一、數(shù)據(jù)泄露亂象頻發(fā)

前不久剛發(fā)生了Facebook數(shù)據(jù)泄露事件，F(xiàn)acebook首席執(zhí)行官馬克·扎克伯格在長(zhǎng)達(dá)10個(gè)小時(shí)里接受了近百名美國(guó)議員的拷問(wèn)，回答了關(guān)于數(shù)據(jù)隱私、虛假信息、監(jiān)管等共計(jì)600個(gè)問(wèn)題。

[[227443]]

今年5月25日，歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)將會(huì)生效，該條例包含了263頁(yè)共99條詳細(xì)規(guī)范，其核心目標(biāo)是讓企業(yè)真正將用戶個(gè)人數(shù)據(jù)保護(hù)起來(lái)，真正將嚷嚷多年的數(shù)據(jù)安全保護(hù)理論轉(zhuǎn)化為行為實(shí)踐。該條例還規(guī)定了嚴(yán)苛的處罰條款，對(duì)于違反條例的企業(yè)，“處以2千萬(wàn)歐元或者企業(yè)上一年度全球營(yíng)業(yè)收入的4%，兩者取其高。”

據(jù)新京報(bào)4月23日消息，外賣平臺(tái)用戶信息泄露，賣家、網(wǎng)絡(luò)運(yùn)營(yíng)公司以及外賣騎手參與其中，泄露的信息包括姓名、電話、性別和地址等。據(jù)記者調(diào)查，報(bào)價(jià)甚至可以低至1萬(wàn)條個(gè)人隱私僅需800元。特別可怕的是，這些數(shù)據(jù)每天更新4萬(wàn)條左右。

根據(jù)2015年11月1日起施行的刑法修正案九：“違反國(guó)家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。”

規(guī)定懲罰不可謂不嚴(yán)厲，火中取栗者依然絡(luò)繹不絕。

據(jù)黑奇士訂閱號(hào)從中國(guó)裁判文書(shū)網(wǎng)上查到，3月22日公開(kāi)的一份判決書(shū)顯示：某外賣平臺(tái)網(wǎng)陽(yáng)江地區(qū)銷售主管方某指示藍(lán)某，在2017年7月27日至8月2日期間，通過(guò)方某的外賣平臺(tái)賬號(hào)密碼竊取了大量商戶客戶個(gè)人信息，未來(lái)得及出售。2017年12月1日，法院宣判，因?yàn)榍址腹駛€(gè)人信息罪，方某被判6個(gè)月有期徒刑，緩刑一年;藍(lán)某被判7個(gè)月有期徒刑，緩刑一年。

而新京報(bào)報(bào)道的是已經(jīng)或正在發(fā)生的已經(jīng)出售和正在泄露的數(shù)據(jù)。“專家表示，類似外賣平臺(tái)外泄這樣的數(shù)據(jù)，是黑產(chǎn)界的原油，通過(guò)這些數(shù)據(jù)，可以衍生出很多安全問(wèn)題。”如果參照GDPR的懲罰標(biāo)準(zhǔn)，外賣平臺(tái)2017年?duì)I收330億，懲罰4%將是13.2億人民幣。

無(wú)獨(dú)有偶，在英國(guó)，2017年有近一半的企業(yè)報(bào)告至少發(fā)生一次數(shù)據(jù)泄露或數(shù)據(jù)泄露未遂。在中國(guó)，大家從收到的手機(jī)垃圾短信就可以知道，發(fā)生數(shù)據(jù)泄露的企業(yè)的比例只會(huì)更高。

二、數(shù)據(jù)管理不良的后果

全球數(shù)據(jù)中心服務(wù)提供商Telehouse建立了一個(gè)信息圖表，展示了數(shù)據(jù)管理不良將有12種最壞的危險(xiǎn)面：

