就在一年前，英國《衛(wèi)報(bào)》根據(jù)美國人愛德華·斯諾登泄露的機(jī)密文件，開始了震驚世界的獨(dú)家報(bào)道。撇開斯諾登究竟是叛國者、國家公敵，還是讓數(shù)百萬人擺脫非法監(jiān)視活動侵害的勇敢公民這些煽動性的言論不談，有一點(diǎn)沒有異議，就是他的所作所為對于數(shù)據(jù)安全的影響甚大。

“后斯諾登時(shí)代”（post-Snowden）一詞已成為安全專家的常用語，這便是最好的印證。

斯諾登的特別之處在于，作為受雇于美國國家安全局（NSA）的一名IT系統(tǒng)管理員，他有權(quán)訪問其職責(zé)范圍內(nèi)的機(jī)密信息。

他的職責(zé)與權(quán)限意味著，僅憑幾個(gè)閃盤，他便能對國家安全局構(gòu)成致命的威脅（繞過各種復(fù)雜的安全系統(tǒng)、軟件與政策）。

幾乎可以斷言，如果保密性極高的國家安全局都會遭受這種威脅，那么絕大多數(shù)組織機(jī)構(gòu)都可能難逃此劫。商界領(lǐng)袖們該如何避免其組織機(jī)構(gòu)陷入斯諾登危機(jī)？一個(gè)潛在的解決方案就是大數(shù)據(jù)與行為分析。

顧名思義，大數(shù)據(jù)分析最主要的一個(gè)優(yōu)勢就是信息量。它可以讓一個(gè)組織通過多個(gè)數(shù)據(jù)源獲取PB級數(shù)據(jù)信息，并利用其確定趨勢和模式。

事實(shí)上，將信息量足夠大的數(shù)據(jù)源結(jié)合在一起（如人事記錄、職位描述、網(wǎng)頁瀏覽習(xí)慣、IT系統(tǒng)使用情況等），完全可能在組織內(nèi)部員工的行為方式上獲得前所未有的發(fā)現(xiàn)。若將數(shù)據(jù)存儲在“數(shù)據(jù)湖”中（該數(shù)據(jù)存儲設(shè)施通過標(biāo)準(zhǔn)化手段，保證公司數(shù)據(jù)符合未來發(fā)展方向），潛在發(fā)現(xiàn)會成倍增加。

提到安全，大數(shù)據(jù)最有效的一種應(yīng)用就是行為分析。

首先，需要對一段時(shí)間內(nèi)各種變量進(jìn)行分析，明確整個(gè)組織內(nèi)部大多數(shù)員工的工作行為方式，從而確定什么是員工的“正常”行為。

接下來，需要獲取與正常行為模式不符的用戶信息，數(shù)據(jù)研究人員要對這樣的信息進(jìn)行分析。

既然沒有哪家大型組織會配置足夠的帶寬、資金和資源去監(jiān)控每個(gè)員工的行為，那么，這種方法有效地預(yù)防了問題員工的威脅。

一家大型金融服務(wù)行業(yè)的客戶提供了這樣一個(gè)有說服力的案例。該公司了解到，有4名員工涉嫌詐騙。數(shù)據(jù)研究小組面臨挑戰(zhàn)，他們需要利用大數(shù)據(jù)分析來辨別這4人的身份。研究小組首次對公司全體員工的人事信息和業(yè)務(wù)信息進(jìn)行分析處理，確定屬于“正常”員工的行為特征。接著查找行為顯示異常的用戶資料，最終，他們準(zhǔn)確地辨認(rèn)出，作案人員不止4人，還有另外兩名嫌疑人。整個(gè)分析過程耗時(shí)兩周，但隨后查清詐騙過程僅用了24小時(shí)。如果用一年時(shí)間去發(fā)現(xiàn)、調(diào)查并阻止詐騙行為，而不是兩周，那么可以想象，公司將遭受多大的現(xiàn)金損失，又將面臨何種尷尬處境。

考慮以下假設(shè)實(shí)例：數(shù)據(jù)顯示，在周期為12個(gè)月的時(shí)間內(nèi)，大多數(shù)公司會計(jì)人員核銷票據(jù)的頻率為每日一次，或者每季度一次。然而，有一個(gè)人卻在每隔一周的周四晚7點(diǎn)后執(zhí)行該項(xiàng)操作。這不一定就是詐騙行為，但存在可能性。無論是哪種情況，管理者很容易迅速核實(shí)。

同樣，如果員工在周四晚上定期批量下載文件，會是怎樣的情況？他們僅僅是為了每周五在家中工作，還是為了半年后跳槽到競爭對手那里而竊取你的發(fā)展規(guī)劃？利用大數(shù)據(jù)開展的行為分析可提供各種易于處理且能夠持續(xù)、高效融入業(yè)務(wù)流程的洞察手段。

再次回到斯諾登事件，顯然，行為分析能夠幫助國家安全局發(fā)現(xiàn)IT管理員定期訪問并下載機(jī)密文件的異常行為。從司法鑒定角度，分析結(jié)果更可能表明，斯諾登完成任務(wù)的方式不同于其他同事。與無數(shù)其他實(shí)例相比，很有可能是他打開并傳輸文件的組合方式不正常。也許這樣會耗時(shí)六周或更長時(shí)間，但結(jié)果可能是，主動并且監(jiān)控嚴(yán)密的大數(shù)據(jù)行為分析策略會將斯諾登抓住，并阻止他泄露這十年來最具轟動性的消息。

如果說愛德華·斯諾登給我們帶來了某種啟示，那就是我們不能依靠傳統(tǒng)安全軟件來保證數(shù)據(jù)的100%安全。我們必須制定新的策略，即使遇上最狡猾的數(shù)據(jù)竊取者，也不讓其得逞。我們必須把斯諾登當(dāng)作比較標(biāo)準(zhǔn)，考慮任何一名員工可能造成的最大破壞，并以此衡量組織機(jī)構(gòu)的安全性。行為分析既非魔法，也非深不可測。它需要的僅僅是最新且穩(wěn)定的IT基礎(chǔ)設(shè)施以及一套謹(jǐn)慎加以運(yùn)用的算法。

當(dāng)我們在新聞?lì)^條中發(fā)現(xiàn)另一名高調(diào)的數(shù)據(jù)竊取者（此人可能會毀掉卡塔爾2022年世界杯的主辦權(quán)）時(shí)，很顯然，這些預(yù)防措施應(yīng)該成為每位商業(yè)領(lǐng)袖的當(dāng)務(wù)之急。到底有多急？問問國際足聯(lián)主席布拉特吧。

（作者為凱捷大數(shù)據(jù)與統(tǒng)計(jì)分析策略負(fù)責(zé)人）