文│ 中国信息安全测评中心 宋璟 邸丽清 杨光 都婧

随着《数据安全法》等一系列法律法规的颁布实施,我国网络空间的法律法规秩序体系逐步完善,网络安全工作迈入了新时代。在促进关键信息基础设施和数字经济发展的同时,需要进一步提升数据安全保障能力、风险发现能力,确保数据安全风险可控在控,对切实维护国家主权、国家安全和社会发展利益等方面具有重大意义。

一、数据安全的理解与风险评估需求

(一)数据安全的理解

《数据安全法》第三条,给出了数据安全的明确定义,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。结合定义,应该从广义和狭义两个角度理解数据安全概念内涵。

广义地说,数据安全作为国家重要战略基础资源时的安全要义,主要是根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,确定数据安全定义。狭义地说,数据安全一是指数据本身及数据处理活动的安全性,主要包括数据本身保密性、完整性和可用性,以及围绕数据处理活动的收集、存储、使用、加工、传输、提供、公开等环节的安全性考虑。二是数据支撑环境以及防护措施的安全,主要包括数据载体、防护设备、加解密算法等主动防护措施。

(二)数据面临的安全风险

1. 数据合规安全风险

数据安全合法合规已经成为企业对数据进行处理的原则和底线,但大部分企业的数据安全合规体系建设还处于起步状态,对违规所带来的风险缺乏相应的评估机制,可能存在潜在的数据泄露、数据丢失、数据篡改、数据滥用等安全风险。

2. 关键信息基础设施数据安全风险

目前,关键信息基础设施运营者(以下简称“运营者”)重要数据的全生命周期保护严重不足,未建立起有效的防护体系机制。尤其是个人信息保护方面,未采取有效的数据防篡改和防外泄手段 , 一旦攻击者成功获取服务器权限后,可随意窃取、篡改和删除重要数据,造成大面积敏感信息泄露。此外,运营者在供应链开发、运维等环节数据保护方面存在缺陷,导致系统“带病上线”的情况,形成攻击者窃取数据的重要突破口。

3. 数据出境安全风险

数据的跨境流动是数据价值最大化的必经之路,数据出境是必然趋势,其安全风险也是其派生的产物。数据出境的风险重点来源于数据出境的合规类风险。企业在出境业务稳定发展的前提下,要保证出境数据不存在违反国家法规标准要求的风险,尤其是数据在出境前、传输过程和数据落地的过程中是否存在违法风险,以及数据出境后接收方对数据的保护是否存在数据滥用风险等都是需要重点关注的问题。

(三)数据安全风险评估需求

为了了解目前国内关键信息基础设施行业对数据安全风险评估的理解以及需求,中国信息安全测评中心从数据安全面临的风险、重点关注数据安全方向、保护数据类型等方面,对国家水利、电力、能源等行业进行了实际调研,梳理形成以下共性需求。

1. 数据安全法出台后的合法性评估需求

《数据安全法》的出台使得数据不仅拥有了“价值”属性,也具备了“法律”属性。调研结果表明,各行业明确将数据安全的合法合规情况作为未来一段时间内的重点工作,企业管理者开始关注面临的数据安全风险以及如何实现数据安全合规。对于企业管理者来讲,目前最紧急的工作是需要全面开展数据安全风险评估,找出是否存在违法的情况以及和法律要求之间的差距,从而为数据安全建设和治理提供依据。

2. 关键信息基础设施数据的评估需求

关键信息基础设施运营者对数据安全评估的需求主要有以下几点。一是需要通过风险评估促进运营者开展数据分类分级制度体系建设和重点保护措施的落实,做到重要数据和核心数据重点保护,明确保护对象范围,厘清保护责任和保护主体;二是需要通过风险评估找出可能导致重要数据失窃、泄露、破坏的安全隐患,降低重要数据一旦遭受攻击后可能带来的恶劣影响,尤其是涉及国家政治安全、经济安全以及民生安全的重要数据和个人信息;三是需要通过风险评估促进数据安全防御体系的改进提升,检验当前的数据安全防护措施是否有效,防护体系是否可以满足当下的网络安全形势,最终达到“以评促建”,提升整体数据安全防御体系的目的。

3. 数据出境传输的安全评估需求

出境数据的主要评估需求点集中在:一是数据跨境传输安全评估,根据不同地区的监管要求、数据敏感度和数据使用情况,需要为数据传输、访问、监控、跟踪以及跨技术栈的存储等方面建立不同的技术控制措施,同时还需要具备报告和监测的能力,对其安全防护措施有效性进行评估;二是出境数据合规性评估,评估企业是否建立适当的控制措施,来应对跨境数据传输和数据本地化是否符合以上相关国内法律的要求,从而最终为数据出境业务保驾护航。

