圖611所示，數據資產管理系統包括六個部分：注冊管理：支持多種方式（采集器、在線維護、提供自助注冊接口）注冊數據資產，并提供審核及版本控制等功能；變更管理：支持已注冊數據資產信息的變更、審核和更新功能；審計管理：支持對數據資產的盤點，以及對數據資產訪問記錄的審計；資產統計分析：支持數據資產的評估，包括數據質量、訪問情況等信息的采集，根據這些信息對數據資產進行綜合評估打分；權限管理：對接數據安全管理模塊，除了同步數據安全管理模塊中用戶賬戶信息及權限外，還會將用戶對數據資產訪問的申請信息發送給數據安全管理模塊進行處理；接口管理：與元數據管理模塊、數據質量管理模塊、數據安全管理模塊對接，收集相關模塊的基礎數據，用于完成數據資產的注冊、稽核及安全管理等工作數據資產化后，將解決目前普遍存在的需求分散重復、口徑模糊等問題，實現成果和經驗的共享和積累，方便實現應用和數據的生命周期的自動化管理。明確的數據資產信息，將有效支撐公司內部知識系統和資源管理的建設，為業務人員能更快捷、有序、便利地提供資產使用的方式和途徑，支撐數據分析、開發、運維的自治。數據資產范圍數據資產的范圍和形式應包含企業擁有的各類數據，如表、視圖、接口、程序等。同時，隨著大數據的發展，還應納入各種非/半結構化的數據形式，如日志、網頁、圖片、音視頻等。數據資產標識是一個有業務含義、分段式、全局唯一的字符串，用來區分識別數據資產的標簽。資產標識包含有資產所屬業務域、資產類型、提供者等信息。資產標識規范為五段式結構，每段以點分隔。具體格式如REFOLE_LINK26\h圖612所示：圖STYLEREF1\s612數據資產標識規范{根前綴}：指數據資產全局前綴，以常量表示。其值為com.cmcc.xxx{業務域}：指數據資產所歸屬的業務系統類別域。其值為BSS,OSS,MSS等{資產類型}：指數據資產模型類別。其值為表、文件、圖片、音頻等{提供者/租戶}：指數據資產的生產者，或者是數據資產的所有者。其值一般是生產者或者所有者的標識。其值為MKT(市場)、GRP(集團)、BASS(經分)等{資產名稱}：指數據資產的簡短命名。其值一般是資產對象的名稱或編碼。數據資產標識示例：com.cmcc.xxx.BSS.table.YWB.application_log二維碼如REFOLE_LINK33\h圖613所示。圖STYLEREF1\s613數據資產標識二維碼與其它功能模塊的關系數據資產管理模塊將與元數據、數據質量、數據安全模塊通過接口互通，根據需求獲取元數據，數據稽核和交互賬號權限等信息。在資產注冊、變更時，需要從元數據模塊獲取表、字段、口徑、程序等元數據信息，用于數據資產信息的登記和更新。在資產運維時，需要從數據質量模塊獲取數據質量監控、稽核的結果，用于資產評估。同時，消費者申請訪問數據資產，需要從數據安全模塊中獲取賬號信息，相關數據訪問申請也需要發送給數據安全模塊進行處理。本期數據資產功能需求管理過程數據資產管理過程是一個資產全生命周期的管理過程，資產全生命周期管理以數據資產作為管理對象，以資產戰略和資產策略為導向，從系統整體目標出發，統籌考慮資產的規劃、投資、設計、建設、運行、維護、稽核、變更、注銷的全過程，在滿足安全、效能的前提下有效管理與監控數據資產的生產和使用情況，不斷優化數據資產質量，實現數據資產的業務價值。其管理過程如REFOLE_LINK27\h圖614所示：圖STYLEREF1\s614數據資產全生命周期管理過程如REFOLE_LINK27\h圖614所示，數據資產全生命周期管理過程分為如下四大階段：戰略規劃：該階段旨在按照業務需要和業務發展要求，建立數據資產總體性、綱要性規劃。制定幫助所有的數據資產供應者以及消費者，幫助他們運營，幫助他們長期發展建立清晰的服務戰略。該階段主要包含了制定數據資產戰略規劃和制定數據資產策略計劃等關鍵任務和活動。注冊入庫：該階段旨在按照戰略規劃和戰略計劃進行數據資產的設計、建設和交付。