在“十四五”規劃明確提出加快構建全國一體化大數據中心體系的背景下，易華錄數據湖以低能耗、跨領域、跨系統的特性提供了全新的技術架構。此外，《數據安全法》等法律法規的相繼出臺，對數據安全保護提出了更高的合規性要求。通過對易華錄數據湖概念、架構、實踐案例的分析，從技術和管理兩個維度梳理數據湖未來可能存在的安全合規風險，提出面向數據湖的數據安全治理框架。

該框架以數據的合規安全應用為目標，提出1個數據域和5個安全域，從數據的入湖到安全的治理，構建數據全生命周期的安全管理和防護能力，并通過5個階段的治理流程形成閉環，持續完善優化數據安全治理能力，探索出一條具有中國特色的數據安全治理之道。

數據湖產業布局初具規模

數據安全合規需求日趨迫切

易華錄以藍光存儲產品為核心，電磁光融合存儲系統為底座，利用大數據、人工智能、云計算、區塊鏈等新技術，形成超級存儲、超級計算、超級聯接的新一代數字經濟基礎設施，是目前數據湖實踐的典型代表，已經在天津、徐州、無錫等33個省市有落地案例。易華錄數據湖定位城市的數字化關鍵基礎設施，實現數據的匯聚、存儲、加工、應用，利用核心的光磁一體化云存儲平臺及自研的數據中臺、算法中臺等，提供城市大腦、交通大腦等城市智慧型應用，并推動落地“數據銀行”這一數據要素價值化動態新模式。其技術架構覆蓋了數據采集、數據傳輸、數據存儲、數據加工、數據交換、數據銷毀的全生命周期，對數據湖中匯聚的數據資產進行整體的規劃和統一的治理，確保數據高效流轉和安全合規的使用。

數據湖中存儲原生數據，為解決數據孤島問題，進行跨領域、跨系統的數據應用，挖掘數據價值擴展業務需求，提供了全新的技術架構，同時也為數據質量、數據安全、數據治理、數據探索提出了更高的要求。

符合國家數據中心一體化創新戰略

應對未來數據安全合規風險

2020年12月，發改委發布關于加快構建全國一體化大數據中心協同創新體系的指導意見，提出“到2025年，全國范圍內數據中心形成布局合理、綠色集約的基礎設施一體化格局”。2021年3月，“十四五”規劃明確提出要“加快構建全國一體化大數據中心體系，強化算力統籌智能調度，建設若干國家樞紐節點和大數據中心集群，建設E級和10E級超級計算中心”的遠景規劃。在全國數據中心大型化、一體化、綠色化建設背景下，易華錄數據湖以其低能耗、跨領域、跨系統的特性為全國一體化大數據中心協同創新體系提供了全新的技術架構。《數據安全法》等法律法規的正式施行，更是對數據安全保護提出了更高的合規性要求。根據易華錄數據湖的定位及技術架構體系，未來可能面臨的安全合規風險體現在兩個方面。數據全生命周期流轉中的技術安全風險主要結合數據湖本身的業務需求和技術架構特點，以數據為核心，全生命周期為依據，主要有采集階段的數據源的認證和質量風險;數據傳輸階段的數據泄露、數據篡改風險;數據存儲階段的數據竊取、數據丟失風險;數據加工和交換階段的數據隱私和越權訪問風險;數據銷毀階段的殘余風險等。數據隱私合規的管理安全風險主要結合數據湖的戰略定位和政策導向，從組織架構、人員能力和制度流程等方面梳理目前存在的管理安全風險，主要涉及組織構建的不完善、人員能力的不成熟和制度流程的不合規等。這兩個方面的安全風險的防護和消減需要綜合考慮、同步規劃，提升數據安全技術工具的防護能力，健全數據安全隱私合規的管理能力，確保與業務需求之間的平衡。

構建面向數據湖的數據安全治理框架全面提升央企黨管數據安全能力

面向數據湖的數據安全治理框架從頂層規劃開始，以數據的合規保障和安全使用為目標，構建了管理、監管、運營三大體系。

管理體系從組織規劃、制度建設等方面為數據安全治理提供頂層體系和規范支撐;監管體系以數據全生命周期安全為維度，實現數據安全的管控和審計;運營體系在運維、評估、應急管理的過程中，形成可持續優化的數據安全運營能力。