1. 可能面臨安全漏洞或攻擊。公司越大，擁有的數(shù)據(jù)越多，就越會(huì)被網(wǎng)絡(luò)犯罪盯上。
2. 可能丟失或泄露數(shù)據(jù)。在2017年5月中旬至7月發(fā)生的著名的Equifax數(shù)據(jù)泄露事件中，有80萬(wàn)英國(guó)消費(fèi)者的個(gè)人身份信息被黑客竊取。
3. 員工數(shù)據(jù)處于危險(xiǎn)境地。最近，英國(guó)一名15歲的少年通過(guò)社會(huì)工程(他是怎么做到的?假裝是中情局局長(zhǎng)。)獲得了在阿富汗和伊朗的秘密行動(dòng)的情報(bào)信息。
4. 遭受DDOS攻擊。
5. 損失很多錢財(cái)。預(yù)計(jì)到2021年，全球網(wǎng)絡(luò)犯罪造成的損失將超過(guò)60億美元。所以我國(guó)2017年6月1日起施行了《網(wǎng)絡(luò)安全法》，2018年4月23日人民日?qǐng)?bào)客戶端發(fā)表的文章《網(wǎng)絡(luò)安全，沒(méi)有意識(shí)到風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)》一天的瀏覽量是43.5萬(wàn)，文章講述習(xí)近平在4月20日至21日的全國(guó)網(wǎng)信會(huì)議上強(qiáng)調(diào)“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，就沒(méi)有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行”，而網(wǎng)絡(luò)安全的核心就是數(shù)據(jù)安全。
6. 可能違反法律。
7. 知識(shí)產(chǎn)權(quán)或商業(yè)秘密處于危境。
8. 可能感染病毒。
9. 成為黑客攻擊目標(biāo)。
10. 遭受破壞性停機(jī)。
11. 聲譽(yù)受損。
12. 丟失物理數(shù)據(jù)。在卷入重大事故的企業(yè)中，70%以上未能重新開(kāi)張，或者在事故發(fā)生后的三年內(nèi)倒閉。

三、企業(yè)面臨數(shù)據(jù)管理兩難境地

數(shù)據(jù)管理不良所可能引發(fā)后果的確引起了業(yè)界對(duì)數(shù)據(jù)管理的思考。

最近跟一些金融行業(yè)的客戶交流，國(guó)家近年來(lái)對(duì)數(shù)據(jù)的管控要求更嚴(yán)格(當(dāng)然，數(shù)據(jù)治理水平都要跟監(jiān)管級(jí)別掛鉤了)，上個(gè)月銀監(jiān)會(huì)為了引導(dǎo)銀行業(yè)金融機(jī)構(gòu)加強(qiáng)數(shù)據(jù)治理就發(fā)布了《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引(征求意見(jiàn)稿)》，詳情可見(jiàn)此前我在社群發(fā)布過(guò)的文章《規(guī)避FB數(shù)據(jù)危機(jī)，詳解銀監(jiān)會(huì)數(shù)據(jù)治理指引落地路線》。

所以說(shuō)，不論是出于合規(guī)性要求，還是出于提高市場(chǎng)競(jìng)爭(zhēng)力的渴望，都迫使金融企業(yè)們加強(qiáng)數(shù)據(jù)的管理。研究機(jī)構(gòu)IDG對(duì)100多位美國(guó)企業(yè)IT高層進(jìn)行過(guò)調(diào)查，75%的人表示，與兩年前相比，IT安全問(wèn)題變得更加重要。數(shù)據(jù)安全問(wèn)題向來(lái)令人糾結(jié)，企業(yè)致力于保護(hù)數(shù)據(jù)的同時(shí)，又要顧及業(yè)務(wù)發(fā)展。

這似乎進(jìn)入了一個(gè)兩難境地，企業(yè)一方面要加強(qiáng)自身數(shù)據(jù)的安全管理不要泄露或被攻擊，另一方面又千方百計(jì)地想從其他企業(yè)獲取更多維度的數(shù)據(jù)，補(bǔ)全已經(jīng)擁有的客戶信息以完善用戶畫(huà)像，實(shí)現(xiàn)精準(zhǔn)營(yíng)銷或風(fēng)險(xiǎn)控制。

