露或數(shù)據(jù)泄露未遂。在中國，大家從收到的手機垃圾短信就可以知道，發(fā)生數(shù)據(jù)泄露的企業(yè)的比例只會更高。

二、數(shù)據(jù)管理不良的后果

全球數(shù)據(jù)中心服務(wù)提供商Telehouse建立了一個信息圖表，展示了數(shù)據(jù)管理不良將有12種最壞的危險面：

1. 可能面臨安全漏洞或攻擊。公司越大，擁有的數(shù)據(jù)越多，就越會被網(wǎng)絡(luò)犯罪盯上。
2. 可能丟失或泄露數(shù)據(jù)。在2017年5月中旬至7月發(fā)生的著名的Equifax數(shù)據(jù)泄露事件中，有80萬英國消費者的個人身份信息被黑客竊取。
3. 員工數(shù)據(jù)處于危險境地。最近，英國一名15歲的少年通過社會工程(他是怎么做到的?假裝是中情局局長。)獲得了在阿富汗和伊朗的秘密行動的情報信息。
4. 遭受DDOS攻擊。
5. 損失很多錢財。預(yù)計到2021年，全球網(wǎng)絡(luò)犯罪造成的損失將超過60億美元。所以我國2017年6月1日起施行了《網(wǎng)絡(luò)安全法》，2018年4月23日人民日報客戶端發(fā)表的文章《網(wǎng)絡(luò)安全，沒有意識到風(fēng)險是最大的風(fēng)險》一天的瀏覽量是43.5萬，文章講述習(xí)近平在4月20日至21日的全國網(wǎng)信會議上強調(diào)“沒有網(wǎng)絡(luò)安全就沒有國家安全，就沒有經(jīng)濟社會穩(wěn)定運行”，而網(wǎng)絡(luò)安全的核心就是數(shù)據(jù)安全。
6. 可能違反法律。
7. 知識產(chǎn)權(quán)或商業(yè)秘密處于危境。
8. 可能感染病毒。
9. 成為黑客攻擊目標。
10. 遭受破壞性停機。
11. 聲譽受損。
12. 丟失物理數(shù)據(jù)。在卷入重大事故的企業(yè)中，70%以上未能重新開張，或者在事故發(fā)生后的三年內(nèi)倒閉。

三、企業(yè)面臨數(shù)據(jù)管理兩難境地

數(shù)據(jù)管理不良所可能引發(fā)后果的確引起了業(yè)界對數(shù)據(jù)管理的思考。

最近跟一些金融行業(yè)的客戶交流，國家近年來對數(shù)據(jù)的管控要求更嚴格(當然，數(shù)據(jù)治理水平都要跟監(jiān)管級別掛鉤了)，上個月銀監(jiān)會為了引導(dǎo)銀行業(yè)金融機構(gòu)加強數(shù)據(jù)治理就發(fā)布了《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引(征求意見稿)》，詳情可見此前我在社群發(fā)布過的文章《規(guī)避FB數(shù)據(jù)危機，詳解銀監(jiān)會數(shù)據(jù)治理指引落地路線》。

所以說，不論是出于合規(guī)性要求，還是出于提高市場競爭力的渴望，都迫使金融企業(yè)們加強數(shù)據(jù)的管理。研究機構(gòu)IDG對100多位美國企業(yè)IT高層進行過調(diào)查，75%的人表示，與兩年前相比，IT安全問題變得更加重要。數(shù)據(jù)安全問題向來令人糾結(jié)，企業(yè)致力于保護數(shù)據(jù)的同時，又要顧及業(yè)務(wù)發(fā)展。

這似乎進入了一個兩難境地，企業(yè)一方面要加強自身數(shù)據(jù)的安全管理不要泄露或被攻擊，另一方面又千方百計地想從其他企業(yè)獲取更多維度的數(shù)據(jù)，補全已經(jīng)擁有的客戶信息以完善用戶畫像，實現(xiàn)精準營銷或風(fēng)險控制。

其實企業(yè)不管數(shù)據(jù)多少，如果不管理、不治理，企業(yè)的數(shù)據(jù)就沒有質(zhì)量、沒有數(shù)據(jù)安全，那存儲再多數(shù)據(jù)都是浪費資源，甚至可能因為安全問題功虧一潰。

隨著智能設(shè)備、物聯(lián)網(wǎng)的發(fā)展，企業(yè)將來的數(shù)據(jù)量，每年都會比上一年有更大幅度的增加。數(shù)據(jù)增長越來越快，管理起來將非人力所能及，所以就必須有一種質(zhì)量控制或者是衡量的方法。

四、落實數(shù)據(jù)資產(chǎn)管理的方法

1、高層領(lǐng)導(dǎo)組織架構(gòu)

