數(shù)據(jù)資產(chǎn)安全內(nèi)控優(yōu)化之“華為云”策略借鑒

余應(yīng)敏 張楠 吳浩哲

【摘 要】 隨著大數(shù)據(jù)產(chǎn)業(yè)的不斷發(fā)展，數(shù)據(jù)逐漸演變成為大數(shù)據(jù)公司的一項核心資產(chǎn)。由于種種原因，大數(shù)據(jù)公司目前在維護(hù)數(shù)據(jù)資產(chǎn)安全方面存在的問題接連暴露且有愈演愈烈的趨勢，引發(fā)社會各界的廣泛關(guān)注和激烈討論。基于此，文章將從管理層重視程度、數(shù)據(jù)生命周期安全、數(shù)據(jù)基礎(chǔ)設(shè)施安全三個維度討論當(dāng)前大數(shù)據(jù)公司普遍存在的數(shù)據(jù)資產(chǎn)安全問題，進(jìn)而以華為云針對數(shù)據(jù)資產(chǎn)安全而專門構(gòu)建的內(nèi)部控制體系為例，進(jìn)行詳細(xì)介紹并總結(jié)相關(guān)經(jīng)驗，就大數(shù)據(jù)公司針對數(shù)據(jù)資產(chǎn)安全如何進(jìn)行內(nèi)部控制系統(tǒng)優(yōu)化提出相關(guān)策略。

【關(guān)鍵詞】 大數(shù)據(jù)公司; 數(shù)據(jù)資產(chǎn)安全; 內(nèi)部控制; 華為云

【中圖分類號】 F233 ?【文獻(xiàn)標(biāo)識碼】 A ?【文章編號】 1004-5937（2019）24-0084-05

一、數(shù)據(jù)資產(chǎn)安全對大數(shù)據(jù)公司的發(fā)展至關(guān)重要

根據(jù)成立于1979年、總部設(shè)在美國斯坦福的全球最具權(quán)威的IT研究與顧問咨詢公司高德納的定義，大數(shù)據(jù)是需要新處理模式才能具有更強(qiáng)的決策力、洞察發(fā)現(xiàn)力和流程優(yōu)化能力的海量、高增長率和多樣化的信息資產(chǎn);無法利用傳統(tǒng)流程或工具處理或分析，通過運用數(shù)字分析軟件、技術(shù)，采用復(fù)雜挖掘過程所獲得的巨量、海量數(shù)據(jù);需要同時進(jìn)行批量處理或分析的大量信息或數(shù)據(jù)集。我國擁有龐大的消費群體和大量互聯(lián)網(wǎng)用戶，截至2019年6月網(wǎng)民規(guī)模和手機(jī)網(wǎng)民規(guī)模分別達(dá)到8.54億和8.47億①，在BAT（百度的網(wǎng)絡(luò)流量數(shù)據(jù)、阿里巴巴的供應(yīng)鏈交易數(shù)據(jù)和騰訊的社交數(shù)據(jù)）等超大型互聯(lián)網(wǎng)公司大數(shù)據(jù)的引領(lǐng)下，約25%的各類企業(yè)一直在尋求大數(shù)據(jù)的價值。目前，我國大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展逐漸進(jìn)入井噴期，據(jù)統(tǒng)計，2017年我國大數(shù)據(jù)產(chǎn)業(yè)規(guī)模約為4 700億元，同比增長超過30%，2018年達(dá)到6 000億元。同時，大數(shù)據(jù)的應(yīng)用領(lǐng)域不斷拓展，在各領(lǐng)域的應(yīng)用深度不斷提升，各類創(chuàng)新型大數(shù)據(jù)公司也紛紛涌現(xiàn)，試圖在大數(shù)據(jù)市場占領(lǐng)一席之地。2016年7月發(fā)布的《國家信息化發(fā)展戰(zhàn)略綱要》，明確提出2018年要形成統(tǒng)一的政府?dāng)?shù)據(jù)開放平臺。據(jù)國家發(fā)改委等權(quán)威部門預(yù)測，到2020年，我國的數(shù)據(jù)總量將會超過8 000億PB，占全球數(shù)據(jù)總量的比例達(dá)到20%，我國大數(shù)據(jù)市場規(guī)模將超過8 000億元。