二、数据安全风险评估整体框架

(一)数据安全风险评估总体框架

在新时代背景下,数据安全风险评估也应具备时代特性。数据安全风险评估的发展一定是以《数据安全法》为根本出发点,以网络安全风险评估的理论框架为准绳,且风险评估的内容和指标将围绕数据为核心对象,以发现数据安全风险为主要目的。数据安全风险评估不应该以某个标准作为基准来设置评估项,也无法固化出一个固定模式去开展,主要是由于数据是一类特殊的评估对象,是具备动态性的,随着数据在不同环境下的流动,其面临的安全风险也是不同的。应当围绕被评估的特定数据对象数据资产、数据所面临的威胁和脆弱性,综合开展风险评估找出其在特定威胁环境下所面临的风险。其风险评估方法理论和模式应该是多样性的,适用于不同环境和目标。

本文提出的数据安全风险评估,有其独特的视角和思路,重点解决某一类安全需求,主要以发现国家关键信息基础设施行业数据安全方面的大风险、大隐患为主要目的,在数据识别、法律遵从、数据处理、支撑环境和特殊场景数据跨境流动安等方面开展风险评估。其主要思路为:首先对业务进行梳理、理清数据资产、确认数据资产范围及重要程度,这是风险评估的基础,因此数据识别安全重点是进行数据资产的识别摸底工作。其次在梳理数据处理活动风险时,首先考虑是否存在违法行为风险,依据已发布的法律法规进行法律遵从性评估。在满足合法性的基础上进而开展数据处理活动的风险评估工作,一方面,是数据自身的风险发现,另一方面,是承载数据所需环境的风险发现。在风险发现过程中,一旦涉及数据的跨境流动和数据主权风险,将以数据跨境流动为重点关注场景,开展数据跨境流转的风险评估工作,评估数据跨境流动过程中的数据安全风险。数据安全风险评估结果可作为数据安全治理、监督、审计和评价的重要参考依据。

图 数据安全风险评估总体框架

(二)数据安全风险评估核心内容

1. 数据识别安全评估

数据识别是数据安全评估的基础。通过对数据的识别,可以确定数据在业务系统的内部分布、确定数据是如何被访问的、当前的数据访问账号和授权状况。数据识别能够有效解决运营者对数据安全状况的摸底管理工作。基于国家、行业的法律法规及标准要求,数据识别通常包括业务流识别、数据流识别、数据安全责任识别和数据分类分级识别。

2. 数据安全法律遵从性评估

数据安全符合相关法律要求是开展一切数据处理活动的前提和基础,也是最受关注的安全保障能力之一。数据安全风险评估不能完全避免数据安全风险的发生,但可以减少违法违规行为的发生。本文中的数据安全法律遵从性评估核心在于依据国家、行业的法律法规及标准要求,重点评估运营者及其他数据处理者关于数据安全在相关法律法规中的落实情况,包括个人信息保护情况、重要数据出境安全情况、网络安全审查情况、密码技术落实情况、机构人员的落实情况、制度建设情况、分类分级情况、数据安全保障措施落实情况,以及其他法律法规、政策文件和标准规范落实情况等。法律遵从性评估的目的不仅在于应对风险,更多的是在于找出差距,驱动数据安全建设合法化,完善数据安全治理体系。

3. 数据处理安全评估

数据处理安全的评估是围绕数据处理活动的收集、存储、使用、加工、传输、提供、公开等环节开展。主要针对数据处理过程中收集的规范性、存储机制安全性、传输安全性、加工和提供的安全性、公开的规范性等开展评估。

4. 数据环境安全评估

数据环境安全是指数据全生命周期安全的环境支撑,可以在多个生命周期环节内复用,主要包括主机、网络、操作系统、数据库、存储介质等环境基础设施。针对数据支撑环境的安全评估主要包括通信环境安全、存储环境安全、计算环境安全、供应链安全和平台安全等方面。

5. 重要数据出境安全评估

重要数据出境是数据安全风险评估所重点关注的风险场景,如果被评估对象中包括数据出境的业务,需要按此部分开展专项评估,重点评估出境数据发送方的数据出境约束力、监管情况、救济途径,以及出境数据接收方的主体资格和承诺履约情况等。

(三)数据安全风险评估综合判定

风险分析的原理主要是通过资产识别、脆弱性识别及威胁识别,分别计算出威胁造成损失的严重程度以及该安全事件发生的可能性,然后利用损失严重程度与事件发生的可能性得到风险值,最后赋予风险等级。

