前言：尋找寫作靈感？中文期刊網用心挑選的數據治理中安全保障措施的思考，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：數據安全治理目前仍存在管理體系、共享制度、安全意識等方面不足，在數據安全戰略的指導下，應通過數據治理來確保數據處于有效、合法的狀態；再通過建設數據安全治理等相關組織，制定數據安全相關制度規范，構建數據安全技術體系，建設數據安全人才隊伍梯隊等措施，以期完善全生命周期的數據安全治理體系，充分保護關鍵信息數據，保證數據合理合法安全使用。

關鍵詞：數據治理；數據安全；數據全生命周期管理

1研究背景和現狀

1.1研究背景

數據是參與分配的生產要素，2020年4月，中共中央、國務院印發《關于構建更加完善的要素市場化配置體制機制的意見》明確加快培育數據要素市場，推進政府數據開放共享、提升社會數據資源價值、加強數據資源整合和安全保護[1]。2021年9月1日起實施的《中華人民共和國數據安全法》多次提及數據安全治理，明確指出“數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。”“維護數據安全，應當堅持總體國家安全觀，建立健全數據安全治理體系，提高數據安全保障能力。”數據安全治理是圍繞“數據安全使用”的愿景，構建數據安全防護、數據敏感信息管理、數據合法利用三大目標的技術保障體系，從而達到“讓數據使用更安全”的目標[2]。

1.2數據安全現狀

當今，各行業的信息化水平均處于快速發展中的狀態，繼信息技術之后，數據已經成了信息化建設過程中的核心資產。為了保障企事業單位信息化的發展成果[3]，數據資產需要通過合理的處理、使用并保證其安全，甚至還可以產生出更具有價值與創新性的成果。以高校為例，“互聯網+”環境下的高校信息化，業務交叉使得各領域邊界的劃分日益模糊。網絡接入方式多樣化、各類信息數據公開透明化，關鍵數據容易被遞歸、溯源、重組。數據歸口眾多、時間跨度較長，數據面臨泄露、勒索攻擊等安全問題，主要表現在以下幾點：（1）高校個人信息泄露頻繁發生高校在業務活動中掌握的大量個人信息，也是地下產業鏈中認為較有價值的數據。泄露的主要方式一是利用爬蟲技術進行外部獲取，二是通過嗅探數據庫或者系統漏洞進行直接拷貝，三是管理人員安全意識淡薄，直接將數據暴露在互聯網。如2020年，河南鄭州西亞斯學院近兩萬名學生信息遭到泄露，包括姓名、身份證號、專業、宿舍門牌號等二十余項信息，學生收到大面積、高頻率的騷擾信息。（2）高價值敏感數據篡改高校財務、科研成果、人事檔案等高價值敏感的數據，也逐漸成為黑客獲取販賣及篡改的對象。例如，某大學在校學生，利用該校的校園卡充值系統的漏洞，將其破解并在兩年內盜刷近兩萬余元，最終被北京海淀警方抓獲并刑拘。四川某高校大四畢業生，通過利用該校教務系統漏洞，獲取該系統的管理員權限，并收取報酬來幫助該校學生修改考試成績，最終被法院判處有期徒刑五年。（3）新技術應用及外部企業濫采濫用新應用在極大促進生產力發展和人民生活便利的同時，也帶來了安全方面的不確定性。例如人工智能對分散數據的關聯分析和深度發掘，可引發侵犯用戶隱私、危害國家數據安全等傳統安全風險。由于數據收集使用可創新商業營收模式，進而實現利益最大化，因此數據成了互聯網企業發展和盈利的核心引擎，成了各個平臺企業追逐的商業目標。高校教師及大學生是新技術應用最容易接受的群體，加之大學生自我保護意識較弱，個人信息容易被濫采濫用，最終導致其權益受到侵犯。

2當前數據安全治理的缺陷分析

2.1缺乏統一的數據分級分類體系

對于企事業單位而言，數據類型繁多，數據規模不斷擴大，數據分級分類缺乏統一的體系，數據源的鑒別、數據質量的把控、數據使用傳播范圍的界定、關鍵敏感數據的識別存在一定難度。

2.2缺乏完善的全周期數據安全管理體系

數據安全管理需涵蓋數據治理的全周期，對數據治理的技術[4]、人員、管理等都有較高的要求。隨著《網絡安全法》的實施，企事業單位對網絡安全更為重視，也制定了相應的內部網絡安全管理辦法，大部分企事業單位將數據安全作為網絡安全的一部分納入安全管理中，但普遍操作性欠佳，也不夠全面。

2.3數據權屬不分，數據安全意識較為薄弱

數據全周期治理過程中，數據權屬較難界定，在發生數據泄露時，難以溯源定責。數據管理人員及用戶的數據安全意識仍較為薄弱，隨著數據采集、共享的深入，關聯分析用戶數據容易造成關鍵敏感信息的泄露。