針對需求進行分析設計，根據戰略階段的要求與規范，定義數據資產的結構等，是資產管理中的重要組成。該階段主要包含了設計并生產數據資產和數據資產注冊、入庫等關鍵任務和活動。運營維護：該階段旨在對數據資產的有效使用進行管控，確保數據資產健康運營。運營維護包含數據資產發布、資產稽核、監控告警、資產評估、資產審計、資產變更等方面；提供數據資產給授權的消費者（內部用戶、集團用戶和外部用戶）使用；對數據資產進行盤點，監控數據資產的使用情況，對數據資產訪問記錄進行審計；對數據資產從規劃到運營階段情況進行全方位、多維度的統計分析，對資產內容標準化、合規性的稽核評價，根據評估結果有目的的對數據資產進行改進和完善。注銷報廢：該階段主要是對無效和失效的資產進行清理，主要包括資產注銷和報廢清除等任務和活動。在注銷報廢階段，對已失效的資產，由管理者注銷資產，并由運維者銷毀資產對象；管理對象圖STYLEREF1\s615數據資產管理對象如REFOLE_LINK28\h圖615所示,數據資產管理對象是針對納入企業級大數據平臺進行存儲、訪問、操作的結構化和非結構化數據，包括但不限于：IT支撐系統（含業務支撐、運營支撐、管理支撐等）所產生的業務數據、交易數據、分析數據、流程數據等，簡稱B域數據；網絡運行管理和分析系統所產生生業務數據、交易數據、分析數據、流程數據等；以及各類網元設備所產生的話單、信令、上網日志、性能檢測數據，簡稱O域數據；業務平臺（含管理平臺、能力平臺、應用平臺等）對內進行發布和共享的特定業務數據，簡稱業務平臺數據；其它納入企業級大數據平臺管理的外部引入數據，簡稱外部引入數據。管理角色數據資產管理過程中，應包含如REF_Ref428628467\h表66相關的角色:表STYLEREF1\s6SEQ表\*ARABIC\s16人員角色職責角色主要職責數據資產規劃者制定數據資產模型規范；規劃數據資產建設方案；數據資產提供者提交數據資產相關信息到數據資產管控平臺進行數據資產注冊；確保數據資產提交的信息和注冊信息一致；數據資產消費者查看可用的數據資產；申請使用數據資產服務；訂閱并使用數據資產服務；數據資產管理者數據資產的注冊管理和變更管理；數據資產的稽核審計和監控告警；數據服務的創建、發布、下線管理；數據服務申請審批；數據資產運維期的使用跟蹤分析和優化；數據資產運維者數據資產的保護，如備份、加密、脫敏和安全管理；數據資產的銷毀；本期建設內容本期數據資產管理模塊重點從規劃、注冊、運維到注銷的全流程管理功能進行建設，使數據資產管理系統化、可視化。數據安全管理數據安全概述根據集團公司信息安全管理要求，大數據平臺必須建立完整的信息安全管理措施和技術方案，加強大數據平臺與其它系統之間的數據信息安全管控。為了進一步明確和加強信息安全管理的規范性，通過制定并執行數據安全政策和安全策略措施，為企業級大數據平臺的數據和信息提供行之有效的認證、授權、訪問和審計。實現對敏感數據訪問和隱私保護技術實現和管理措施保護客戶隱私信息的詳細實現方案，深化數據安全的技術防護措施。建設原則旨在完善數據體系化的安全策略，全方位進行安全管控，通過多種手段保障數據安全，做到事前可管、事中可控、事后可查。事前可管全面分析系統，及時發現存在安全風險的環節設置防線，防患于未然。事中可控通過4A、金庫模式、敏感數據管控、隱私信息保護等手段，密切關注用戶操作，確保安全實施。事后可查記錄用戶所有訪問痕跡，保留用戶操作日志提供審計。目標建立完善的體系化的安全策略措施，全方位進行安全管控，通過多種手段保障大數據平臺數據治理中的數據安全，完成數據“存、管、用”的數據治理安全，做到“事前可管、事中可控、事后可查”。建設內容數據安全主要內容包括：客戶的隱私保護，采用加密等技術手段對涉及的隱私信息進行防護。數據權限控制，對用戶的數據訪問權限進行細粒度的控制管理。隱私信息配置，提供隱私數據的配置服務，為隱私數據的轉化服務提供識別依據。