其實(shí)企業(yè)不管數(shù)據(jù)多少，如果不管理、不治理，企業(yè)的數(shù)據(jù)就沒(méi)有質(zhì)量、沒(méi)有數(shù)據(jù)安全，那存儲(chǔ)再多數(shù)據(jù)都是浪費(fèi)資源，甚至可能因?yàn)榘踩珕?wèn)題功虧一潰。

隨著智能設(shè)備、物聯(lián)網(wǎng)的發(fā)展，企業(yè)將來(lái)的數(shù)據(jù)量，每年都會(huì)比上一年有更大幅度的增加。數(shù)據(jù)增長(zhǎng)越來(lái)越快，管理起來(lái)將非人力所能及，所以就必須有一種質(zhì)量控制或者是衡量的方法。

四、落實(shí)數(shù)據(jù)資產(chǎn)管理的方法

1、高層領(lǐng)導(dǎo)組織架構(gòu)

開(kāi)啟數(shù)據(jù)資產(chǎn)管理第一步，是由高層領(lǐng)導(dǎo)的組織架構(gòu)。

很多人都聽(tīng)過(guò)數(shù)據(jù)治理、數(shù)據(jù)質(zhì)量管理、數(shù)據(jù)資產(chǎn)管理，但很難分得清楚它們都是在干些什么。對(duì)于缺乏數(shù)據(jù)管理基礎(chǔ)的傳統(tǒng)企業(yè)來(lái)說(shuō)，第一步往往需要把散落在各個(gè)部門和系統(tǒng)中數(shù)據(jù)進(jìn)行梳理，制定統(tǒng)一的數(shù)據(jù)管理制度和流程，使數(shù)據(jù)重新回到企業(yè)的掌握之中。

這個(gè)階段，其實(shí)叫什么名字關(guān)系不大，重要的是啟動(dòng)數(shù)據(jù)管理這輛列車。在啟動(dòng)數(shù)據(jù)管理的實(shí)際過(guò)程中常常會(huì)遭遇到來(lái)自不同部門的抵觸，他們站在自己部門的立場(chǎng)，可能會(huì)擔(dān)心失去數(shù)據(jù)的擁有權(quán)而導(dǎo)致利益受損，而不愿意合作梳理、整合和共享數(shù)據(jù)。

因此，需要建立一個(gè)企業(yè)高層領(lǐng)導(dǎo)下的數(shù)據(jù)管理組織架構(gòu)，如數(shù)據(jù)資產(chǎn)管理委員會(huì)，或數(shù)據(jù)管控委員會(huì)，又或是數(shù)據(jù)治理委員會(huì)，來(lái)協(xié)調(diào)企業(yè)內(nèi)各職能部門和技術(shù)部門共同完成企業(yè)數(shù)據(jù)管理。這個(gè)組織中負(fù)責(zé)人可以由CDO擔(dān)任，也可以由CIO兼任，但務(wù)必是由企業(yè)CXO層面的高層領(lǐng)導(dǎo)下。

2、做元數(shù)據(jù)管理

數(shù)據(jù)管理的列車啟動(dòng)，不同部門數(shù)據(jù)梳理整合，首先要做的元數(shù)據(jù)采集、梳理和整合，搞清楚從企業(yè)高管、數(shù)據(jù)開(kāi)發(fā)人員、分析人員到數(shù)據(jù)運(yùn)維人員等企業(yè)不同角色對(duì)元數(shù)據(jù)管理的期望，采用合適的元數(shù)據(jù)管理工具搞定元數(shù)據(jù)采集、存儲(chǔ)、查找，并能分析數(shù)據(jù)的來(lái)源和流向方便用戶跟蹤關(guān)鍵信息，完善血緣分析。

3、做數(shù)據(jù)標(biāo)準(zhǔn)