大數(shù)據(jù)公司通常是指有獲取大數(shù)據(jù)能力的公司，依據(jù)其業(yè)務(wù)內(nèi)容的不同，可分為以下七類：數(shù)據(jù)服務(wù)、數(shù)據(jù)可視化、大數(shù)據(jù)分析、商業(yè)智能領(lǐng)域、數(shù)據(jù)科學(xué)、電子商務(wù)數(shù)據(jù)及社交媒體數(shù)據(jù);國內(nèi)的大數(shù)據(jù)公司主要分為兩類：一類是現(xiàn)在已經(jīng)有獲取大數(shù)據(jù)能力的公司即數(shù)據(jù)型的大數(shù)據(jù)公司，如百度、騰訊、阿里巴巴等互聯(lián)網(wǎng)巨頭以及華為、浪潮、中興等國內(nèi)領(lǐng)軍企業(yè)，這類大數(shù)據(jù)公司通常是與人們?nèi)粘Ｉ蠲芮邢嚓P(guān)的，涵蓋了數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)分析、數(shù)據(jù)可視化以及數(shù)據(jù)資產(chǎn)安全等領(lǐng)域;另一類則是初創(chuàng)的大數(shù)據(jù)公司，這類公司依賴于大數(shù)據(jù)工具，針對市場需求，為市場帶來創(chuàng)新方案并推動技術(shù)發(fā)展，屬于創(chuàng)新型大數(shù)據(jù)公司。當(dāng)前，大數(shù)據(jù)公司的業(yè)務(wù)范圍主要涉及：（1）為電商企業(yè)提供個性化引擎的大數(shù)據(jù)公司，包括推薦引擎、分析引擎和營銷引擎等，覆蓋大數(shù)據(jù)全產(chǎn)業(yè)鏈的實現(xiàn)路徑。通過基礎(chǔ)引擎和智能引擎驅(qū)動智慧商業(yè)的落地。（2）大數(shù)據(jù)分析技術(shù)提供商，面向企業(yè)或者政府部門提供數(shù)據(jù)分析的結(jié)果。這類公司可以完整地實現(xiàn)大數(shù)據(jù)的采集、分析、處理，為各大企業(yè)提供高端信息技術(shù)咨詢服務(wù)，還可通過構(gòu)建一個數(shù)據(jù)資產(chǎn)分享和交易平臺把數(shù)據(jù)或信息作為資產(chǎn)直接進(jìn)行銷售，可以面向個人提供基于數(shù)據(jù)分析結(jié)果的服務(wù)。（3）為傳統(tǒng)企業(yè)提供大數(shù)據(jù)技術(shù)平臺搭建和大數(shù)據(jù)驅(qū)動的SaaS應(yīng)用的大數(shù)據(jù)公司，整合高性能的計算和存儲能力，為大數(shù)據(jù)的挖掘和分析提供專業(yè)穩(wěn)定的IT基礎(chǔ)設(shè)施平臺，為大數(shù)據(jù)存儲實現(xiàn)統(tǒng)一管理，能夠幫助企業(yè)精準(zhǔn)預(yù)測和構(gòu)建用戶特征，搭建以用戶為中心的大數(shù)據(jù)運營體系。大數(shù)據(jù)的運用正顛覆性地改變著經(jīng)濟(jì)形態(tài)、國家治理和資源配置模式，引發(fā)了巨大的經(jīng)濟(jì)社會變革，其影響力遠(yuǎn)超當(dāng)年互聯(lián)網(wǎng)公司崛起帶來的爆發(fā)式增長。大數(shù)據(jù)是重塑未來世界發(fā)展的新動力;數(shù)據(jù)會成為推動實現(xiàn)巨大經(jīng)濟(jì)效益的“新能源”，“數(shù)據(jù)為王”時代的大幕已經(jīng)開啟，海量數(shù)據(jù)作為大數(shù)據(jù)公司的核心資產(chǎn)，只有數(shù)據(jù)分析處理能力強(qiáng)的公司才會在激烈的市場競爭中脫穎而出，既擁有數(shù)據(jù)又有大數(shù)據(jù)思維的大數(shù)據(jù)公司將會成為未來世界的主宰。全球互聯(lián)網(wǎng)公司都在逐步轉(zhuǎn)變?yōu)榇髷?shù)據(jù)公司，互聯(lián)網(wǎng)企業(yè)對大數(shù)據(jù)陣地的爭奪已經(jīng)開始，并且熱度持續(xù)升溫。在未來，數(shù)據(jù)會成為新能源。新一代信息技術(shù)如移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、社交網(wǎng)絡(luò)、數(shù)字家庭、電子商務(wù)等的應(yīng)用不斷產(chǎn)生大數(shù)據(jù)。大數(shù)據(jù)的核心理念在于，利用數(shù)據(jù)化的理念和技術(shù)對現(xiàn)實世界建模，構(gòu)筑一個數(shù)字化世界，基于此可構(gòu)建相應(yīng)的業(yè)務(wù)系統(tǒng)，從而實現(xiàn)智能化的應(yīng)用。

對于大數(shù)據(jù)公司而言，大數(shù)據(jù)資產(chǎn)類似于制造業(yè)企業(yè)的原材料或固定資產(chǎn)等長期資產(chǎn)，加強(qiáng)大數(shù)據(jù)的相關(guān)內(nèi)控建設(shè)，其意義不亞于制造業(yè)企業(yè)加強(qiáng)存貨等資產(chǎn)內(nèi)部控制建設(shè)。鑒于大數(shù)據(jù)的采集、傳輸、存儲、處理、交換乃至銷毀等過程，需要考慮數(shù)據(jù)資產(chǎn)安全問題;大數(shù)據(jù)公司的數(shù)據(jù)資產(chǎn)安全對于大數(shù)據(jù)業(yè)務(wù)的開展與發(fā)展至關(guān)重要，大數(shù)據(jù)公司的內(nèi)部控制建設(shè)更不可忽視數(shù)據(jù)資產(chǎn)安全相關(guān)內(nèi)控問題。因此，本文將以此為著眼點展開論述，分析我國大數(shù)據(jù)公司在數(shù)據(jù)資產(chǎn)安全防護(hù)方面存在的問題，通過對華為云為維護(hù)數(shù)據(jù)安全而構(gòu)建的內(nèi)部控制體系的介紹，爭取為大數(shù)據(jù)公司如何針對數(shù)據(jù)資產(chǎn)安全進(jìn)行內(nèi)部控制系統(tǒng)優(yōu)化提供建設(shè)性的建議。

