數(shù)據(jù)安全底座設計核心 ：設計原則

上篇文章《數(shù)據(jù)時代，數(shù)據(jù)安全底座建設的必要性》簡單闡述了數(shù)據(jù)安全底座對于數(shù)據(jù)安全治理的重要作用，給大家一個簡單的提醒，隨著對數(shù)據(jù)安全底座的深入研究，數(shù)據(jù)安全底座能否最終發(fā)揮效能，不能單一考慮技術(shù)問題或管理問題，還要充分考慮工程問題、職權(quán)問題、現(xiàn)實問題、社會問題等多方面的內(nèi)容，所以作者認為數(shù)據(jù)安全底座的設計核心：數(shù)據(jù)安全底座的設計原則。原則正確，后續(xù)一切才有 了基礎，才有了方向。本文是作者認為數(shù)據(jù)安全底座在設計和建設過程中應該遵守的部分設計原則：

—1、合情、合理、合法—

合情，數(shù)據(jù)作為物質(zhì)資產(chǎn)存在，明確權(quán)屬是第一要務，數(shù)據(jù)權(quán)屬很容易界定，做到合情是第一準則。比如，數(shù)據(jù)權(quán)屬擁有者提出對數(shù)據(jù)后續(xù)的操作行為擁有知情權(quán)、監(jiān)督權(quán)等都是合情的。

合理，在數(shù)據(jù)業(yè)務處理過程中，其關(guān)聯(lián)者對數(shù)據(jù)行為操作是避無可少的，其操作行為需要強調(diào)合理性，不能超越自身的權(quán)力范圍。合理性，是數(shù)據(jù)安全底座設計在功能層面最重要的環(huán)節(jié)，用技術(shù)語言表達就是合理的授權(quán)和控制，用管理的語言表達就是責權(quán)利清楚。

合法，數(shù)據(jù)作為資產(chǎn)、作為重要要素，強調(diào)權(quán)屬問題，需要在法律和政策的框架下進行。鑒于數(shù)據(jù)的特殊性，數(shù)據(jù)安全底座是保障數(shù)據(jù)權(quán)屬、元數(shù)據(jù)關(guān)聯(lián)、數(shù)據(jù)服務、數(shù)據(jù)管理等多層面的合法性是重要工作之一，也是落實《數(shù)據(jù)安全法》、《個人信息保護法》等重要措施。合法性要求數(shù)據(jù)安全底座在框架上、技術(shù)上、管理上、體系上、系統(tǒng)上都需要考慮滿足法律要求。

—2、有效、有度、有節(jié)—

有效，數(shù)據(jù)是流動的，數(shù)據(jù)是多方面的，保障數(shù)據(jù)安全是一件很不容易的事情。數(shù)據(jù)安全底座對數(shù)據(jù)的保護做到有效這是能力的重要體現(xiàn)。做到有效性就需要數(shù)據(jù)安全底座具備全局性和適配性，在功能上要做到平臺、工具、策略、定制等多層次的聯(lián)動。

有度，數(shù)據(jù)安全底座針對數(shù)據(jù)的保護需要按照數(shù)據(jù)的價值高低匹配對應的方法不能一刀切。數(shù)據(jù)保護的核心是分類分級保護，所以，有度是數(shù)據(jù)安全底座需要按照數(shù)據(jù)的具體價值情況適配對應的保護機制，也要求數(shù)據(jù)安全底座提供多樣的保護手段，充分分析數(shù)據(jù)價值和應用場景是數(shù)據(jù)安全底座設計的重要工作。

有節(jié)，一方面數(shù)據(jù)安全不能一撮而就，需要長效落實；另一方面，數(shù)據(jù)安全不能監(jiān)守自盜，需要保障自身可控。為此數(shù)據(jù)安全底座一方面保障完整性的前提下進行長效擴展，一方面切實保障自身的安全和可控。

—3、能用、用好、好用—

能用，鑒于數(shù)據(jù)安全底座不是單一系統(tǒng)，而是一套完整的體系，做到能有效使用時第一步，為此數(shù)據(jù)安全底座在落地前期需要定格一個場景進行，不能求大求全。但是，作為數(shù)據(jù)安全底座本身，就需要支持由簡到難的落地過程，在功能必須做到按場景化設計，不能按技術(shù)功能性設計。