隱私信息轉化，為數據治理相關環節提供隱私信息的去隱私化或還原服務。日志記錄服務，對數據治理各環節所產生的日志記錄進行獲取并整理。應用權限控制，為用戶的應用功能訪問權限的控制管理提供服務。離線文件加密服務，對后臺的數據導出行為控制提供數據文件的加密服務。邊界關系數據安全關注數據治理過程中與數據相關的安全保障技術及相應的管理辦法，包括：數據權限控制、數據去隱私化、數據加解密等。數據安全為數據治理各環節提供數據安全保障機制及技術手段，重點關注數據治理過程中大數據平臺訪問策略及數據資產環節的安全保障，示例如下：1、數據安全對大數據平臺的訪問賬號、功能權限進行安全保護，如：大數據平臺的賬號管理；大數據平臺敏感行為的控制管理；大數據平臺數據去隱私化；2、數據安全對資產管理涉及的數據及業務過程行為進行數據安全保護，并實現相關的安全防護工作，如：數據資產的增加、刪除、變更過程的數據權限控制工作；數據使用過程中的防泄漏保護工作；數據資產變更過程的記錄及追蹤；數據粒度的權限控制管理；相關系統應用、數據訪問行為的日志記錄等工作；技術功能數據安全需求圖STYLEREF1\s616數據治理全程的安全需求數據安全需求如REFOLE_LINK29\h圖616所示。數據存儲：存儲設備訪問控制：身份識別、權限控制、訪問控制、操作審計、金庫模式；數據安全防護：數據脫敏、數據加密；數據處理：數據安全防護：業務邏輯安全；數據封裝：數據安全防護：數據最小化、數據脫敏、數據文件加水印；數據使用：接入安全控制：身份識別、權限控制、訪問控制、操作日志；數據安全防護：數據脫敏、數據加密、傳輸通道加密。數據安全管理辦法從數據層面為大數據平臺提供安全防護能力，包括數據層的大數據平臺核心數據防護措施和配套安全系統等。所有軟硬件設備均需要能夠滿足公司所提出的各項安全功能規范要求，具體詳見規范性引用文件。管理要求隱私信息保護管理措施隱私保護的重要管理制度是三權分立管控制度。三權是指：數據庫管理權限、隱私數據安全管理權限以及審計權限。三個權限分別掌握在不同的管理員手上，三個管理角色的權限相互獨立、互不重疊，不允許越權，且相互制衡。三權分立管控制度示意圖如REFOLE_LINK30\h圖617所示：圖STYLEREF1\s617三權分立制度數據庫管理員（DBA）角色：數據庫管理員主要負責大數據平臺的維護和管理，數據庫設計方案及規劃。DBA擁有數據庫最高的操作權限。經過隱私保護實施后，數據庫中將不包含任何隱私信息。DBA角色能夠獲取所有的數據但無法讀懂隱私信息，DBA無法獲取隱私信息保護的策略和密鑰信息。安全管理員（SA）角色：是隱私數據保護專用管理角色，主要負責獲取隱私信息屬性，管理和配置去隱私處理的策略和密鑰信息，制定版本更新計劃和歷史版本歸檔工作。SA掌握所有去隱私處理使用的策略和密鑰，但SA沒有訪問大數據平臺任何主數據庫的權限，無法獲取隱私信息。審計專員角色：屬于4A管理平臺的專門的事后審計管理角色，審計專員有權限對DBA和SA的任何操作進行審計。一旦發現違規的行為可以及時通告和升級處理。建立三權分立管控制度的目的就是要建立權力制衡的機制，進一步保證隱私信息的安全。各省分公司實施過程中，必須要明確三個角色權限由不同的人員擔任，三個角色的權限不能有任何的設置重疊，需配套建立相應版本更新、數據需求、后臺運維、日志審計管理流程。隱私數據安全原則對大數據平臺開發及維護人員進行常態化的客戶隱私數據相關安全管理制度及相關知識的宣貫，加強相關人員的安全意識。隱私數據安全知識包含但不限于如下內容：《中華人民共和國刑法修正案（七）》、《中華人民共和國電信條例》等國家法律法規中有關信息安全及泄露或出售公民個人信息行為的相關規定；總部下發的“五條禁令”及違規判定相關文件，并且簽訂“保密承諾書”相關文件；總部下發的《客戶信息安全保護管理規定》、《第三方安全管理辦法》等相關管理辦法；電信企業近年來發生的客戶信息泄露相關案例；各省公司內部的客戶信息安全保護管理規定。