二、文獻(xiàn)綜述

（一）大數(shù)據(jù)普及存在的安全問題

馮偉[1]指出大數(shù)據(jù)易成為網(wǎng)絡(luò)攻擊的顯著目標(biāo)、加大隱私泄露風(fēng)險、對現(xiàn)有的存儲及安防措施提出挑戰(zhàn)、成為高級可持續(xù)攻擊的載體，因此要重視大數(shù)據(jù)及其信息安全體系建設(shè)、加快大數(shù)據(jù)安全技術(shù)研發(fā)、加強(qiáng)對重點領(lǐng)域敏感數(shù)據(jù)的監(jiān)管、運用大數(shù)據(jù)技術(shù)應(yīng)對高級可持續(xù)攻擊。李新華[2]認(rèn)為大數(shù)據(jù)的應(yīng)用帶來了數(shù)據(jù)本身安全和個人隱私泄露方面的挑戰(zhàn)，可以通過物理隔離以及權(quán)限控制相結(jié)合、信息加密、對硬盤的有效保護(hù)、立法保障隱私不被竊取等措施來應(yīng)對。郭斯蘭等[3]認(rèn)為大數(shù)據(jù)的普及主要存在三個隱患：數(shù)據(jù)生命周期安全問題、基礎(chǔ)設(shè)施安全問題、個人隱私安全問題，同時號召要全面加強(qiáng)數(shù)據(jù)安全治理，這可以從加強(qiáng)數(shù)據(jù)安全管理、敏感數(shù)據(jù)管控、平臺安全防護(hù)、數(shù)據(jù)安全評估四個方面開展。陳璐宇[4]針對大數(shù)據(jù)所具備的特性，嘗試搭建大數(shù)據(jù)隱私的主動保護(hù)框架，包括法律法規(guī)、隱私風(fēng)險的主動監(jiān)測、隱私風(fēng)險的主動評估、隱私的主動管理和問責(zé)系統(tǒng)五個部分。

（二）大數(shù)據(jù)公司的內(nèi)部控制構(gòu)建

劉海麗[5]認(rèn)為高新技術(shù)企業(yè)內(nèi)部控制管理存在的不足之處包括企業(yè)組織結(jié)構(gòu)的不合理、企業(yè)管理者缺少對內(nèi)部控制的重視程度、技術(shù)開發(fā)管理的落實力度不夠深入等。杜鵑[6]認(rèn)為高新技術(shù)企業(yè)的內(nèi)部控制普遍存在管理層關(guān)注度不高和企業(yè)活動節(jié)點控制有待落實的問題，并相應(yīng)提出了管理層提升對內(nèi)部控制工作的重視以及加大企業(yè)活動關(guān)鍵節(jié)點控制力度的應(yīng)對措施。王紅梅等[7]認(rèn)為大數(shù)據(jù)公司在發(fā)展過程中暴露出安全與道德危機(jī)、公司管理能力不足、人才匱乏危機(jī)等問題，應(yīng)當(dāng)根據(jù)內(nèi)部控制的重點領(lǐng)域，采取構(gòu)建適合大數(shù)據(jù)公司特點的企業(yè)發(fā)展戰(zhàn)略、誠信的文化理念、勝任大數(shù)據(jù)業(yè)務(wù)的人力資源戰(zhàn)略、實時風(fēng)險防控和監(jiān)督體系等作為大數(shù)據(jù)公司內(nèi)部控制的策略。

綜上所述，可以發(fā)現(xiàn)在大數(shù)據(jù)的安全防護(hù)問題和大數(shù)據(jù)公司的內(nèi)部控制構(gòu)建問題兩個層面已有學(xué)者進(jìn)行過研究。但至今尚未有文獻(xiàn)從保護(hù)數(shù)據(jù)資產(chǎn)安全的視角切入，來詳細(xì)討論大數(shù)據(jù)公司如何構(gòu)建內(nèi)部控制系統(tǒng)以解決這一問題，這將成為本文主要的貢獻(xiàn)點。

三、我國大數(shù)據(jù)公司的數(shù)據(jù)資產(chǎn)安全內(nèi)控面臨挑戰(zhàn)

隨著大數(shù)據(jù)業(yè)務(wù)的不斷快速發(fā)展，大數(shù)據(jù)公司的數(shù)據(jù)資產(chǎn)內(nèi)部控制缺陷也隨之暴露，數(shù)據(jù)資產(chǎn)的爆發(fā)式增長和大規(guī)模利用而引致的安全危機(jī)最令人關(guān)注和擔(dān)憂，傳統(tǒng)的內(nèi)控手段與程序需要進(jìn)行相應(yīng)優(yōu)化。目前，大數(shù)據(jù)公司的數(shù)據(jù)資產(chǎn)安全問題主要集中體現(xiàn)在管理層重視程度、數(shù)據(jù)生命周期安全和數(shù)據(jù)資產(chǎn)基礎(chǔ)設(shè)施安全三個方面。