傳統(tǒng)企業(yè)大多數(shù)IT系統(tǒng)建設(shè)的時(shí)候都是豎井式的建設(shè)模式，只考慮自身業(yè)務(wù)需求而從不考慮與其他系統(tǒng)數(shù)據(jù)設(shè)計(jì)一致性，缺乏對(duì)數(shù)據(jù)的通盤整體設(shè)計(jì)考慮，所以造成了數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)各異、數(shù)據(jù)標(biāo)準(zhǔn)依據(jù)不同統(tǒng)計(jì)口徑無(wú)法匹配，業(yè)務(wù)口徑不統(tǒng)一等問(wèn)題，因此要做數(shù)據(jù)標(biāo)準(zhǔn)管理。

統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)管理可以在業(yè)務(wù)、技術(shù)和管理等多個(gè)方面給企業(yè)提供支撐：

• 在技術(shù)層面，相同的數(shù)據(jù)標(biāo)準(zhǔn)可以減少大量的數(shù)據(jù)轉(zhuǎn)換和清洗工作，提升數(shù)據(jù)處理效率并易于數(shù)據(jù)共享和交換;
• 在業(yè)務(wù)層面可以提升業(yè)務(wù)規(guī)范性，明確數(shù)據(jù)業(yè)務(wù)含義，不同業(yè)務(wù)部門以及業(yè)務(wù)技術(shù)之間溝通更加流暢，可以提升數(shù)據(jù)對(duì)業(yè)務(wù)分析的支持力度;
• 在管理層面，數(shù)據(jù)標(biāo)準(zhǔn)管理有助于及時(shí)、準(zhǔn)確、完整地提供高質(zhì)量的數(shù)據(jù)，有利于決策支持。

數(shù)據(jù)標(biāo)準(zhǔn)管理的落地分為標(biāo)準(zhǔn)規(guī)劃(確定實(shí)施范圍并根據(jù)優(yōu)先級(jí)和難易度定計(jì)劃)、調(diào)研(調(diào)查問(wèn)卷、訪談、文檔資料搜集等)、設(shè)計(jì)(業(yè)務(wù)描述定義、類型長(zhǎng)度定義等)、映射(定義好的數(shù)據(jù)標(biāo)準(zhǔn)與已有業(yè)務(wù)應(yīng)用映射，實(shí)現(xiàn)數(shù)據(jù)關(guān)系轉(zhuǎn)換)和執(zhí)行(分析出數(shù)據(jù)缺失或不一致問(wèn)題，補(bǔ)錄數(shù)據(jù))等階段，在標(biāo)準(zhǔn)執(zhí)行的過(guò)程中再進(jìn)行不斷改進(jìn)和完善。

4、做安全管理

與此同時(shí)，更重要的是做好數(shù)據(jù)安全管理。我在與一個(gè)交易所客戶交流的時(shí)候，他提了一個(gè)問(wèn)題：怎么識(shí)別敏感數(shù)據(jù)、怎么脫敏才安全?交易所的數(shù)據(jù)很多，但是怎樣能放心放開(kāi)來(lái)做大數(shù)據(jù)分析?

按照網(wǎng)絡(luò)安全法的規(guī)定：

• 個(gè)人信息，是指以電子或者其他方式記錄的，能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息。包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。

所以脫敏工具需要能自動(dòng)識(shí)別、發(fā)現(xiàn)敏感數(shù)據(jù)，能夠?qū)γ舾行畔⑦M(jìn)行管理(用戶自定義敏感數(shù)據(jù))和審計(jì)。

但需要注意，在向第三方人員提供敏感數(shù)據(jù)的時(shí)候，例如進(jìn)行應(yīng)用開(kāi)發(fā)、測(cè)試、培訓(xùn)以及數(shù)據(jù)分析時(shí)，必須對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格脫敏。