開啟數(shù)據(jù)資產(chǎn)管理第一步，是由高層領(lǐng)導(dǎo)的組織架構(gòu)。

很多人都聽過數(shù)據(jù)治理、數(shù)據(jù)質(zhì)量管理、數(shù)據(jù)資產(chǎn)管理，但很難分得清楚它們都是在干些什么。對于缺乏數(shù)據(jù)管理基礎(chǔ)的傳統(tǒng)企業(yè)來說，第一步往往需要把散落在各個部門和系統(tǒng)中數(shù)據(jù)進行梳理，制定統(tǒng)一的數(shù)據(jù)管理制度和流程，使數(shù)據(jù)重新回到企業(yè)的掌握之中。

這個階段，其實叫什么名字關(guān)系不大，重要的是啟動數(shù)據(jù)管理這輛列車。在啟動數(shù)據(jù)管理的實際過程中常常會遭遇到來自不同部門的抵觸，他們站在自己部門的立場，可能會擔(dān)心失去數(shù)據(jù)的擁有權(quán)而導(dǎo)致利益受損，而不愿意合作梳理、整合和共享數(shù)據(jù)。

因此，需要建立一個企業(yè)高層領(lǐng)導(dǎo)下的數(shù)據(jù)管理組織架構(gòu)，如數(shù)據(jù)資產(chǎn)管理委員會，或數(shù)據(jù)管控委員會，又或是數(shù)據(jù)治理委員會，來協(xié)調(diào)企業(yè)內(nèi)各職能部門和技術(shù)部門共同完成企業(yè)數(shù)據(jù)管理。這個組織中負責(zé)人可以由CDO擔(dān)任，也可以由CIO兼任，但務(wù)必是由企業(yè)CXO層面的高層領(lǐng)導(dǎo)下。

2、做元數(shù)據(jù)管理

數(shù)據(jù)管理的列車啟動，不同部門數(shù)據(jù)梳理整合，首先要做的元數(shù)據(jù)采集、梳理和整合，搞清楚從企業(yè)高管、數(shù)據(jù)開發(fā)人員、分析人員到數(shù)據(jù)運維人員等企業(yè)不同角色對元數(shù)據(jù)管理的期望，采用合適的元數(shù)據(jù)管理工具搞定元數(shù)據(jù)采集、存儲、查找，并能分析數(shù)據(jù)的來源和流向方便用戶跟蹤關(guān)鍵信息，完善血緣分析。

3、做數(shù)據(jù)標準

傳統(tǒng)企業(yè)大多數(shù)IT系統(tǒng)建設(shè)的時候都是豎井式的建設(shè)模式，只考慮自身業(yè)務(wù)需求而從不考慮與其他系統(tǒng)數(shù)據(jù)設(shè)計一致性，缺乏對數(shù)據(jù)的通盤整體設(shè)計考慮，所以造成了數(shù)據(jù)存儲結(jié)構(gòu)各異、數(shù)據(jù)標準依據(jù)不同統(tǒng)計口徑無法匹配，業(yè)務(wù)口徑不統(tǒng)一等問題，因此要做數(shù)據(jù)標準管理。

統(tǒng)一的數(shù)據(jù)標準管理可以在業(yè)務(wù)、技術(shù)和管理等多個方面給企業(yè)提供支撐：

• 在技術(shù)層面，相同的數(shù)據(jù)標準可以減少大量的數(shù)據(jù)轉(zhuǎn)換和清洗工作，提升數(shù)據(jù)處理效率并易于數(shù)據(jù)共享和交換;
• 在業(yè)務(wù)層面可以提升業(yè)務(wù)規(guī)范性，明確數(shù)據(jù)業(yè)務(wù)含義，不同業(yè)務(wù)部門以及業(yè)務(wù)技術(shù)之間溝通更加流暢，可以提升數(shù)據(jù)對業(yè)務(wù)分析的支持力度;
• 在管理層面，數(shù)據(jù)標準管理有助于及時、準確、完整地提供高質(zhì)量的數(shù)據(jù)，有利于決策支持。

數(shù)據(jù)標準管理的落地分為標準規(guī)劃(確定實施范圍并根據(jù)優(yōu)先級和難易度定計劃)、調(diào)研(調(diào)查問卷、訪談、文檔資料搜集等)、設(shè)計(業(yè)務(wù)描述定義、類型長度定義等)、映射(定義好的數(shù)據(jù)標準與已有業(yè)務(wù)應(yīng)用映射，實現(xiàn)數(shù)據(jù)關(guān)系轉(zhuǎn)換)和執(zhí)行(分析出數(shù)據(jù)缺失或不一致問題，補錄數(shù)據(jù))等階段，在標準執(zhí)行的過程中再進行不斷改進和完善。

4、做安全管理

與此同時，更重要的是做好數(shù)據(jù)安全管理。我在與一個交易所客戶交流的時候，他提了一個問題：怎么識別敏感數(shù)據(jù)、怎么脫敏才安全?交易所的數(shù)據(jù)很多，但是怎樣能放心放開來做大數(shù)據(jù)分析?