（一）管理層重視程度

由于大數(shù)據(jù)公司本身主要依賴數(shù)據(jù)分析能力、數(shù)據(jù)應(yīng)用能力得以發(fā)展，因此大數(shù)據(jù)公司的管理層很容易會將注意力集中在技術(shù)研發(fā)方面，而往往會忽視大數(shù)據(jù)的數(shù)據(jù)資產(chǎn)安全方面可能存在的問題。據(jù)統(tǒng)計，2014年我國信息安全投入占總體IT投入僅為2%左右，遠(yuǎn)低于歐美成熟市場10%左右的水平②。加之，由于互聯(lián)網(wǎng)技術(shù)的不斷革新，海量數(shù)據(jù)資產(chǎn)的大量涌現(xiàn)甚至部分?jǐn)?shù)據(jù)已泛濫成災(zāi)，大數(shù)據(jù)公司的數(shù)據(jù)資產(chǎn)安全問題已處于一種無孔不入、日新月異的狀態(tài)，管理層即便對其有所關(guān)注，其關(guān)注程度也可能難以達(dá)到足以防范數(shù)據(jù)資產(chǎn)安全風(fēng)險所需的高度，因此更加劇了數(shù)據(jù)資產(chǎn)安全風(fēng)險給大數(shù)據(jù)公司發(fā)展帶來的可能威脅。

（二）數(shù)據(jù)生命周期安全

大數(shù)據(jù)生命周期是指大數(shù)據(jù)的收集—傳輸—處理環(huán)節(jié)所需經(jīng)歷的各階段。在整個大數(shù)據(jù)生命周期中，大數(shù)據(jù)公司的大數(shù)據(jù)資產(chǎn)安全主要存在非法利用數(shù)據(jù)變現(xiàn)、信息傳輸安全風(fēng)險以及員工舞弊等內(nèi)控問題或缺陷，需要強(qiáng)化或優(yōu)化相應(yīng)的內(nèi)控機(jī)制。

1.非法利用數(shù)據(jù)變現(xiàn)。大數(shù)據(jù)公司不經(jīng)過客戶同意，將收集到的數(shù)據(jù)非法變現(xiàn)，從中牟取利益已經(jīng)是當(dāng)前社會上一種較為普遍的現(xiàn)象。比如2017年的“快啊答題”打碼平臺非法獲取販賣公民信息案[8]，利用搭建的答題平臺和與之對接的曬密軟件，把大批賬號和密碼進(jìn)行自動匹配，突破互聯(lián)網(wǎng)公司的驗證碼安全防護(hù)策略，獲取了大量的網(wǎng)站后臺數(shù)據(jù)和公民個人信息并分類銷售給多個下游詐騙團(tuán)伙。最終騙取全國20余個?。ㄗ灾螀^(qū)、直轄市）受害人的財產(chǎn)金額達(dá)2 000余萬元。

2.信息傳輸安全風(fēng)險。數(shù)據(jù)信息在傳輸過程中可能因遭受黑客攻擊或者傳輸渠道不嚴(yán)密而被篡改，導(dǎo)致在傳輸過程中逐步失真，失去其原本價值;或因如商業(yè)信息等的泄露或被盜用，也會給客戶造成巨大的損失，從而易使大數(shù)據(jù)公司面臨法律風(fēng)險。典型的例子是“撞庫”，利用用戶在不同場景中傾向使用同一賬戶與密碼的行為習(xí)慣，以泄露的用戶個人信息為數(shù)據(jù)樣本，通過計算機(jī)系統(tǒng)批量嘗試登錄其他網(wǎng)站，從而獲取其他網(wǎng)站賬戶信息。據(jù)相關(guān)網(wǎng)站統(tǒng)計，黑產(chǎn)從業(yè)者僅通過某網(wǎng)絡(luò)平臺的招聘網(wǎng)站登錄入口就有約100萬/天的撞庫攻擊量，其中撞庫成功的賬號約為23%左右，按照每天100萬條撞庫賬號預(yù)估，每天約有23萬賬戶被撞庫成功③。

3.員工舞弊。大數(shù)據(jù)公司內(nèi)部員工在處理數(shù)據(jù)時，可能會利用職務(wù)之便，非經(jīng)授權(quán)盜用客戶的數(shù)據(jù)為自己牟取私利，既會給客戶造成損失，也會進(jìn)一步引發(fā)大數(shù)據(jù)公司的聲譽與信任危機(jī)，加劇經(jīng)營風(fēng)險。