分析和确定数据全风险的方法是,考虑已知威胁利用数据资产已知脆弱性的可能性,以及如果发生这种利用所产生的后果或不利影响(即危害程度),使用威胁和脆弱性信息以及可能性和后果 /影响信息定性或定量地确定数据安全风险。在分析中重点要围绕“数据生命周期”或者“数据应用场景”,最终的评估结果是某个业务或威胁场景之下利用某个资产的某个脆弱性造成某种破坏,该破坏的可能性有多大,破坏后影响有多大,进而综合评价风险有多大。

1. 可能性分析

可能性是指攻击事件可能导致任务能力丧失的概率。可能性判定应该考虑威胁假设,即阐明数据资产以及支撑环境可能面临的威胁类型,如网络安全威胁、自然灾害或物理安全威胁;还要考虑实际基于业务场景的数据安全脆弱性信息,包括识别的系统、数据或支撑环境的脆弱性;可能性分析要综合考虑利用漏洞成功利用的难度并将其与威胁信息相结合,在其实际应用场景下确定风险评估过程中成功攻击的可能性。

2. 影响分析

影响分析是一个关联分析过程,由数据所涉及的系统、数据的价值以及数据被破坏后对组织的影响等因素综合考虑。影响分析很大程度上要结合脆弱性被威胁利用的可能性,以及被评估单位管理者基于业务角度对风险的决策的判断,最终决定对风险是否接受、避免、减轻、分担或转移。

3. 风险结论

数据安全风险评估的结论应涵盖三个层级的风险。一是根据被评估组织或行业的性质和重要程度,可形成国家组织或者行业层面的数据安全战略风险报告。二是根据关键信息基础设施业务使命和形式,形成各自企业层面的数据安全风险报告。三是依据数据本身的特点或场景,形成面向系统级别、数据级别或者供应链级别等重点关注方面的风险评估报告。风险评估的结论应包括潜在破坏数据安全的可能性和影响,特定场景和特定数据的风险发生的可能性以及目前现有的数据安全防护措施的有效性和差距性,进而为被评估单位数据安全系统建设、支撑环境建设以及数据安全整体规划做决策依据。

三、数据安全风险评估的建议

(一)数据安全风险评估相关标准体系存在空缺,需尽快建立完善提供依据

当前,数据安全风险评估的通用方法论、标准体系尚未建立,亟需提出数据安全风险评估方法,制定数据安全风险评估标准来指导数据安全风险评估活动,以满足当前数据安全保护的迫切需求。建议在充分借鉴现有标准基础之上,聚焦国家关键信息基础设施重要行业、重点领域,在数据安全风险评估关键环节、关键业务场景、关键网络产品和服务等方面进一步细化规范,提出数据安全风险评估实施指南、提出数据安全风险评估指标,建设和完善数据安全风险评估体系,满足当前数据安全风险评估方法论和评估指标建设的迫切需求,进一步推进数据安全政策和法律法规落地实施。

(二)数据资产识别和分类分级存在难度,急需行业主管部门及企业自身统筹解决

很多企业数据资产类型呈多样化,数据载体分布广、数据源众多,这些都给数据识别和分类分级造成困难。数据资产未有效识别,数据未科学分类分级使得数据安全保护对象不明确,数据安全保护要求不清晰,进而影响数据安全风险评估的有效开展。因此,数据识别和分类分级是数据安全保护和风险评估工作的当务之急,应加快推动自上而下数据分类分级安全保护制度建设,结合行业重要数据特点和安全保护需求,对数据进行准确识别,明确各行业,尤其是关键信息基础设施所涉及行业的核心数据、重要数据、一般数据。与此同时,推动数据分类分级安全风险评估体系建设,以在数据安全保护措施建设初期给予安全风险防范指导,建设完成后用于检验成效,使得数据安全风险防范的思想贯穿数据安全治理的各个环节。

(三)数据安全风险评估的健康生态尚未建立,需各方协作助力生态建设

多年来对数据重要性以及数据安全的认知盲区使得很多企业在大肆采集个人信息和重要数据之后,对数据缺少必要的管理,对其所掌握的数据资产数量、敏感程度以及具体分布情况不够清晰准确,甚至是一无所知,而相应的数据安全防护能力建设更加滞后,数据安全有效治理的大环境远未形成,数据安全风险评估的健康生态也尚未建立。未来需要借助《数据安全法》出台的东风,深入推进数字基础设施建设,建立数据安全风险评估业界健康生态,建立健全适应人工智能、万物互联、跨行业、跨境数据规范和使用等支持大数据关键风险评估技术的基础性研究风险评估基础方法研究和技术攻关关键评估技术装备,建立适应数据安全风险评估发展需求的人才培养体系。把维护核心数据、重要数据安全、确保国家经济金融安全作为底线,形成数据安全风险发现、风险问题责任追究、整改效果考核评价相结合的工作机制,进一步强化数据安全风险评估工作闭环,为生态建设决策提供支撑。

(本文刊登于《中国信息安全》杂志2021年第9期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。