易华录提出面向数据湖的数据安全治理框架

在“十四五”规划明确提出加快构建全国一体化大数据中心体系的背景下，易华录数据湖以低能耗、跨领域、跨系统的特性提供了全新的技术架构。此外，《数据安全法》等法律法规的相继出台，对数据安全保护提出了更高的合规性要求。通过对易华录数据湖概念、架构、实践案例的分析，从技术和管理两个维度梳理数据湖未来可能存在的安全合规风险，提出面向数据湖的数据安全治理框架。

该框架以数据的合规安全应用为目标，提出1个数据域和5个安全域，从数据的入湖到安全的治理，构建数据全生命周期的安全管理和防护能力，并通过5个阶段的治理流程形成闭环，持续完善优化数据安全治理能力，探索出一条具有中国特色的数据安全治理之道。

数据湖产业布局初具规模

数据安全合规需求日趋迫切

易华录以蓝光存储产品为核心，电磁光融合存储系统为底座，利用大数据、人工智能、云计算、区块链等新技术，形成超级存储、超级计算、超级联接的新一代数字经济基础设施，是目前数据湖实践的典型代表，已经在天津、徐州、无锡等33个省市有落地案例。易华录数据湖定位城市的数字化关键基础设施，实现数据的汇聚、存储、加工、应用，利用核心的光磁一体化云存储平台及自研的数据中台、算法中台等，提供城市大脑、交通大脑等城市智慧型应用，并推动落地“数据银行”这一数据要素价值化动态新模式。其技术架构覆盖了数据采集、数据传输、数据存储、数据加工、数据交换、数据销毁的全生命周期，对数据湖中汇聚的数据资产进行整体的规划和统一的治理，确保数据高效流转和安全合规的使用。

数据湖中存储原生数据，为解决数据孤岛问题，进行跨领域、跨系统的数据应用，挖掘数据价值扩展业务需求，提供了全新的技术架构，同时也为数据质量、数据安全、数据治理、数据探索提出了更高的要求。

符合国家数据中心一体化创新战略

应对未来数据安全合规风险

2020年12月，发改委发布关于加快构建全国一体化大数据中心协同创新体系的指导意见，提出“到2025年，全国范围内数据中心形成布局合理、绿色集约的基础设施一体化格局”。2021年3月，“十四五”规划明确提出要“加快构建全国一体化大数据中心体系，强化算力统筹智能调度，建设若干国家枢纽节点和大数据中心集群，建设E级和10E级超级计算中心”的远景规划。在全国数据中心大型化、一体化、绿色化建设背景下，易华录数据湖以其低能耗、跨领域、跨系统的特性为全国一体化大数据中心协同创新体系提供了全新的技术架构。《数据安全法》等法律法规的正式施行，更是对数据安全保护提出了更高的合规性要求。根据易华录数据湖的定位及技术架构体系，未来可能面临的安全合规风险体现在两个方面。数据全生命周期流转中的技术安全风险主要结合数据湖本身的业务需求和技术架构特点，以数据为核心，全生命周期为依据，主要有采集阶段的数据源的认证和质量风险;数据传输阶段的数据泄露、数据篡改风险;数据存储阶段的数据窃取、数据丢失风险;数据加工和交换阶段的数据隐私和越权访问风险;数据销毁阶段的残余风险等。数据隐私合规的管理安全风险主要结合数据湖的战略定位和政策导向，从组织架构、人员能力和制度流程等方面梳理目前存在的管理安全风险，主要涉及组织构建的不完善、人员能力的不成熟和制度流程的不合规等。这两个方面的安全风险的防护和消减需要综合考虑、同步规划，提升数据安全技术工具的防护能力，健全数据安全隐私合规的管理能力，确保与业务需求之间的平衡。

构建面向数据湖的数据安全治理框架全面提升央企党管数据安全能力

面向数据湖的数据安全治理框架从顶层规划开始，以数据的合规保障和安全使用为目标，构建了管理、监管、运营三大体系。

管理体系从组织规划、制度建设等方面为数据安全治理提供顶层体系和规范支撑;监管体系以数据全生命周期安全为维度，实现数据安全的管控和审计;运营体系在运维、评估、应急管理的过程中，形成可持续优化的数据安全运营能力。