（三）數(shù)據(jù)資產(chǎn)基礎(chǔ)設(shè)施安全

隨著科學(xué)技術(shù)的不斷進(jìn)步，大數(shù)據(jù)的技術(shù)處理手段日新月異，任何一家大數(shù)據(jù)公司都難以保證擁有或控制的計算機(jī)設(shè)備與信息網(wǎng)絡(luò)環(huán)境的絕對先進(jìn)與安全。大數(shù)據(jù)公司的基礎(chǔ)設(shè)施即其“云平臺”，存放著大數(shù)據(jù)公司的所有數(shù)據(jù)資產(chǎn)。2018年，根據(jù)對領(lǐng)英（LinkedIn）上400 000名信息安全社區(qū)網(wǎng)絡(luò)安全專業(yè)人員的在線調(diào)查顯示，43%的網(wǎng)絡(luò)安全專業(yè)人員擔(dān)心云基礎(chǔ)架構(gòu)安全性，38%的人員擔(dān)心云平臺的合規(guī)性，35%的人員擔(dān)心云環(huán)境中的一致性問題。云平臺作為數(shù)據(jù)資產(chǎn)的重要載體，其存在的安全威脅將危及整個大數(shù)據(jù)公司各項業(yè)務(wù)的開展，更會讓大數(shù)據(jù)公司經(jīng)營面臨更多的數(shù)據(jù)資產(chǎn)安全風(fēng)險。

綜上所述，大數(shù)據(jù)公司由于發(fā)展階段、自身技術(shù)等方面的限制，內(nèi)部控制的構(gòu)建在保障數(shù)據(jù)資產(chǎn)安全方面還存在著許多不容忽視的問題。本文以深圳華為技術(shù)有限公司的“華為云”為例，探討大數(shù)據(jù)公司應(yīng)當(dāng)如何建立健全內(nèi)部控制框架體系以應(yīng)對數(shù)據(jù)資產(chǎn)安全問題。

四、“華為云”優(yōu)化數(shù)據(jù)資產(chǎn)安全內(nèi)控可資借鑒[9]

“華為云”是華為公有云品牌，致力于提供專業(yè)的公有云服務(wù)，提供彈性云服務(wù)器、對象存儲服務(wù)、軟件開發(fā)云等云計算服務(wù)，以“可信、開放、全球服務(wù)”三大核心優(yōu)勢服務(wù)全球用戶。2017年8月，華為集團(tuán)宣布“華為云”正式升級成為華為集團(tuán)的一級部門。2017年9月，“華為云”隨即發(fā)布《華為云安全白皮書》，分享其關(guān)于構(gòu)建云安全體系的經(jīng)驗，也表明了其對于維護(hù)數(shù)據(jù)資產(chǎn)安全的重視程度。“華為云”在大數(shù)據(jù)行業(yè)內(nèi)屬于佼佼者，其內(nèi)部控制體系的構(gòu)建具有一定的參考性。因此本文以“華為云”為例，通過分析“華為云”針對維護(hù)數(shù)據(jù)資產(chǎn)安全而建立的內(nèi)部控制系統(tǒng)，試圖為大數(shù)據(jù)公司在有關(guān)數(shù)據(jù)資產(chǎn)安全的內(nèi)部控制構(gòu)建方面存在的問題提出建設(shè)性的建議。由于華為技術(shù)有限公司的內(nèi)部控制體系是基于COSO模型而設(shè)計，包括控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)督五個部分，因此本文的分析也從這五個方面展開。

（一）控制環(huán)境

1.組織架構(gòu)?！叭A為云”針對數(shù)據(jù)資產(chǎn)安全問題構(gòu)建了一個自上而下的治理結(jié)構(gòu)。單獨設(shè)置“全球網(wǎng)絡(luò)安全與隱私保護(hù)委員會”作為最高網(wǎng)絡(luò)安全管理機(jī)構(gòu)，決策和批準(zhǔn)公司總體網(wǎng)絡(luò)安全戰(zhàn)略。全球網(wǎng)絡(luò)安全與隱私保護(hù)官及其辦公室負(fù)責(zé)制定華為端到端網(wǎng)絡(luò)安全保障體系，并在研發(fā)、供應(yīng)鏈、市場與銷售、工程交付及技術(shù)服務(wù)等方面執(zhí)行，并直接向公司CEO匯報。

2.發(fā)展戰(zhàn)略?！叭A為云”的發(fā)展戰(zhàn)略之一：以數(shù)據(jù)保護(hù)為核心，以云安全能力為基石，以法律法規(guī)、業(yè)界標(biāo)準(zhǔn)遵從為城墻，以安全生態(tài)圈為護(hù)城河，依托華為獨有的軟硬件優(yōu)勢，打造業(yè)界領(lǐng)先的競爭力，構(gòu)建起面向不同區(qū)域、不同行業(yè)的完善云服務(wù)安全保障體系?！叭A為云”將自身定位為中立的云服務(wù)提供商，任務(wù)是搭建數(shù)據(jù)平臺，堅持“不碰數(shù)據(jù)”的原則，即華為不提供數(shù)據(jù)，也不會強(qiáng)迫客戶將數(shù)據(jù)交給華為，只是讓客戶將數(shù)據(jù)放到“華為云”上，通過技術(shù)開發(fā)和應(yīng)用數(shù)據(jù)，幫助客戶最大程度地發(fā)揮數(shù)據(jù)的價值。簡言之，“華為云”的變現(xiàn)是通過“技術(shù)和服務(wù)”來達(dá)成，而不是依靠“應(yīng)用和數(shù)據(jù)”[10]。