用好，數(shù)據(jù)安全是數(shù)據(jù)治理的核心，做不到安全的數(shù)據(jù)治理是災難性的，所以數(shù)據(jù)安全底座必須堅持保障安全要用好的原則。做到這一點，數(shù)據(jù)安全底座就需要按照在場景化適配上、功能封裝上、工具種類上、習慣兼容上做到盡可能的高度集成。做到這些就需要數(shù)據(jù)安全底座不光有完善的系統(tǒng)保障，還需要有配套的生長和開發(fā)保障。

好用，數(shù)據(jù)安全底座將隨著數(shù)據(jù)應用面的擴大而擴大應用范圍，使用安全底座的行為操作者和數(shù)據(jù)承載環(huán)境也會越來越復雜，這就要求數(shù)據(jù)安全底座在好用層面做到方方面面。做到這一點是很難得，需要大量和長期的系統(tǒng)打磨，這是個長線工作，也是個長期目標。數(shù)據(jù)安全底座在設計時需要制定好做好長期完善的應對機制。

—4、保障、服務、增值—

保障，數(shù)據(jù)安全底座對于數(shù)據(jù)首要的任務是安全保障，是數(shù)據(jù)安全底座建設的第一階段定位，這是最基本的目標定位。

服務，數(shù)據(jù)安全治理是數(shù)據(jù)治理重要的組成部分，數(shù)據(jù)安全底座在確?；景踩Ｕ系那疤嵯?，需要通過各項服務的提供來支持數(shù)據(jù)治理。服務提供成為數(shù)據(jù)安全底座第二階段的重要定位。

增值，安全保發(fā)展，發(fā)展促安全，是國家對安全和發(fā)展的定位。安全一方面的是保障作用，但是隨著業(yè)務的發(fā)展，安全也能成為業(yè)務，所以數(shù)據(jù)安全底座可以單獨以業(yè)務服務的形式為承建者結(jié)合實際情況獲得業(yè)務增值。數(shù)據(jù)安全底座要做到增值，就需要在每個部分具有業(yè)務化甚至是商業(yè)化的設計考慮，每個部分都盡可能的做到獨立成場景體系。

—5、意識、系統(tǒng)、運營—

意識，意識問題永遠是解決安全問題的首要工作，數(shù)據(jù)安全尤為如此。數(shù)據(jù)安全底座作為一個體系化的工程，必須重視安全意識的引導和強化作用。做到這一點，數(shù)據(jù)安全底座需要提供意識培養(yǎng)和訓練保障功能，整合和聯(lián)通外部能力公共為數(shù)據(jù)安全底座的應用單位開展安全意識強化功能。

系統(tǒng)，數(shù)據(jù)安全底座需要通過系統(tǒng)的方式提供相關(guān)技術(shù)、管理和保障功能，這一點無容置疑，能通過系統(tǒng)完成的業(yè)務處理的就盡量不需要人工參與，達到用系統(tǒng)的客觀性來彌補人性的主觀性。數(shù)據(jù)安全底座的系統(tǒng)性，一定要確保有效、高效、易用和完整。

運營，安全三分靠技術(shù)、七分靠管理。所以，數(shù)據(jù)安全底座在保障技術(shù)的前提下，提供完善的運營管理保障關(guān)乎數(shù)據(jù)安全治理的最終效果。做到這一點，就需要數(shù)據(jù)安全底座有完善的運營保障體系設計，做到管理、服務、職責等多個維度的可靠、可控并且無死角。

—總結(jié)—

上述內(nèi)容未完待續(xù)

任何事情只有想明白了，才有可能做好，所以數(shù)據(jù)安全底座應該遵循什么樣的設計原則，是數(shù)據(jù)安全底座能否適應需求，真正發(fā)揮作用最需要解決的核心問題。上述幾個原則僅是拋磚引玉，給大家一些考慮問題的方法而已，具體細致問題，希望大家自己把握。

(歡迎大家加入數(shù)據(jù)工匠知識星球獲取更多資訊。)

了解更多精彩內(nèi)容

長按，識別二維碼，關(guān)注我們吧！

數(shù)據(jù)工匠俱樂部

微信號：zgsjgjjlb

專注數(shù)據(jù)治理，推動大數(shù)據(jù)發(fā)展。