“勒索軟件（WannaCry）全球蔓延”、“徐玉玉遭電信詐騙致死”、“國內酒店2000萬入住信息遭泄露”，近日，上海社會科學院互聯網研究中心發布《大數據安全風險與對策研究報告》（下稱《報告》），評選出2013年以來國內外發生的十大典型數據安全案例。

《報告》顯示，相當部分數據安全事件發生在企業或社會組織，泄漏量動輒過億條。

5月27日，在貴陽參加2017中國國際大數據產業博覽會（下稱“數博會”）的阿里巴巴數據安全專家透露，目前，各行各業、企業、社會組織間數據交互頻繁，任何一家企業數據發生泄漏，隨時會危及到其他組織，“這是個全局性的問題，只要是數據存在的地方，都應建立安全機制。”

中國互聯網協會副秘書長石現升致辭

“大數據時代，在充分挖掘和發揮大數據價值同時，解決好數據安全與個人信息保護等問題刻不容緩。”中國互聯網協會副秘書長石現升在貴陽參會時指出。

員工監守自盜數億條用戶信息

今年初，公安部破獲了一起特大竊取販賣公民個人信息案。

被竊取的用戶信息主要涉及交通、物流、醫療、社交和銀行等領域數億條，隨后這些用戶個人信息被通過各種方式在網絡黑市進行販賣。警方發現，幕后主要犯罪嫌疑人是發生信息泄漏的這家公司員工。

業內數據安全專家評價稱，這起案件泄露數億條公民個人信息，其中主要問題，就在于內部數據安全管理缺陷。

國外情況也不容樂觀。2016年9月22日，全球互聯網巨頭雅虎證實，在2014年至少有5億用戶的賬戶信息被人竊取。竊取的內容涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登陸密碼。

企業數據信息泄露后，很容易被不法分子用于網絡黑灰產運作牟利，內中危害輕則竊財重則取命，去年8月，山東高考生徐玉玉被電信詐騙9900元學費致死案等數據安全事件，就可見一斑。
去年7月，微軟Window10也因未遵守歐盟“安全港”法規，過度搜集用戶數據而遭到法國數據保護監管機構CNIL的發函警告。

上海社會科學院互聯網研究中心發布的《報告》指出，隨著數據資源商業價值凸顯，針對數據的攻擊、竊取、濫用和劫持等活動持續泛濫，并呈現出產業化、高科技化和跨國化等特性，對國家和數據生態治理水平，以及組織的數據安全能力都提出了全新挑戰。

當前，重要商業網站海量用戶數據是企業核心資產，也是民間黑客甚至國家級攻擊的重要對象，重點企業數據安全管理更是面臨嚴峻壓力。

企業、組織機構等如何提升自身數據安全能力？

企業機構亟待提升數據安全管理能力

“大數據安全威脅滲透在數據生產、流通和消費等大數據產業的各個環節，包括數據源、大數據加工平臺和大數據分析服務等環節的各類主體都是威脅源?！鄙虾Ｉ缈圃盒畔⑺魅位葜颈笙蛴浾叻治龇Q，大數據安全事件風險成因復雜交織，既有外部攻擊，也有內部泄密，既有技術漏洞，也有管理缺陷，既有新技術新模式觸發的新風險，也有傳統安全問題的持續觸發。

5月27日，中國互聯網協會副秘書長石現升稱，互聯網日益成為經濟社會運行基礎，網絡數據安全意識、能力和保護手段正面臨新挑戰。

今年6月1日即將施行的《網絡安全法》針對企業機構泄露數據的相關問題，重點做了強調。法案要求各類組織應切實承擔保障數據安全的責任，即保密性、完整性和可用性。另外需保障個人對其個人信息的安全可控。

石現升介紹，實際早在2015年國務院就發布過《促進大數據發展行動綱要》，就明確要“健全大數據安全保障體系”、“強化安全支撐，提升基礎設施關鍵設備安全可靠水平”。

“目前，很多企業和機構還并不知道該如何提升自己的數據安全管理能力，也不知道依據什么標準作為衡量?！币晃粯I內人士分析稱，問題的癥結在于國內數據安全管理尚處起步階段，很多企業機構都沒有設立數據安全評估體系，或者沒有完整的評估參考標準。

“大數據安全能力成熟度模型”已提國標申請

數博會期間，記者從“大數據安全產業實踐高峰論壇”上了解到，為解決此問題，全國信息安全標準化技術委員會等職能部門與數據安全領域的標準化專家學者和產業代表企業協同，著手制定一套用于組織機構數據安全能力的評估標準——《大數據安全能力成熟度模型》，該標準是基于阿里巴巴提出的數據安全成熟度模型（Data Security Maturity Model, DSMM）進行制訂。

阿里巴巴集團安全部總監鄭斌介紹DSMM。

作為此標準項目的牽頭起草方，阿里巴巴集團安全部總監鄭斌介紹說，該標準是阿里巴巴基于自身數據安全管理實踐經驗成果DSMM擬定初稿，旨在與同行業分享阿里經驗，提升行業整體安全能力。

“互聯網用戶的信息安全從來都不是某一家公司企業的事?！编嵄蠓Q，《大數據安全能力成熟度模型》的制訂還由中國電子技術標準化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心、公安三所、清華大學和阿里云計算有限公司等業內權威數據安全機構、學術單位企業等共同合作提出意見。

一位數據安全研究人員分析，企業要提升數據安全管理能力，首先就得認清自身數據保護能力水平，再對癥下藥彌補缺失和短板，而該標準正是針對大多數企業普遍存在的，不了解或不清楚自身數據安全管理能力的問題。

從標準架構來看，會從組織機構數據采集、存儲、傳輸、處理、交換和銷毀六個數據生命周期，就企業組織建設、制度流程、技術工具和人員能力四個關鍵能力維度，至少30多個安全域進行全方位考核評估，最終將組織機構的數據安全能力劃分非正式執行、計劃跟蹤、充分定義、量化控制和持續優化，1級至5級的能力成熟等級，等級越高意味數據安全能力越強。

只有具備了3級的數據安全能力，才意味這家企業或組織機構能針對數據安全風險進行全面有效控制。