3.企業(yè)文化。華為在發(fā)展歷程中形成了內(nèi)涵豐富、獨樹一幟的企業(yè)文化，本文將重點分析華為的“誠信文化”。華為并未把“誠信”作為一項硬性要求，但華為在日常業(yè)務(wù)運營中的方方面面都在踐行“誠信”二字，以此規(guī)范企業(yè)和員工的道德價值觀念，并達(dá)到了良好的效果?！叭A為云”在提供云產(chǎn)品和服務(wù)過程中始終堅持“三不”政策，言出必行、堅守底線，不做應(yīng)用，不碰數(shù)據(jù)，不做股權(quán)投資。這也使得華為在經(jīng)營過程中更能堅守本心，保持一種中立的姿態(tài)，大大提高了華為在供應(yīng)商和客戶面前的話語權(quán)[11]。

4.人力資源?！叭A為云”將數(shù)據(jù)資產(chǎn)安全的理念滲透到人員招聘、培訓(xùn)、管理的方方面面，打造一個完善的人力資源管理體系。公司定期開展網(wǎng)絡(luò)安全意識教育普及活動，宣傳員工行為準(zhǔn)則并要求員工簽署承諾書;根據(jù)員工的資歷、崗位等分別舉辦網(wǎng)絡(luò)安全基礎(chǔ)培訓(xùn)、精準(zhǔn)培訓(xùn)、實戰(zhàn)演練、安全能力任職資格牽引;針對重點崗位實施重點管理，進(jìn)行上崗背景審查、上崗資格管理、在崗賦能培訓(xùn)，做好員工離崗后的權(quán)限清理工作;踐行安全違規(guī)問責(zé)制度，要求每個員工對自己的工作負(fù)責(zé)，既要承擔(dān)技術(shù)與服務(wù)方面的責(zé)任，也要承擔(dān)可能引起的法律后果。

（二）風(fēng)險評估

“華為云”擁有一支專門的安全審計隊伍，每年至少對“華為云”的安全運營開展一次審計活動，以識別和評估“華為云”在數(shù)據(jù)資產(chǎn)安全方面可能存在的風(fēng)險，并直接將結(jié)果向公司董事會和管理層通報。此外，在具體業(yè)務(wù)層面，“華為云”已經(jīng)建立了成熟的漏洞管理機(jī)制，能夠有效地感知和對外披露漏洞，及時響應(yīng)并防范漏洞可能造成的數(shù)據(jù)泄露、侵犯隱私的風(fēng)險。

（三）控制活動

“華為云”通過建立安全責(zé)任共擔(dān)模型，明確區(qū)分在服務(wù)過程中“華為云”和租戶各自應(yīng)當(dāng)承擔(dān)的責(zé)任，在自身責(zé)任范圍內(nèi)建立應(yīng)對機(jī)制、承擔(dān)責(zé)任。在基礎(chǔ)設(shè)施方面，“華為云”嚴(yán)格執(zhí)行訪問控制、安保措施、例行監(jiān)控審計、應(yīng)急響應(yīng)等措施，以確?！叭A為云”數(shù)據(jù)中心的物理和環(huán)境安全。在具體的產(chǎn)品與服務(wù)方面，“華為云”針對工程研發(fā)安全和運維運營安全，分別完善了相關(guān)的內(nèi)部控制機(jī)制：在工程研發(fā)方面，“華為云”通過規(guī)范設(shè)計流程、進(jìn)行威脅分析、制定消減措施來確保基礎(chǔ)設(shè)計的安全性，并通過質(zhì)量門限及時評估編碼質(zhì)量，在服務(wù)發(fā)布前進(jìn)行多輪安全測試。云平臺版本、云服務(wù)上線前，還要進(jìn)行上線安全審批，中低風(fēng)險的云服務(wù)自檢后即可上線，而對于高風(fēng)險的云服務(wù)，自檢結(jié)果還要提交給華為全球網(wǎng)絡(luò)安全與用戶隱私保護(hù)官與首席法務(wù)官評審，確保即將上線的產(chǎn)品或服務(wù)符合安全隱私規(guī)范要求。此外，“華為云”也高度重視使用第三方軟件的安全性，對其實施安全增強(qiáng)措施，并將識別出的與其有關(guān)的風(fēng)險及時反饋給社區(qū)。在整個研發(fā)過程中，“華為云”的配置經(jīng)理對所有的業(yè)務(wù)單元進(jìn)行配置管理并承擔(dān)責(zé)任;“華為云”同時也建立了變更委員會，對“華為云”的變更申請進(jìn)行評審和授權(quán)。在運維方面，公司采用統(tǒng)一賬號、統(tǒng)一接入、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)，確保操作行為可以定位到個人，以便問責(zé);通過成熟的漏洞管理機(jī)制，對運營過程中識別出的漏洞，及時響應(yīng)、修復(fù)，并在規(guī)定時間內(nèi)向租戶披露風(fēng)險與修復(fù)方案;建立專業(yè)安全事件響應(yīng)團(tuán)隊以及對應(yīng)的安全專家資源池來應(yīng)對發(fā)生的云安全事件，并建立安全日志;對于業(yè)務(wù)災(zāi)難事件，強(qiáng)化云基礎(chǔ)設(shè)施建設(shè)，制訂災(zāi)難恢復(fù)計劃、提供災(zāi)備復(fù)制，確保業(yè)務(wù)連續(xù)性和可靠性。