日志審計管理流程 審計員需定期對程序運行日志和用戶操作日志進行安全審計和檢查工作，并形成正式的審計報告。通過對日志中涉足敏感區域訪問的行為以及客戶隱私數據的訪問日志進行詳細分析，初步判斷是否危及信息安全，若有安全問題的可疑情況，需及時上報相關領導，并觸發后續處理流程。日志審計場景如REFOLE_LINK31\h圖618所示：圖STYLEREF1\s618日志審計流程圖安全保障制度安全策略集中管理大數據平臺需要綜合考慮系統安全管理策略，做到集中管理、集中修訂、集中更新安全規則，從而實現統一的安全策略實施，安全管理員可以在中央控制端進行全系統的監控。其具體要求如下：各安全產品應具備集中管理功能，可以支持遠程的配置、修訂安全規則；應支持系統范圍內集中的用戶帳戶管理，包括帳戶的創建、刪除、修改、角色劃分、權限授予等工作；應提供必要的手段，能夠對整個大數據平臺中出現的任何涉及安全的事件信息及時通報給指定管理員，并保存相關記錄，供日后查詢；應提供單次登錄服務，允許用戶只需要一個用戶名和口令就可以訪問系統中所有被許可的訪問資源。應提供必要的手段，能夠對外網訪問策略進行管理，加強外網接口服務器的訪問策略管理工作。應提供移動終端應用上線審批的管理，對于用戶的訪問權限和訪問內容提供相應的管理措施。安全保障要求系統安全保障要求如下：按照大數據平臺的實現應用流程以及機構的設置，嚴格劃分所有用戶的角色，并據此設定不同的權限，確保用戶只能訪問權限許可范圍內的資源；禁止在生產系統中使用未經批準的應用程序，禁止在生產系統上加載無關軟件，嚴禁擅自修改系統的有關參數；用于開發、測試的系統必須與生產系統嚴格分開；監視系統運行記錄，及時審查日志文件，認真分析告警信息，及時掌握運行狀況，對系統可能發生的故障做好應急方案；軟件程序的修改或增加功能時，須提出修改理由、方案、實施時間，報上級主管部門批準；程序修改后，須在測試系統上進行調試，確認無誤經批準后方可投入生產應用；軟件修改、升級前后的程序版本須存檔備查，軟件修改、升級時須有應急補救方案；建立嚴格的機房安全管理制度，非工作人員未經許可不準進入機房，任何人不準將有關大數據平臺資料泄密、任意抄錄或復制。項目實施安全要求系統建設階段：系統建設階段，開發商必須與移動公司簽訂系統建設/實施的保密協議，確保系統的建設內容不會被泄漏出去；實施系統的開發商項目組人員要和建設單位簽署個人保密協議，避免將系統的建設內容向外界透露；提供給實施系統的開發商的測試數據不能外泄。系統運行階段：用于開發、測試的系統必須與生產系統嚴格分開；系統運行后，必須由本公司的內部正式員工負責系統運行的各種實際數據，從而安全地進行控制和使用；系統運行后，系統上需要嚴格劃分所有用戶的角色，并據此設定不同的權限，確保用戶只能訪問權限許可范圍內的資源；系統運行后，系統涉及所有數據庫的管理和對表、視圖、記錄和域的授權工作統一由數據庫管理員執行。數據治理場景背景描述移動業務發展多年，在多年的用戶發展和經營中，積累了大量的用戶數據。特別是移動互聯網的興起，帶來了海量實時的用戶行為信息，具備極高的商業價值。在未來的大數據生態中，移動作為海量數據的擁有方和大數據平臺的承建方，占據核心地位，可以為多個行業甚至政府、公安、交通等部門提供多種形式的數據資產服務，如REF_Ref428628609\h圖71所示。圖STYLEREF1\s7SEQ圖\*ARABIC\s11移動大數據生態圈以移動大數據平臺為核心，提供多樣化的數據資產服務，滿足航空、保險、銀行等行業不同的數據要求。如下有兩個具體的數據資產開放場景，為大家展示完整的移動內外部的業務流程。場景一：銀行偽卡交易判別背景介紹銀行信用卡盜刷一直以來都是銀行非常頭疼和難以解決的問題。由于磁條卡復制容易，制作成本低，導致市面上出現大量偽造信用卡。