按照網(wǎng)絡(luò)安全法的規(guī)定：

• 個人信息，是指以電子或者其他方式記錄的，能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息。包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

所以脫敏工具需要能自動識別、發(fā)現(xiàn)敏感數(shù)據(jù)，能夠?qū)γ舾行畔⑦M行管理(用戶自定義敏感數(shù)據(jù))和審計。

但需要注意，在向第三方人員提供敏感數(shù)據(jù)的時候，例如進行應(yīng)用開發(fā)、測試、培訓(xùn)以及數(shù)據(jù)分析時，必須對數(shù)據(jù)進行嚴格脫敏。

數(shù)據(jù)脫敏需要遵從以下兩個原則：首先，數(shù)據(jù)不能被反向還原;不同表之間的數(shù)據(jù)被脫敏后，其數(shù)據(jù)關(guān)系依然能夠保持。也就是說如果多個表中需要脫敏同一數(shù)據(jù)，比如手機號碼，采用相同MD5加密算法，則多個表中同一個手機號碼脫敏后的MD5值應(yīng)保持一致，以保持數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系進行后續(xù)多維關(guān)聯(lián)分析。

5、做數(shù)據(jù)共享

數(shù)據(jù)的價值只能在流動中才能充分發(fā)揮和體現(xiàn)，只有這樣數(shù)據(jù)才能保持增值。傳統(tǒng)企業(yè)中由于數(shù)據(jù)沒有共享，各部門、各政府單位、各企業(yè)之間的數(shù)據(jù)流通渠道不暢。

近年來，政府的“一站式服務(wù)大廳” / “全科式綜合服務(wù)窗口”提升了政務(wù)服務(wù)效率和服務(wù)水平，其背后就是各級政府在打通不同部門之間的數(shù)據(jù)互聯(lián)互通。

傳統(tǒng)的數(shù)據(jù)共享，存在多種交換方式或交換工具，不易于維護管理，也不利于數(shù)據(jù)安全。通過建立統(tǒng)一的數(shù)據(jù)共享平臺，支持對多源、多類型數(shù)據(jù)的統(tǒng)一接口管理、統(tǒng)一模型管理，并在不同系統(tǒng)之間做好安全認證管理，易于引用數(shù)據(jù)集成，幫助企業(yè)屏蔽底層技術(shù)平臺的差異，保護投資。

6、做數(shù)據(jù)分析

通過數(shù)據(jù)治理，不僅企業(yè)自身數(shù)據(jù)質(zhì)量得以提升，同時通過第三方數(shù)據(jù)獲取到其他行業(yè)維度的高質(zhì)量共享數(shù)據(jù)信息，這些全部的數(shù)據(jù)存儲到大數(shù)據(jù)平臺中。企業(yè)中業(yè)務(wù)人員、技術(shù)人員甚至可以引入第三方廠家應(yīng)用企業(yè)大數(shù)據(jù)平臺中的數(shù)據(jù)資產(chǎn)，通過數(shù)據(jù)可視化、即席查詢、全文檢索、數(shù)據(jù)挖掘、機器學(xué)習(xí)以及數(shù)據(jù)大屏等手段實現(xiàn)精準營銷、風(fēng)險評估、趨勢預(yù)測、用戶畫像等多種企業(yè)數(shù)據(jù)應(yīng)用場景。

這些都是新炬網(wǎng)絡(luò)數(shù)據(jù)資產(chǎn)管理及大數(shù)據(jù)平臺解決方案在做的事情，大數(shù)據(jù)平臺建設(shè)與數(shù)據(jù)治理、數(shù)據(jù)安全管理、數(shù)據(jù)共享可以依據(jù)企業(yè)目前數(shù)據(jù)管理水平和重點制定適應(yīng)企業(yè)現(xiàn)狀的數(shù)據(jù)資產(chǎn)管理統(tǒng)一的規(guī)劃和實施路線圖，循序漸進地實現(xiàn)數(shù)據(jù)資產(chǎn)管理和數(shù)據(jù)增值。

作者介紹

楊志洪，DBAplus社群聯(lián)合發(fā)起人，新炬網(wǎng)絡(luò)首席布道師，對數(shù)據(jù)庫、數(shù)據(jù)管理有深入研究，合譯《Oracle核心技術(shù)》。