數(shù)據(jù)脫敏需要遵從以下兩個(gè)原則：首先，數(shù)據(jù)不能被反向還原;不同表之間的數(shù)據(jù)被脫敏后，其數(shù)據(jù)關(guān)系依然能夠保持。也就是說(shuō)如果多個(gè)表中需要脫敏同一數(shù)據(jù)，比如手機(jī)號(hào)碼，采用相同MD5加密算法，則多個(gè)表中同一個(gè)手機(jī)號(hào)碼脫敏后的MD5值應(yīng)保持一致，以保持?jǐn)?shù)據(jù)之間的關(guān)聯(lián)關(guān)系進(jìn)行后續(xù)多維關(guān)聯(lián)分析。

5、做數(shù)據(jù)共享

數(shù)據(jù)的價(jià)值只能在流動(dòng)中才能充分發(fā)揮和體現(xiàn)，只有這樣數(shù)據(jù)才能保持增值。傳統(tǒng)企業(yè)中由于數(shù)據(jù)沒(méi)有共享，各部門、各政府單位、各企業(yè)之間的數(shù)據(jù)流通渠道不暢。

近年來(lái)，政府的“一站式服務(wù)大廳” / “全科式綜合服務(wù)窗口”提升了政務(wù)服務(wù)效率和服務(wù)水平，其背后就是各級(jí)政府在打通不同部門之間的數(shù)據(jù)互聯(lián)互通。

傳統(tǒng)的數(shù)據(jù)共享，存在多種交換方式或交換工具，不易于維護(hù)管理，也不利于數(shù)據(jù)安全。通過(guò)建立統(tǒng)一的數(shù)據(jù)共享平臺(tái)，支持對(duì)多源、多類型數(shù)據(jù)的統(tǒng)一接口管理、統(tǒng)一模型管理，并在不同系統(tǒng)之間做好安全認(rèn)證管理，易于引用數(shù)據(jù)集成，幫助企業(yè)屏蔽底層技術(shù)平臺(tái)的差異，保護(hù)投資。

6、做數(shù)據(jù)分析

通過(guò)數(shù)據(jù)治理，不僅企業(yè)自身數(shù)據(jù)質(zhì)量得以提升，同時(shí)通過(guò)第三方數(shù)據(jù)獲取到其他行業(yè)維度的高質(zhì)量共享數(shù)據(jù)信息，這些全部的數(shù)據(jù)存儲(chǔ)到大數(shù)據(jù)平臺(tái)中。企業(yè)中業(yè)務(wù)人員、技術(shù)人員甚至可以引入第三方廠家應(yīng)用企業(yè)大數(shù)據(jù)平臺(tái)中的數(shù)據(jù)資產(chǎn)，通過(guò)數(shù)據(jù)可視化、即席查詢、全文檢索、數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)以及數(shù)據(jù)大屏等手段實(shí)現(xiàn)精準(zhǔn)營(yíng)銷、風(fēng)險(xiǎn)評(píng)估、趨勢(shì)預(yù)測(cè)、用戶畫(huà)像等多種企業(yè)數(shù)據(jù)應(yīng)用場(chǎng)景。

這些都是新炬網(wǎng)絡(luò)數(shù)據(jù)資產(chǎn)管理及大數(shù)據(jù)平臺(tái)解決方案在做的事情，大數(shù)據(jù)平臺(tái)建設(shè)與數(shù)據(jù)治理、數(shù)據(jù)安全管理、數(shù)據(jù)共享可以依據(jù)企業(yè)目前數(shù)據(jù)管理水平和重點(diǎn)制定適應(yīng)企業(yè)現(xiàn)狀的數(shù)據(jù)資產(chǎn)管理統(tǒng)一的規(guī)劃和實(shí)施路線圖，循序漸進(jìn)地實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)管理和數(shù)據(jù)增值。

作者介紹

楊志洪，DBAplus社群聯(lián)合發(fā)起人，新炬網(wǎng)絡(luò)首席布道師，對(duì)數(shù)據(jù)庫(kù)、數(shù)據(jù)管理有深入研究，合譯《Oracle核心技術(shù)》。