3改進措施探討

3.1安全保障措施的目標

安全保障措施的目標是通過政府、行業組織、科研機構、企業、個人等多元組織共治構建一個數據安全治理體系[3]，體系包括數據治理安全架構、綜合治理模型、數據安全保障能力、關鍵信息保護等核心要素。[4]

3.2數據治理安全架構設計

數據治理過程中，可以將安全措施分為三個層面，包括過程管理、通用能力、保障體系、三個層面[5]。在過程管理層面，如圖1所示，可以采用“數據采集、數據傳輸、數據存儲、數據處理、數據交換、數據銷毀”[6]6大階段的全生命周期管理，并提出相應的核心管控內容和系統化的安全防護要求。在通用能力層面，可以通過多個技術角度來發展好數據安全的通用能力，包括數據安全合規管理、數據血緣管理、認證加密管理等等，從而能夠更好地支撐上層的數據安全治理體系。在保障體系層面，也可以從以下多個方面來建立數據安全組織保障與數據安全運營模式，包括組織架構、制度體系、人員管理、數據安全運營等等。在架構最頂層，各行業需要結合各自的實際情況，以及各層級的監管、主管部門的要求，制定數據安全原則，促使產生數據安全所需求的核心驅動力。在數據采集環節，從數據的源頭確保數據采集合理、合規、合法。在數據的內部流轉環節，從數據的傳輸、存儲、使用、銷毀等環節確保數據的安全性、可用性、機密性[7]。在數據的外部共享環節，確保數據的安全合規共享，避免數據泄露等系統性數據安全風險。

3.3數據安全管理制度的建立

在保護數據安全與信息化建設的工作中，相關的主要管理部門需要發揮數據管理、監測的職責，保護好本行業的數據安全，加強相關保護措施。因此，各行業單位需要建立相關的數據安全管理機構，設立相關機構部門的數據安全負責人，從而能夠確保數據安全責任的落實。再者，需要通過了解數據資產的總體情況，分析重點數據的相關架構深度，建立重點數據的索引目錄，從而做到對重點數據進行分門別類。最后通過建立相關的數據安全應急處置機制與應急處理預案，并按需進行定期演練。數據合規管理制度應在法律法規合規的基礎上，從業務數據安全需求、數據安全風險控制需要出發，圍繞數據的安全性、可用性、機密性進行制定。如表1所示，管理制度文件可以分為四個層面，一、二級文件作為上層管理要求，應具備科學性、合理性、完備性及普適性。三、四級文件則是對上層管理要求的細化解讀[8]，用于指導具體業務場景的具體工作。

3.4關鍵信息數據保護

要定義單位關鍵信息數據，需先摸清相關數據信息的業務使用場景，充分了解并標識出關信息數據的范圍，并對相關關鍵數據信息進行風險評估，從而落實關鍵信息數據的保護方案并跟蹤其效果。各行業單位可以根據自身情況，設計確立建設各時期保護關鍵信息數據的短中長期目標[9]，并在滿足國內外規章制度的前提條件下，確保信息數據的生命周期安全。關鍵信息保護會涉及單位的多個方面，既要實施管理和技術的雙重戰略，又需要各部門及不同角色之間的緊密配合。以個人隱私數據為例，根據當前國內的各行業情況，個人隱私數據的監察管理重點主要包括以下這幾個方面：在未經用戶同意違規收集個人隱私數據、強制用戶提供權限來正常使用軟件、用戶隱私數據保護不足、違法建立用戶畫像并用其進行廣告退款、未成年人信息保護失效以及擅自使用用戶個人隱私信息等等。而在我國的《個人信息保護法》中，規定了用戶個人對自身的個人信息具有決定權、知情權、更正補充權、查閱復制權、刪除權等權利；并且，對在用戶個人同意以外的場合，也規定了需要合法處理用戶個人信息的情形[10]。可以根據優先級進行排序，根據短中長期設定保護的目標。

4結束語

數據作為企事業單位的信息化核心戰略資產，深刻影響企事業單位決策、組織和業務流程，以抵御攻擊為中心，以區域隔離、安全域劃分為目標，以邊界防護為主要安全策略的傳統的安全保障措施已經滿足不了數據治理安全的需求。只有建立和完善一套“合規+安全”的數據治理安全體系，才能確保數據在采集、存儲、使用、流轉及銷毀的全生命周期過程中能夠符合國家的法律法規要求，同時確保數據的完整性、保密性及可用性，讓數據在安全的流通中創造價值。

作者：胡貞華 陳雪花 單位：韶關學院信息工程學院 韶關學院智能工程學院