（四）信息與溝通

“華為云”安全團(tuán)隊內(nèi)部的組織結(jié)構(gòu)趨于扁平化，以便實現(xiàn)組織內(nèi)部信息的快速流動，滿足云服務(wù)快速持續(xù)集成、交付與部署的進(jìn)度要求，形成靈活的互聯(lián)互通機(jī)制。同時，由于云安全對于“華為云”的特殊性，因此云安全團(tuán)隊將有關(guān)信息直接向“華為云”總裁匯報。

（五）監(jiān)督

1.內(nèi)部監(jiān)督?！叭A為云”對控制的內(nèi)部監(jiān)督主要通過內(nèi)部審計進(jìn)行。華為云針對業(yè)務(wù)流程中所有會對系統(tǒng)產(chǎn)生影響的用戶活動、操作指令建立相應(yīng)的安全日志以備審計。比如，華為數(shù)據(jù)中心對于人員和設(shè)備的進(jìn)出進(jìn)行了嚴(yán)格的控制，建立數(shù)據(jù)中心訪問記錄，并由內(nèi)部審計人員進(jìn)行不定期審計，關(guān)注可能存在的異常訪問跡象。

2.外部監(jiān)督。外部監(jiān)督主要依靠第三方機(jī)構(gòu)安全認(rèn)證以及用戶反饋，如果涉及向境外國家和地區(qū)提供云服務(wù)，華為云還要接受他國政府安全部門的審查監(jiān)督。

目前，“華為云”已經(jīng)建立了完善的用戶反饋機(jī)制：發(fā)現(xiàn)安全漏洞的用戶可以通過郵件向華為云提交發(fā)現(xiàn)的安全漏洞和相關(guān)的支持性材料。“華為云”服務(wù)將跟蹤每一個反饋報告，并在一個工作日內(nèi)向用戶發(fā)送確認(rèn)郵件。對于受到華為云認(rèn)證的漏洞，“華為云”將及時采取修復(fù)措施并向用戶披露修復(fù)進(jìn)展。

五、優(yōu)化內(nèi)控機(jī)制，確保大數(shù)據(jù)公司數(shù)據(jù)資產(chǎn)安全

（一）樹立前瞻風(fēng)險意識，消除數(shù)據(jù)資產(chǎn)安全隱患

基于企業(yè)利益角度考慮，由于目前很多大數(shù)據(jù)公司仍處于初創(chuàng)階段，對于大數(shù)據(jù)資產(chǎn)的分析和運用仍處于摸索期，行業(yè)發(fā)展前景并不十分明晰，管理層往往將精力集中于拓展業(yè)務(wù)范圍、搶占新興市場、提高研發(fā)能力方面，這本身無可厚非，也符合企業(yè)短期的利益需求。但是，如果管理層從一開始就忽略了有關(guān)數(shù)據(jù)資產(chǎn)安全內(nèi)部控制體系的建設(shè)，長此以往，未來企業(yè)的發(fā)展會存在諸如內(nèi)部權(quán)責(zé)混亂、數(shù)據(jù)權(quán)限劃分不明等更多的問題，從而使企業(yè)面臨更大的道德風(fēng)險和法律風(fēng)險，這會為以后企業(yè)的持續(xù)發(fā)展埋下禍根。因此，管理層應(yīng)當(dāng)樹立前瞻意識，在業(yè)務(wù)開展之初便應(yīng)考慮有關(guān)數(shù)據(jù)資產(chǎn)安全問題的方方面面，并設(shè)計適當(dāng)?shù)膬?nèi)部控制系統(tǒng)以持續(xù)地識別、評估、應(yīng)對風(fēng)險，而不是等到日后發(fā)生了數(shù)據(jù)資產(chǎn)安全問題才采取補(bǔ)救措施，到那時，公司或許將背負(fù)更為嚴(yán)重的法律責(zé)任并遭受更大的損失。

（二）整合業(yè)務(wù)流程，構(gòu)筑信息內(nèi)控防線

“華為云”有關(guān)數(shù)據(jù)資產(chǎn)安全的內(nèi)部控制體系是受其發(fā)展戰(zhàn)略指引、基于其自身的商業(yè)模式而建立，全面貼合其業(yè)務(wù)流程的各個關(guān)鍵控制節(jié)點，才能達(dá)到理想的控制效果。大數(shù)據(jù)公司在構(gòu)建自己的內(nèi)部控制框架體系時，也應(yīng)當(dāng)從實際出發(fā)，有針對性地考慮整個數(shù)據(jù)生命周期中可能存在風(fēng)險的節(jié)點，并設(shè)計適當(dāng)?shù)谋O(jiān)測、評估、管理及問責(zé)系統(tǒng)以及時識別、評估并應(yīng)對這些風(fēng)險節(jié)點。大數(shù)據(jù)公司對于收集到的數(shù)據(jù)應(yīng)當(dāng)建立專門的數(shù)據(jù)中心用以存儲，并嚴(yán)格限制對于這些數(shù)據(jù)的接觸和使用。公司應(yīng)當(dāng)采取加密措施、定期檢查并維護(hù)更新軟件或證書版本等措施來保證信息傳輸過程中的安全可靠。同時，企業(yè)應(yīng)當(dāng)建立靈活的溝通機(jī)制，及時了解員工在工作過程中發(fā)現(xiàn)的安全風(fēng)險，鼓勵員工互相監(jiān)督，并向員工及時傳達(dá)有關(guān)數(shù)據(jù)資產(chǎn)安全技術(shù)、數(shù)據(jù)資產(chǎn)安全問題解決等方面的最新動態(tài)，在公司內(nèi)部形成良好的互動機(jī)制。