具体建设1个数据域和5个安全域，5个安全域分别为安全过程域、安全能力域、安全场景域、安全生态域和安全执行域。通过数据安全治理框架6个域的建设，全面提升中央企业党管数据的内生安全保障和外生安全服务能力。

数据域主要定义数据湖入湖数据的质量要求，确保汇入数据的一致性、完整性、及时性、唯一性、有效性和准确性。统一数据源、数据语言的高质量数据也为数据安全治理打下了良好的基础。

安全过程域将数据安全的风险和防护手段从数据全生命周期针对性进行分析，并归纳共性的安全风险和防护手段形成数据通用安全。

基于安全过程域的风险场景划分，从组织建设、制度流程、技术工具和人员能力四个方面构建安全能力域，每个能力项针对数据生命周期的各个阶段的安全风险提出相应的安全能力要求，逐步的构建和完善数据安全的管理和防护能力。

安全场景域从数据应用的角度出发，定义了数据湖业务中一些典型的数据应用场景，满足这些数据应用场景的安全需要从业务需求、数据类型、技术特性等方面进行分析，形成数据+场景的多维度安全防护体系。

安全执行域作为数据安全治理的执行落地方法，从组织规划、资产梳理、制度管理、技术监管和运营优化5个阶段形成数据安全的管理、监管和运营能力，并不断成熟，持续优化。

最后，基于数据湖的数据安全能力，定义安全生态域，从安全产业、安全服务、安全技术和安全人才四个方面，构建基于数据湖的安全产业落地、安全服务输出、安全技术研究、安全人才培养等生态能力，实现数据湖在数据安全领域的业务拓展和产业融合。

实践面向数据湖的数据安全治理流程

持续优化数据安全运营服务能力

面向数据湖的数据安全治理框架中，安全执行域定义了框架中实际落地执行的流程，5个阶段分别为组织规划、资产梳理、制度管理、技术监管和运营优化。5个阶段以PDCA理论为指导，在规划和建设的过程中不断的成熟和完善，形成数据安全治理的闭环优化。

组织规划阶段是数据安全治理的第一步，首要任务就是建立专门的数据安全治理团队，确保数据安全治理工作可以自上而下有组织、有规划的持续进行。团队的组织架构一般划分为决策层、管理层、执行层和审计层。

在数据安全治理团队建立后，下一步就是进行数据资产的盘点和梳理，资产的梳理通过人工+技术工具的方式进行，首先要根据数据的属性、类型和所属行业进行分类分级定义，识别重要数据资产和关键系统访问，基于此从资产分布、资产访问、资产风险三个维度进行梳理。

制度管理阶段从组织层面将制度流程形成体系化框架，制度体系一般划分为四级，四级文件之间相互关联并存在逻辑关系，内容之间不存在矛盾或重复的内容。

技术监管阶段主要是围绕数据安全各阶段和应用场景的安全风险，整合需要的安全技术、工具、算法、平台等，针对数据不同阶段和场景使用不同的技术工具进行安全管控，并对数据的访问进行细颗粒度的访问控制，数据流转的全流程进行监控审计和行为分析，确保数据资产的完整可用和数据使用的安全合规。

运营优化阶段通过构建统一的数据运营平台，定期开展风险评估，对数据湖业务系统的数据、系统进行风险识别，进行风险处理和安全加固，出具风险评估报告。日常运维管理实时监测数据安全的风险态势，并对安全事件进行报警、处置和追溯。构建数据安全的应急响应体系，完善应急处理的流程和预案，定期开展应急演练，确保在发生数据安全事件时可以及时处置，保障数据安全资产和业务系统的安全。通过运维、评估、应急能力的构建和完善，不断形成可持续性优化的运营能力。

原文标题：数据安全治理：探索数据湖的中国特色安全治理之道

文章出处：【微信公众号：易华录】欢迎添加关注!文章转载请注明出处。

审核编辑：汤梓红