具體建設1個數據域和5個安全域，5個安全域分別為安全過程域、安全能力域、安全場景域、安全生態域和安全執行域。通過數據安全治理框架6個域的建設，全面提升中央企業黨管數據的內生安全保障和外生安全服務能力。

數據域主要定義數據湖入湖數據的質量要求，確保匯入數據的一致性、完整性、及時性、唯一性、有效性和準確性。統一數據源、數據語言的高質量數據也為數據安全治理打下了良好的基礎。

安全過程域將數據安全的風險和防護手段從數據全生命周期針對性進行分析，并歸納共性的安全風險和防護手段形成數據通用安全。

基于安全過程域的風險場景劃分，從組織建設、制度流程、技術工具和人員能力四個方面構建安全能力域，每個能力項針對數據生命周期的各個階段的安全風險提出相應的安全能力要求，逐步的構建和完善數據安全的管理和防護能力。

安全場景域從數據應用的角度出發，定義了數據湖業務中一些典型的數據應用場景，滿足這些數據應用場景的安全需要從業務需求、數據類型、技術特性等方面進行分析，形成數據+場景的多維度安全防護體系。

安全執行域作為數據安全治理的執行落地方法，從組織規劃、資產梳理、制度管理、技術監管和運營優化5個階段形成數據安全的管理、監管和運營能力，并不斷成熟，持續優化。

最后，基于數據湖的數據安全能力，定義安全生態域，從安全產業、安全服務、安全技術和安全人才四個方面，構建基于數據湖的安全產業落地、安全服務輸出、安全技術研究、安全人才培養等生態能力，實現數據湖在數據安全領域的業務拓展和產業融合。

實踐面向數據湖的數據安全治理流程

持續優化數據安全運營服務能力

面向數據湖的數據安全治理框架中，安全執行域定義了框架中實際落地執行的流程，5個階段分別為組織規劃、資產梳理、制度管理、技術監管和運營優化。5個階段以PDCA理論為指導，在規劃和建設的過程中不斷的成熟和完善，形成數據安全治理的閉環優化。

組織規劃階段是數據安全治理的第一步，首要任務就是建立專門的數據安全治理團隊，確保數據安全治理工作可以自上而下有組織、有規劃的持續進行。團隊的組織架構一般劃分為決策層、管理層、執行層和審計層。

在數據安全治理團隊建立后，下一步就是進行數據資產的盤點和梳理，資產的梳理通過人工+技術工具的方式進行，首先要根據數據的屬性、類型和所屬行業進行分類分級定義，識別重要數據資產和關鍵系統訪問，基于此從資產分布、資產訪問、資產風險三個維度進行梳理。

制度管理階段從組織層面將制度流程形成體系化框架，制度體系一般劃分為四級，四級文件之間相互關聯并存在邏輯關系，內容之間不存在矛盾或重復的內容。

技術監管階段主要是圍繞數據安全各階段和應用場景的安全風險，整合需要的安全技術、工具、算法、平臺等，針對數據不同階段和場景使用不同的技術工具進行安全管控，并對數據的訪問進行細顆粒度的訪問控制，數據流轉的全流程進行監控審計和行為分析，確保數據資產的完整可用和數據使用的安全合規。

運營優化階段通過構建統一的數據運營平臺，定期開展風險評估，對數據湖業務系統的數據、系統進行風險識別，進行風險處理和安全加固，出具風險評估報告。日常運維管理實時監測數據安全的風險態勢，并對安全事件進行報警、處置和追溯。構建數據安全的應急響應體系，完善應急處理的流程和預案，定期開展應急演練，確保在發生數據安全事件時可以及時處置，保障數據安全資產和業務系統的安全。通過運維、評估、應急能力的構建和完善，不斷形成可持續性優化的運營能力。

原文標題：數據安全治理：探索數據湖的中國特色安全治理之道

文章出處：【微信公眾號：易華錄】歡迎添加關注!文章轉載請注明出處。

審核編輯：湯梓紅