（三）持續(xù)優(yōu)化完善，保障數(shù)據(jù)平臺安全

在數(shù)據(jù)基礎(chǔ)設(shè)施方面，大數(shù)據(jù)公司應(yīng)當(dāng)從整體上盡快建立自身的防火墻邊界以抵御外界不法分子的攻擊盜用，并委任安全審計團(tuán)隊定期進(jìn)行檢查維護(hù)，及時處理并披露發(fā)現(xiàn)的安全問題，以保證整個網(wǎng)絡(luò)環(huán)境的安全。對于存儲在云平臺上的數(shù)據(jù)，應(yīng)當(dāng)劃清各類數(shù)據(jù)的存儲界限、訪問權(quán)限并嚴(yán)格進(jìn)行區(qū)域隔離，同時采取一定的邊界防護(hù)措施，以防止數(shù)據(jù)的流竄及泄露。此外，大數(shù)據(jù)公司應(yīng)當(dāng)加強(qiáng)技術(shù)方面的學(xué)習(xí)培訓(xùn)，保持其在技術(shù)層面的先進(jìn)性，以游刃有余地面對可能存在的安全挑戰(zhàn)。大數(shù)據(jù)公司應(yīng)及時識別、科學(xué)分析與評價影響內(nèi)部控制目標(biāo)實現(xiàn)的各種不確定因素，采取有效的應(yīng)對策略，構(gòu)筑實時風(fēng)險監(jiān)控系統(tǒng)與實時風(fēng)險防控系統(tǒng)，健全安全保障機(jī)制，以加密的方式實施大數(shù)據(jù)的傳輸與處理，制定數(shù)據(jù)資產(chǎn)安全保護(hù)規(guī)則與監(jiān)管條例，確保遵守且不斷更新，實時監(jiān)測信息安全，做好等級保護(hù)、風(fēng)險評估、漏洞發(fā)現(xiàn)等基礎(chǔ)性工作，完善網(wǎng)絡(luò)安全監(jiān)測預(yù)警和網(wǎng)絡(luò)安全重大事件應(yīng)急處置機(jī)制，公司安全體系應(yīng)達(dá)到中高級應(yīng)用標(biāo)準(zhǔn)，增強(qiáng)防范公司數(shù)據(jù)資產(chǎn)安全風(fēng)險的能力;建立開放的信息與溝通體制，形成及時迅捷的內(nèi)外部的有效溝通渠道，設(shè)立監(jiān)察員對公司內(nèi)控控制進(jìn)行監(jiān)督檢查，保障公司發(fā)展壯大，規(guī)范大數(shù)據(jù)公司的數(shù)據(jù)資產(chǎn)應(yīng)用。

【參考文獻(xiàn)】

[1] 馮偉.大數(shù)據(jù)時代面臨的信息安全機(jī)遇和挑戰(zhàn)[J].中國科技投資，2012（34）：49-53.

[2] 李新華.淺談大數(shù)據(jù)時代的機(jī)遇和挑戰(zhàn)[J].通訊世界，2013（6）：60-61.

[3] 郭斯蘭，揭建成，祝利鋒，等.破解大數(shù)據(jù)安全現(xiàn)實課題[N].浙江日報，2017-07-17（011）.

[4] 陳璐宇.大數(shù)據(jù)隱私的主動保護(hù)技術(shù)研究[J].信息與電腦（理論版），2016（2）：24-26.

[5] 劉海麗.試論高新技術(shù)企業(yè)內(nèi)部控制管理中存在的問題及對策[J].財會學(xué)習(xí)，2017（15）：244-245.

[6] 杜鵑.高新技術(shù)企業(yè)內(nèi)部控制存在的問題及對策[J].現(xiàn)代營銷，2018（9）：154.

[7] 王紅梅，谷強(qiáng)，劉勝花.大數(shù)據(jù)公司內(nèi)部控制構(gòu)建問題初探[J].會計之友，2018（9）：126-128.

[8] 王碩.國內(nèi)最大打碼網(wǎng)站用人工智能竊取個人信息 一起網(wǎng)絡(luò)黑產(chǎn)案拷問AI犯罪責(zé)任邊界[N].法治周末，2017-12-14.

[9] 華為技術(shù)有限公司.華為云安全白皮書[R].2017.

[10] 孫杰賢.全球5朵云，華為云要占其一[J].中國信息化，2017（9）：29-30.

[11] 黃海峰.對話華為輪值董事長徐直軍：云服務(wù)為中國軟件帶來新希望[J].通信世界，2018（19）：35-36.