尤其國內旅客在國外消費時，無需輸入密碼，更加方便了偽卡的制作，從而增加了偽卡交易的幾率。每年銀行都會因為偽卡交易的問題，白白損失掉許多資產。能否判斷信用卡是否是本人交易，成為鑒別偽卡交易的關鍵點。如果能夠在信用卡交易的同時，通過客戶的手機位置信息與交易地點進行匹配，那么可大大提升偽卡交易的發現幾率，并可及時進行相應的后續處理。場景描述 國內某銀行與移動進行數據合作，建立數據合作平臺，進行偽卡交易的判斷和驗證。流程如REF_Ref428628666\h圖72所示：圖STYLEREF1\s7SEQ圖\*ARABIC\s12判別流程A用戶在POS上刷卡交易后，銀行收到交易請求，發送用戶手機號碼到數據服務平臺，進行請求查詢。數據服務平臺傳遞數據查詢請求，大數據平臺實時采集獲取該內該手機號碼的位置信息。移動大數據平臺采集該手機號碼的位置信息后，通過標準化處理和元數據的約束形成標準化數據。標準化數據經過平臺數據定價和評估模型，產生有價值的數據資產。數據資產通過預先配置好的數據質量檢查規則，形成待服務數據。滿足數據質量要求的數據資產經過平臺相應數據安全機制驗證，輸出數據結果并反饋給對端銀行系統，判斷此筆交易是否為偽卡交易。場景二：銀行手機貸業務背景介紹銀行的貸款業務是銀行收入的重要支撐，但是由于貸款人信用狀況多維性和復雜性，銀行無法準確判斷每個貸款人的信用情況。以至于每年都會有許多的壞賬出現，非常影響銀行的收益。全面獲得貸款人的征信信息，對于銀行來說，非常重要。移動具有其客戶多年的消費以及通訊數據，從消費能力和交往圈可以有利的支撐客戶的信用狀況，從而作為銀行貸款客戶的重要征信依據，移動對該貸款人的信用報告可有利的支撐貸款業務，從而降低銀行貸款的風險。場景描述 某銀行與移動公司合作推出了手機貸業務，通過手機貸APP終端，可方便的進行無抵押小額貸款。 流程如REF_Ref428628695\h圖73所示：圖STYLEREF1\s7SEQ圖\*ARABIC\s13手機貸流程用戶在得到手機貸業務的宣傳后，下載安裝并實名注冊手機貸客戶端。APP進行注冊后，手機貸APP進行授信請求的推送。用戶同意授信后，APP后臺發送數據請求到移動大數據平臺。大數據平臺以該手機號碼為關鍵字，進行用戶相關信息的采集和解析。采集后的數據通過數據標準化要求進行數據預處理，通過標準化處理和元數據的約束形成標準化數據。標準化數據經過平臺數據數據定價和評估模型，產生有價值的數據資產。數據資產通過預先配置好的數據質量檢查規則，形成待服務數據。滿足數據質量要求的數據資產經過平臺相應數據安全機制驗證，產生評估結果。滿足評估結果的用戶會收到APP的相應推送消息，用戶可進行后續的貸款預約和準備，貸款結束。附錄附錄一：數據標準框架圖81數據標準管理框架 數據標準管理的整體框架如所示，包括數據標準規劃、數據標準化實施、數據標準支撐三大部分內容。 數據標準規劃按照企業級省大數據平臺數據治理的規范需求，構建省級數據標準體系，并規劃制定數據標準化的實施路線和方案，逐步對企業級省大數據平臺數據進行統一標準化數據管理。 數據標準化實施基于數據標準規劃，通過數據標準支撐模塊，達到數據標準的執行落地，并真正起到數據標準的管理效果。 通過對數據標準化實施過程的支撐，建立數據治理組織架構，制定省級數據標準管理辦法和實施流程要求，并最終通過數據標準管理工具進行建設。附錄二：數據標準體系定義內容示例1、行業參考模型實體標準定義內容示例：標準定義說明數據標準編碼V1000000000分層基礎層標準主題事件域標準子類信令中文名稱LTE網絡S10/S11接口信令英文名稱OSS_NES_I_S10S11_XDR_DAY實體編號CYR_ST_002數據版本V1.0數據體系分類行業參考模型實體定義類重要級別一級。數據提供部門網絡部數據提供部門負責人張三數據維護部門數據治理中心數據維護部門負責人李四業務主管部門市場部業務主管部門負責人王五數據來源系統網絡優化平臺系統主要依據